Chatbot IA dentiste et RGPD : ce qu’il faut vérifier avant d’intégrer une solution

Un patient envoie un message un dimanche soir pour signaler une douleur dentaire. Un autre appelle pendant les consultations pour poser une simple question sur les horaires. Un troisième cherche sur le site du cabinet s'il est possible d'obtenir un devis pour une pose de couronne. Toutes ces demandes arrivent à toute heure, tous les jours, et une grande partie reste sans réponse faute de disponibilité humaine.

Face à ce constat, de plus en plus de chirurgiens-dentistes s'interrogent sur les assistantes IA et les chatbots capables de traiter ces demandes en continu. Mais la question revient systématiquement lors des échanges avec les praticiens : est-ce que c'est compatible avec le RGPD ? Est-ce qu'on a le droit ? Est-ce que les données de mes patients sont protégées ?

La réponse est oui, à condition de choisir la bonne solution et de vérifier les bons points avant de s'engager. Ce guide détaille les cinq vérifications concrètes à effectuer, les textes de référence qui s'appliquent, et les questions précises à poser à tout prestataire IA avant d'intégrer sa solution dans votre cabinet dentaire.

Ce que le RGPD change concrètement pour un cabinet dentaire

Données personnelles et données de santé : une distinction qui change tout

Le Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) s'applique à tout traitement de données personnelles, défini comme toute information relative à une personne physique identifiée ou identifiable. Cette définition est large : un nom, un numéro de téléphone, une adresse email constituent des données personnelles.

Mais le RGPD distingue une catégorie encore plus sensible : les données de santé. L'article 4(15) du RGPD les définit comme les données relatives à la santé physique ou mentale d'une personne, y compris celles qui révèlent des informations sur l'état de santé de cette personne. Les diagnostics, les antécédents médicaux, les prescriptions, les comptes rendus d'examens en font partie.

💡 La distinction qui compte : un patient qui écrit "Je souhaite prendre rendez-vous pour un détartrage" fournit une donnée personnelle banale. Un patient qui écrit "J'ai une infection depuis 5 jours et je suis sous antibiotiques" communique une donnée de santé. Ce n'est pas la même chose sur le plan réglementaire, et ce n'est pas le même niveau d'exigence.

Pour un cabinet dentaire, cette distinction est fondamentale au moment de choisir un chatbot IA. Une solution conçue uniquement pour collecter des coordonnées et le motif général de contact ne traite pas de données de santé au sens strict. En revanche, un outil qui accéderait aux dossiers médicaux des patients ou enregistrerait des informations cliniques serait soumis à des exigences bien plus contraignantes, notamment en matière d'hébergement.

Le chirurgien-dentiste reste responsable de traitement

Le RGPD désigne comme responsable de traitement la personne qui détermine les finalités et les moyens du traitement des données (article 4 du RGPD). Dans un cabinet dentaire, ce responsable, c'est le praticien lui-même, ou la structure juridique qui exploite le cabinet.

La CNIL l'a confirmé à plusieurs reprises : l'éditeur d'un logiciel ou d'une solution IA n'est pas le responsable du traitement mis en œuvre à partir de cet outil. Le prestataire IA est un sous-traitant, au sens de l'article 28 du RGPD. C'est le dentiste qui reste responsable devant la loi et devant ses patients. Ce point est non négociable, et il implique des obligations précises que nous détaillons ci-dessous.

Les 5 vérifications indispensables avant d'intégrer un chatbot IA

1. L'hébergement des données est-il réalisé en Europe ?

C'est la première question à poser à tout prestataire. Le RGPD encadre strictement les transferts de données hors de l'Espace économique européen (EEE). Pour les données personnelles de vos patients, héberger sur des serveurs situés hors UE sans garanties contractuelles adaptées expose le cabinet à un risque juridique réel.

La réglementation HDS (Hébergeur de Données de Santé), issue de l'article L.1111-8 du Code de la santé publique, va encore plus loin pour les données de santé proprement dites : l'hébergeur doit être titulaire d'une certification HDS délivrée par un organisme accrédité. Le référentiel HDS a été mis à jour en mai 2024 et publié au Journal officiel, avec une exigence explicite que l'hébergement physique des données se fasse dans l'EEE.

⚠️ Point d'attention : si votre prestataire chatbot héberge ses données sur des serveurs américains (AWS US, Google Cloud US, Azure US), vous devez vous assurer qu'il dispose des garanties contractuelles prévues par le RGPD (clauses contractuelles types, décision d'adéquation). La simple mention "conforme RGPD" dans une brochure commerciale ne suffit pas. Demandez l'adresse physique des serveurs.

La bonne pratique : privilégier un prestataire dont les données sont hébergées en France ou dans l'Union européenne, avec une certification ou une conformité HDS documentée, même lorsque le chatbot ne collecte que des données de contact.

2. Un contrat de sous-traitance (DPA) est-il fourni et signé ?

L'article 28 du RGPD est clair : tout responsable de traitement qui fait appel à un sous-traitant pour traiter des données personnelles doit signer avec lui un contrat de sous-traitance, aussi appelé DPA (Data Processing Agreement). Ce contrat n'est pas une option. Son absence constitue un manquement au RGPD, indépendamment de toute violation de données.

Ce document doit préciser au minimum les éléments suivants : la nature et la finalité des traitements réalisés, les catégories de données traitées, la durée de conservation appliquée, les mesures de sécurité mises en place, l'engagement du sous-traitant à ne pas utiliser les données à d'autres fins que celles prévues, et les modalités permettant aux patients d'exercer leurs droits (accès, rectification, effacement).

✅ Bonne pratique : avant tout essai ou abonnement, demandez la communication du DPA. Un prestataire sérieux le fournit spontanément, souvent directement accessible en ligne dans ses documents légaux. S'il ne sait pas ce qu'est un DPA, ou s'il renvoie à ses CGV sans document spécifique, c'est un signal d'alerte.

3. L'information des patients est-elle clairement assurée ?

Le RGPD impose que toute personne dont les données sont collectées soit informée du traitement. Pour un cabinet dentaire, cela prend généralement la forme d'une affiche en salle d'attente, d'une mention sur le formulaire de prise de rendez-vous, ou d'une politique de confidentialité accessible sur le site web du cabinet.

Sur ce point, la CNIL apporte une précision importante : le consentement explicite des patients n'est pas systématiquement requis pour les données nécessaires à la gestion de l'activité médicale. La base légale applicable est l'exécution d'une mission médicale, prévue à l'article 9(2)(h) du RGPD, combinée à la base légale de l'exécution d'un contrat (article 6 RGPD). En revanche, la transparence est obligatoire.

Concrètement, si vous intégrez un chatbot IA visible sur votre site, les patients doivent pouvoir savoir : qu'un outil automatisé traite leur demande initiale, quelles données sont collectées (nom, téléphone, motif de contact), comment ces données sont utilisées, et comment exercer leurs droits. Une mention dans les conditions générales du site et dans la politique de confidentialité suffit généralement, à condition qu'elle soit accessible et rédigée en termes clairs.

4. Le traitement chatbot figure-t-il dans votre registre des activités ?

L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Ce registre recense l'ensemble des traitements de données mis en œuvre dans le cabinet : gestion des dossiers patients, comptabilité, gestion des ressources humaines, communication, et désormais l'utilisation d'outils numériques comme un chatbot IA.

Depuis l'entrée en application du RGPD en 2018, la déclaration préalable à la CNIL a été supprimée et remplacée par ce registre interne. Le cabinet n'a rien à déclarer en externe, mais doit tenir ce document à jour. Lors d'un contrôle de la CNIL, c'est la première pièce demandée. Selon les données de la CNIL, plus de 340 contrôles ont été réalisés en 2024, et l'absence de registre est régulièrement relevée comme manquement.

Ajouter l'utilisation d'un chatbot dans votre registre ne prend que quelques minutes : indiquez la finalité du traitement (accueil des demandes patients), les catégories de données (nom, coordonnées, motif de contact), la durée de conservation, le sous-traitant concerné, et les mesures de sécurité appliquées. La CNIL met à disposition un modèle de registre téléchargeable sur son site.

5. Le chatbot s'identifie-t-il clairement comme une intelligence artificielle ?

Le règlement européen sur l'intelligence artificielle, dit AI Act (règlement UE 2024/1689), est entré en vigueur le 1er août 2024. Il classe les systèmes d'IA selon leur niveau de risque et prévoit des obligations proportionnées à chaque catégorie.

Les chatbots sont classés dans la catégorie des systèmes à risque limité. Cette classification entraîne une obligation de transparence spécifique : les utilisateurs doivent être informés qu'ils interagissent avec un système d'intelligence artificielle, et non avec un être humain. La CNIL précise que cette obligation vise les systèmes d'IA présentant "un risque manifeste de manipulation", ce qui inclut tout agent conversationnel qui pourrait être confondu avec un interlocuteur humain.

💡 En pratique : un message tel que "Vous conversez avec Léa, votre assistante virtuelle" ou "Cet accueil est assuré par un assistant IA" suffit à satisfaire cette obligation. Ce n'est pas une contrainte complexe, mais c'est une obligation réglementaire applicable dès maintenant. Vérifiez que votre prestataire l'a intégrée dans sa solution.

Données de contact ou données médicales : la frontière que votre chatbot ne doit pas franchir

Cette section mérite qu'on s'y attarde, parce que la confusion entre les deux catégories est fréquente et génère des inquiétudes inutiles d'un côté, ou une fausse sérénité de l'autre.

Un chatbot IA conçu pour l'accueil d'un cabinet dentaire a une fonction bien définie : recevoir les demandes des patients, collecter leurs coordonnées et le motif général de leur appel, évaluer le niveau d'urgence, puis transmettre l'ensemble à l'équipe du cabinet. Il ne prescrit pas, ne diagnostique pas, ne consulte pas le dossier médical. Il fait ce que ferait une secrétaire à la réception : prendre le nom, le numéro, comprendre pourquoi la personne appelle, et prévenir l'équipe.

Dans ce modèle, les données traitées sont essentiellement des données de contact et d'organisation. Elles sont personnelles au sens du RGPD, mais elles ne constituent pas des données de santé au sens de l'article 4(15). L'obligation d'hébergement HDS, particulièrement contraignante, ne s'applique donc pas à ce type de traitement.

⚠️ Ce qu'un chatbot dentaire ne doit jamais faire : accéder au logiciel de gestion des dossiers patients, enregistrer des données cliniques dans sa propre base, transmettre des informations médicales à des tiers, ou proposer des conseils médicaux. Toute solution qui franchit cette frontière entre dans un périmètre réglementaire beaucoup plus exigeant, et expose le cabinet à des risques juridiques sérieux. Le rôle de l'IA est de collecter et transmettre, jamais de traiter des données médicales.

Le dossier médical reste dans le logiciel de gestion du cabinet, sous la responsabilité et la maîtrise exclusive de l'équipe soignante. C'est précisément ce cloisonnement qui rend la solution à la fois efficace et conforme.

Comment évaluer la conformité d'un prestataire IA : le tableau de référence

Pour faciliter vos comparaisons, voici les six questions à poser à tout prestataire de chatbot ou d'assistante IA pour cabinet dentaire, avec la réponse attendue d'une solution véritablement conforme.

Question à poser	Réponse attendue d'une solution conforme	Signal d'alerte
Où sont hébergées les données ?	Serveurs en France ou dans l'UE, précisés par nom et localisation	Réponse vague, USA, ou "dans le cloud"
Fournissez-vous un DPA (contrat de sous-traitance RGPD) ?	Oui, document disponible, signable avant démarrage	Renvoi vers les CGV, pas de document dédié
Le chatbot s'identifie-t-il comme une IA ?	Oui, mention visible dès le premier échange	Présentation comme un "conseiller" sans identification
Quelle est la durée de conservation des données ?	Durée définie, paramétrable, conforme au principe de minimisation	Conservation illimitée ou non précisée
Le chatbot accède-t-il aux dossiers médicaux ?	Non, traitement limité aux données de contact et au motif de contact	Connexion au logiciel de gestion médicale sans encadrement clair
Comment les droits des patients sont-ils exercés (accès, rectification, effacement) ?	Procédure documentée, délai de réponse précisé	Absence de procédure ou renvoi générique

L'infographie : checklist RGPD en 5 points pour votre cabinet

✅ Les 5 points RGPD à valider avant d'activer un chatbot IA

L'AI Act et son impact direct sur les chatbots de cabinet dentaire

Le règlement européen sur l'intelligence artificielle, connu sous le nom d'AI Act (règlement UE 2024/1689), constitue la première législation mondiale dédiée à l'encadrement de l'IA. Adopté en 2024 et entré en vigueur le 1er août 2024, il s'applique progressivement selon un calendrier précis que tout praticien utilisant une solution IA devrait connaître.

L'AI Act classe les systèmes d'IA en quatre catégories selon leur niveau de risque. Les chatbots conversationnels sont positionnés dans la catégorie "risque limité". Concrètement, cela signifie qu'ils ne sont pas considérés comme dangereux au sens du règlement, mais qu'ils sont soumis à une obligation de transparence : l'utilisateur doit savoir qu'il interagit avec une machine.

Étape AI Act	Date	Ce qui change pour votre cabinet
Entrée en vigueur du règlement	1er août 2024	Le cadre juridique est applicable
Interdictions des IA à risque inacceptable	2 février 2025	Certaines pratiques IA sont déjà prohibées (manipulation, scoring social)
Règles pour les modèles IA à usage général	2 août 2025	Obligations de transparence renforcées pour les LLM sous-jacents
Application complète aux systèmes à haut risque	2026-2027	Concerne les IA médicales à haute criticité, pas les chatbots d'accueil

Pour un cabinet dentaire qui utilise un chatbot d'accueil, l'obligation immédiate est la transparence : le patient doit être informé qu'il discute avec un assistant virtuel. Cette obligation est en vigueur. Les exigences liées aux systèmes à haut risque, plus lourdes, concernent des IA à vocation diagnostique ou de prise de décision médicale, et non les outils de collecte de demandes patients.

Ce que vous devez retenir pour faire le bon choix

Intégrer une assistante IA dans un cabinet dentaire est tout à fait compatible avec le RGPD et avec le règlement européen sur l'IA. Cette compatibilité n'est cependant pas automatique : elle dépend de la façon dont la solution est conçue, hébergée et documentée.

Un prestataire sérieux vous fournit son DPA avant la signature, affiche clairement la localisation de ses serveurs, identifie sa solution comme un système IA auprès des patients, ne collecte que les données strictement nécessaires à la mise en relation, et ne touche jamais aux données médicales de vos dossiers patients.

Côté cabinet, la démarche de conformité est plus simple qu'on ne le croit : informer les patients (mention sur le site et en salle d'attente), ajouter le traitement chatbot dans le registre des activités, et s'assurer que le DPA est signé. Ces trois actions couvrent l'essentiel des obligations RGPD applicables à ce type d'outil.

✅ Ce que la conformité vous apporte au-delà de l'obligation : un cabinet qui affiche clairement sa démarche RGPD rassure ses patients. Dans un secteur où la confidentialité est au coeur de la relation de confiance, c'est un avantage réputationnel concret, pas seulement une contrainte légale.

Votre cabinet dentaire mérite une assistante IA conçue pour les praticiens

Léa, l'assistante IA d'Attract Med IA, est hébergée en France, conforme au RGPD, identifiée comme IA auprès de vos patients, et ne collecte que les données de contact et de motif nécessaires à votre équipe. Zéro accès aux dossiers médicaux. Découvrez comment elle fonctionne sur un cas réel, sans engagement.

Voir l'assistante IA en démo →

Sans engagement · Aucune carte bancaire requise · Solution 100% française

Questions fréquentes sur le RGPD et les chatbots dentaires

Un chatbot dentaire est-il obligatoirement soumis à l'hébergement HDS ?

Non, pas nécessairement. L'obligation d'hébergement HDS (Hébergeur de Données de Santé) s'applique aux données de santé au sens de l'article L.1111-8 du Code de la santé publique. Un chatbot qui collecte uniquement des données de contact, comme le nom, le numéro de téléphone et le motif général de prise de contact, sans stocker de données médicales, n'entre pas dans ce périmètre. En revanche, si le chatbot enregistre des informations médicales (antécédents, pathologies, prescriptions), la certification HDS devient obligatoire pour l'hébergeur.

Le cabinet dentaire doit-il obtenir le consentement des patients pour utiliser un chatbot IA ?

Le consentement explicite n'est pas systématiquement obligatoire pour les données nécessaires à la gestion de l'activité médicale. La CNIL précise que les patients doivent être informés du traitement de leurs données, mais que leur consentement n'est pas requis lorsque la collecte est nécessaire à la prise en charge sanitaire. En revanche, pour tout traitement de données sortant du cadre des soins, à des fins marketing par exemple, un consentement explicite s'impose.

Que doit contenir le contrat avec un prestataire de chatbot IA pour être conforme au RGPD ?

L'article 28 du RGPD impose la signature d'un contrat de sous-traitance (ou DPA, Data Processing Agreement) avec tout prestataire traitant des données pour le compte du cabinet. Ce contrat doit préciser : la nature et la finalité des traitements, les catégories de données concernées, la durée de conservation, les mesures de sécurité mises en place, l'engagement du sous-traitant à ne pas utiliser les données à d'autres fins, et les modalités d'exercice des droits des personnes concernées.

Faut-il déclarer un chatbot IA à la CNIL ?

Non. Depuis l'entrée en application du RGPD le 25 mai 2018, la déclaration préalable auprès de la CNIL n'est plus obligatoire. Elle a été remplacée par le registre interne des activités de traitement, prévu à l'article 30 du RGPD. Le cabinet doit en revanche inscrire le traitement lié au chatbot dans ce registre, et réaliser une analyse d'impact (AIPD) si le traitement présente un risque élevé pour les droits et libertés des personnes.

Le règlement européen sur l'IA (AI Act) s'applique-t-il déjà aux chatbots utilisés en cabinet dentaire ?

Oui, partiellement. Le règlement européen sur l'IA (UE 2024/1689) est entré en vigueur le 1er août 2024. Les chatbots sont classifiés comme systèmes à risque limité : ils sont soumis à une obligation de transparence, c'est-à-dire que l'utilisateur doit être informé qu'il interagit avec une intelligence artificielle et non avec un être humain. Cette obligation est déjà applicable. L'application complète des règles aux systèmes à haut risque est prévue pour 2026-2027, et ne concerne pas les chatbots d'accueil standard.

Un chatbot IA peut-il accéder au dossier médical des patients ?

Non, et c'est précisément ce qu'une solution conforme ne doit pas faire. Un chatbot conçu pour l'accueil et la collecte de demandes n'a aucune raison d'accéder au logiciel de gestion des dossiers patients. Son rôle est de recueillir les coordonnées, le motif général de contact et le niveau d'urgence, puis de transmettre ces informations à l'équipe du cabinet pour traitement humain. Toute solution qui proposerait d'interfacer directement avec les dossiers médicaux entrerait dans un périmètre réglementaire beaucoup plus exigeant.

Sources et références réglementaires CNIL : RGPD et professionnels de santé libéraux CNIL : Quelles formalités pour les traitements de données de santé ? CNIL : Entrée en vigueur du règlement européen sur l'IA CNIL : Recommandations pour le développement de systèmes d'IA Commission européenne : Règlement européen sur l'IA (AI Act, UE 2024/1689) ANS / G_NIUS : Fiche réglementation AI Act pour la e-santé Relyens : Hébergement des données de santé, référentiel HDS 2024 Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD), articles 4, 6, 9, 28, 30 Code de la santé publique, article L.1111-8 (hébergement de données de santé) Référentiel HDS mis à jour, publié au Journal officiel le 16 mai 2024