Written by L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018 a profondément transformé les obligations des professionnels de santé, y compris celles des dentistes et des prothésistes dentaires. Ce cadre législatif impose des règles strictes concernant la gestion des données personnelles, et il régit les relations entre le dentiste, en tant que responsable de traitement, et le prothésiste dentaire, qui intervient comme sous-traitant. La relation entre ces deux acteurs est caractérisée par un équilibre de droits et de devoirs, reflétant le pouvoir de contrôle du dentiste sur les données personnelles des patients et la responsabilité d’exécution du prothésiste.
Le dentiste : le maître du traitement des données
En tant que responsable de traitement, le dentiste occupe une position centrale dans la collecte et la gestion des données personnelles des patients. Selon le RGPD, il est celui qui détermine les finalités et les moyens du traitement des données, ce qui implique une responsabilité majeure dans le respect des principes de protection des données. Le dentiste doit s’assurer de la conformité des pratiques de tous les acteurs impliqués dans le processus de soins, y compris celles du prothésiste dentaire.
Le dentiste doit fournir des instructions précises et documentées au prothésiste et reste responsable des éventuelles violations des données, même lorsque celles-ci se produisent au niveau du sous- traitant. Cette responsabilité inclut la garantie que le prothésiste dispose des mesures de sécurité nécessaires pour protéger les données traitées. Ce contrôle exercé par le dentiste nécessite la conclusion d’un contrat de sous-traitance formel, qui spécifie les obligations du prothésiste en matière de protection des données, conformément aux exigences du RGPD .
Le non-respect de ces obligations peut entraîner des sanctions significatives, comme le montre une jurisprudence du 18 mai 2017 où un dentiste a été condamné à une amende de 10 000 euros par la CNIL pour avoir manqué à ses obligations de transmission des données personnelles à un patient. En l’espèce, le patient avait sollicité l’accès à ses données personnelles contenues dans son dossier médical, mais le dentiste n’a pas répondu dans le délai légal de 8 jours prévu par l’article L.1111-7 du Code de la santé publique. Malgré les rappels de la CNIL, le dentiste n’a pas rectifié la situation, ce qui a conduit à la sanction financière.
Le prothésiste dentaire : un exécutant sous contrôle
Le prothésiste dentaire, quant à lui, occupe une position d’exécutant, subordonné aux instructions du dentiste. En tant que sous-traitant, il n’a pas la liberté de déterminer les finalités ou les moyens du traitement des données. Son rôle est de mettre en oeuvre les tâches de traitement des données conformément aux directives reçues du dentiste, tout en garantissant la sécurité et la confidentialité des données.
Lorsqu’un prothésiste dentaire est amené à effectuer des tâches qui sont normalement de la responsabilité du dentiste, comme la prise de photos, l’assistance lors des essayages ou d’autres activités impliquant le traitement de données personnelles des patients, il est essentiel que la répartition des tâches et des responsabilités soit clairement définie et formalisée dans le contrat de sous-traitance.
Le RGPD impose que le contrat entre le responsable de traitement (le dentiste) et le sous-traitant (le prothésiste) détaille précisément les activités confiées au sous-traitant, ainsi que les responsabilités respectives en matière de protection des données personnelles.
Cette formalisation permet de clarifier les obligations de chaque partie et de s’assurer que les règles de sécurité et de confidentialité sont respectées pour les données traitées.
Le prothésiste doit informer immédiatement le dentiste en cas de problème lié au traitement des données, par exemple si une instruction semble non conforme au RGPD. En cas de sous-traitance ultérieure, le prothésiste doit obtenir l’autorisation préalable du dentiste, qui reste responsable en cas de manquement du sous-traitant ultérieur .
Responsabilité partagée et collaboration obligatoire
Bien que le dentiste détienne un pouvoir décisionnel significatif, le RGPD impose également des obligations directes au prothésiste, qui est responsable de la mise en oeuvre technique et organisationnelle des mesures de protection des données. Ce partage des responsabilités nécessite une collaboration étroite entre les deux parties.
En cas de non-conformité, le prothésiste peut être tenu responsable et faire face à des sanctions financières, ce qui souligne l’importance d’un respect rigoureux des obligations du RGPD. Toutefois, c’est le dentiste qui reste l’interlocuteur principal des autorités de contrôle, sauf si le prothésiste est expressément mandaté pour agir en son nom
Quels sont les moyens de recours possibles pour le prothésiste en cas de manquement au RGPD du dentiste ?
Dans le cadre du RGPD, la relation entre le dentiste (responsable de traitement) et le prothésiste dentaire (sous-traitant) est régie par un contrat de sous-traitance qui précise les obligations de chaque partie. En cas de manquement au RGPD de la part du dentiste, le prothésiste dispose de plusieurs moyens pour se protéger et, si nécessaire, se retourner contre le dentiste.
1. Signalement des manquements
Le prothésiste a l’obligation d’informer immédiatement le dentiste si une instruction reçue de ce dernier constitue, selon lui, une violation du RGPD. Cette obligation de notification est une première étape pour se prémunir contre toute responsabilité en cas de manquement du dentiste. Si le dentiste persiste dans ses instructions non conformes, le prothésiste peut refuser de les exécuter et demander une révision des conditions du traitement des données .
2. Documenter les échanges
Le prothésiste doit conserver une trace écrite de toutes les instructions reçues du dentiste, notamment celles qu’il considère problématiques. Cette documentation est cruciale pour prouver que le prothésiste a agi conformément aux instructions du responsable de traitement et qu’il a tenté de signaler les risques de non-conformité.
3. Dénonciation de la violation auprès de la CNIL
Si le dentiste persiste dans une pratique qui constitue une violation du RGPD, le prothésiste peut envisager de signaler cette situation à la CNIL (Commission nationale de l’informatique et des libertés). Bien que cette démarche soit délicate, elle permet au prothésiste de se dégager de toute responsabilité en démontrant qu’il a pris des mesures pour empêcher une violation .
4. Réclamation contractuelle
Le prothésiste peut se retourner contre le dentiste sur le plan contractuel, en invoquant une violation du contrat de sous-traitance. Si le contrat prévoit des clauses spécifiques sur le respect du RGPD et sur les responsabilités du dentiste, le prothésiste peut réclamer des dommages et intérêts pour tout préjudice subi en raison de la non-conformité du dentiste. En ce sens, il est conseillé de consulter le document “Guide du sous-traitant” de septembre 2017, rédigé par la CNIL.
5. Recours judiciaire
En dernier recours, le prothésiste peut intenter une action en justice contre le dentiste pour manquement contractuel ou pour obtenir réparation des dommages subis en raison de la violation du RGPD. Ce recours peut être basé sur le fait que leprothésiste a respecté ses obligations et que c’est le dentiste, en tant que responsable de traitement, qui a failli à ses responsabilités .
Jacqueline Frohman,
expert au TJ de Metz et Médiateur
Quentin Frohman, Juriste
Last modified: 22 octobre 2024
