RGPD

RGPD pour cabinets dentaires belges : la checklist 2026

15 mai 2026 · 6 min de lecture · Par l'équipe VoiceSmile

Les données dentaires sont considérées comme des données de santé au sens du RGPD (article 9). Elles bénéficient d'une protection renforcée. L'Autorité de Protection des Données belge (APD) a sanctionné plusieurs cabinets médicaux ces dernières années pour des manquements évitables. Voici les 12 points à vérifier pour dormir tranquille.

Sanctions encourues : amende administrative jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires (art. 83 RGPD). Pour un cabinet, l'APD module en pratique entre 5 000 € et 50 000 € par manquement, selon la gravité.

La checklist

1. Registre des activités de traitement. Obligatoire dès le 1er patient. Document interne qui liste : qui traite quelles données, pour quelle finalité, pendant combien de temps, avec quels sous-traitants. Modèle gratuit disponible sur le site de l'APD.
2. Contrats de sous-traitance (DPA). Tout prestataire externe qui accède aux données patients doit signer une DPA (Data Processing Agreement) au sens de l'article 28 RGPD. Ça concerne : votre logiciel PMS, votre solution de rappels SMS/WhatsApp, votre comptable, votre informaticien externe.
3. Hébergement des données dans l'EEE. Privilégier un hébergement en Europe (Allemagne, France, Irlande). Si vous utilisez un service basé hors EEE (USA, Royaume-Uni), vérifier la présence de clauses contractuelles types ou d'une décision d'adéquation.
4. Mention RGPD à l'accueil et sur les formulaires. Le patient doit être informé, en termes simples, de l'usage de ses données. Affichage en salle d'attente + bandeau sur le formulaire de RDV en ligne.
5. Droit d'accès et d'export. Tout patient peut demander une copie de ses données (article 15) et l'export vers un autre cabinet (article 20). À fournir dans les 30 jours, gratuitement, dans un format structuré (JSON, PDF, etc.).
6. Droit à l'effacement. Le patient peut demander la suppression de ses données après cessation de la relation thérapeutique, sous réserve des obligations légales de conservation du dossier médical (30 ans pour la dentisterie en Belgique).
7. Conservation limitée. Les messages de rappel ne doivent pas être conservés plus de 90 jours. Les enregistrements d'appels ne doivent pas dépasser 30 jours sauf litige.
8. Sécurité technique. Mots de passe forts (12+ caractères), HTTPS partout, sauvegardes chiffrées, postes de travail verrouillés automatiquement, accès individuels par utilisateur (pas de compte partagé).
9. Notification de violation. En cas de fuite de données (clé USB perdue, email envoyé au mauvais destinataire, piratage), notification à l'APD dans les 72 heures. Si risque élevé : notification aux patients concernés.
10. DPO (Délégué à la Protection des Données). Pas obligatoire pour les petits cabinets, mais fortement recommandé dès 3 dentistes ou 1500 patients actifs. Peut être externalisé.
11. Formation de l'équipe. Une session annuelle minimum sur les bonnes pratiques RGPD. Le secrétariat est en première ligne, c'est là que les fuites arrivent le plus souvent (email mal adressé, info donnée au téléphone).
12. Politique de confidentialité publiée. Page web accessible depuis chaque formulaire ou outil collectant des données. Doit mentionner le responsable de traitement, les bases légales, la durée de conservation, les droits patients, le contact DPO.

Cas spécifique : rappels WhatsApp et IA vocale

Deux questions reviennent souvent quand on automatise la communication patient :

Le rappel WhatsApp est-il conforme ? Oui, si le contenu ne mentionne pas la nature du soin (article 9 RGPD). "Votre RDV du 12 juin à 14h" est conforme. "Votre détartrage du 12 juin" ne l'est pas, car ça expose une information de santé sur un canal non sécurisé.
L'IA vocale qui répond peut-elle écouter les patients ? Oui, si elle est encadrée par un DPA, hébergée en EU, et que les enregistrements sont supprimés dans des délais courts. VoiceSmile utilise Vapi avec un retraitement EU et une suppression sous 30 jours.

Bonne pratique : ajouter dans votre politique de confidentialité une mention explicite du type "Nous utilisons un sous-traitant pour les rappels patient (Bird, Twilio) et la prise de RDV automatisée par téléphone (Vapi). Ces sous-traitants sont liés par un contrat de sous-traitance conforme à l'article 28 du RGPD."

Et VoiceSmile dans tout ça ?

Nous fournissons par défaut une DPA signable en ligne, un hébergement Supabase à Frankfurt, un export complet des données patient au format JSON en 1 clic, et un audit log de chaque modification. Tout ce qu'il vous reste à faire, c'est de signer la DPA et de la classer dans votre dossier RGPD.

Audit RGPD gratuit en 20 minutes

On regarde ensemble votre setup actuel et on identifie les zones à risque. Sans engagement, en visio.

Réserver un audit →

Article informatif rédigé par l'équipe VoiceSmile. Ne se substitue pas à un conseil juridique. Pour les cas complexes (violation, demande de l'APD), consultez un avocat spécialisé en protection des données. Dernière mise à jour : 15 mai 2026.