Un cabinet dentaire traite des dossiers cliniques, des radiographies, des données de carte bancaire et des numéros de sécurité sociale. L'ensemble constitue des données de catégorie particulière au sens du Règlement général sur la protection des données (RGPD), ce qui relève automatiquement le niveau d'exigence en matière de sécurité. Un incident de ransomware ou une fuite de données ne paralyse pas seulement l'agenda : il peut entraîner des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, en vertu de l'article 83.5 du RGPD. Et pourtant, la majorité des cabinets dentaires en Espagne continuent de fonctionner avec des mesures de sécurité conçues pour une autre époque.
Ce guide répond avec précision aux questions suivantes : quelles mesures sont obligatoires, lesquelles sont recommandées par l'INCIBE pour le secteur de la santé, et comment le programme Kit Digital permet de les financer sans décaissement immédiat si votre cabinet est éligible.
Pourquoi les cabinets dentaires sont-ils une cible privilégiée de la cybercriminalité
Les dossiers odontologiques combinent des informations de santé, financières et d'identification dans un seul fichier patient. Selon le State of Ransomware in Healthcare 2025 de Sophos, le secteur de la santé a été le plus touché par les ransomwares en Europe en 2024, avec un délai de rétablissement moyen de 17 jours et un coût moyen supérieur à 1,6 million d'euros par incident (rançon, restauration et perte d'exploitation comprises).
Les cabinets dentaires présentent une surface d'attaque spécifique :
- Logiciels de gestion de cabinet donnant accès aux dossiers, à l'agenda et à la facturation, souvent obsolètes ou sans support actif.
- Équipements de radiologie numérique (OPG, scanner cone beam) qui transmettent des images DICOM sur le réseau local, fréquemment sans chiffrement.
- Terminaux de paiement et passerelles de paiement partageant le même réseau que les postes cliniques.
- Accès distants non contrôlés du personnel de maintenance du logiciel dentaire.
- Sauvegardes stockées sur le même disque local que le serveur, invisibles lors de toute attaque par chiffrement.
Cadre réglementaire obligatoire pour les cabinets dentaires en Espagne
Avant d'aborder les solutions techniques, il convient de connaître les obligations légales en vigueur. Ne pas les respecter n'est pas seulement un risque de sanction : en cas d'incident, l'absence de mesures documentées aggrave la responsabilité du cabinet.
RGPD et loi organique 3/2018 (LOPDGDD)
Le traitement des données de santé est soumis à l'article 9 du RGPD, qui exige une base juridique explicite (consentement exprès ou relation de soin) et des mesures de sécurité techniques et organisationnelles adaptées au risque. L'AEPD, dans son guide pour le secteur sanitaire publié en 2023, précise que les cabinets doivent réaliser une Analyse d'impact relative à la protection des données (AIPD) lorsque le traitement est systématique à grande échelle, et qu'ils doivent tenir un Registre des activités de traitement (RAT) à jour comme obligation de base.
Décret-loi royal de transposition NIS2 (Directive UE 2022/2555)
La Directive NIS2, dont la transposition en Espagne est en cours via l'Avant-projet de loi sur la coordination et la gouvernance de la cybersécurité (approuvé en Conseil des ministres en janvier 2025 et en cours d'examen parlementaire en 2026), inclut les prestataires de services de santé dans son champ d'application. Les cabinets dépassant 50 salariés ou 10 millions d'euros de chiffre d'affaires sont soumis à des obligations spécifiques de gestion des incidents et doivent notifier l'INCIBE-CERT dans un délai de 24 heures pour les incidents significatifs.
Code de conduite du Conseil général des dentistes
Le Conseil général des dentistes d'Espagne dispose d'un Code de conduite en matière de protection des données destiné à ses membres. Son adoption n'est pas obligatoire, mais il fournit une feuille de route de conformité reconnue par le secteur et peut être invoqué pour démontrer la diligence du cabinet face à l'autorité de contrôle.
Mesures minimales exigibles : ce que vous devez déjà avoir mis en place
Le tableau ci-dessous récapitule les mesures techniques et organisationnelles que l'INCIBE et l'AEPD considèrent indispensables pour un cabinet dentaire traitant des données de santé, classées par niveau d'urgence :
| Mesure | Niveau d'exigence | Fondement réglementaire | Situation la plus fréquente dans les cabinets |
|---|---|---|---|
| Sauvegardes chiffrées et vérifiées (règle 3-2-1) | Obligatoire | RGPD art. 32 ; guide AEPD sécurité sanitaire | Sauvegarde locale uniquement, jamais vérifiée |
| Antivirus/EDR géré sur tous les équipements | Obligatoire | RGPD art. 32 ; guide INCIBE secteur santé 2024 | Antivirus grand public, sans gestion centralisée |
| Correctifs et mises à jour du logiciel dentaire et du système d'exploitation | Obligatoire | RGPD art. 32 ; NIS2 art. 21 | Mises à jour manuelles ou ignorées |
| Segmentation du réseau (clinique / patients / administration) | Fortement recommandé | INCIBE ; Code de conduite CGD | Réseau plat unique pour tous les appareils |
| Authentification multifacteur (MFA) pour les accès distants et la messagerie | Fortement recommandé | NIS2 art. 21 ; INCIBE | Identifiant et mot de passe uniquement |
| Chiffrement des dossiers au repos et en transit | Obligatoire (données de catégorie particulière) | RGPD art. 9 et 32 | Sans chiffrement ou HTTPS uniquement sur le site web |
| Registre des activités de traitement (RAT) | Obligatoire | RGPD art. 30 ; LOPDGDD art. 48-49 | Inexistant ou non mis à jour |
| Protocole de réponse aux incidents et de notification à l'AEPD | Obligatoire | RGPD art. 33-34 | Aucun protocole documenté |
| Formation du personnel au phishing et à l'ingénierie sociale | Fortement recommandé | RGPD art. 32 ; Code de conduite CGD | Aucune formation spécifique |
| Contrôle d'accès basé sur les rôles (qui consulte quel dossier) | Obligatoire | RGPD principe de minimisation ; art. 32 | Accès total accordé à tous les employés |
Vecteurs d'attaque spécifiques au secteur dentaire : les plus fréquents en 2025
Dans son Bilan de cybersécurité 2024, l'INCIBE a identifié les principaux vecteurs d'incident dans le secteur de la santé en Espagne. Pour les cabinets dentaires, les plus pertinents sont :
Ransomware via le logiciel de gestion dentaire
Les programmes de gestion dentaire (Gesden, Clinicsoft, Denwix, entre autres) communiquent fréquemment avec les serveurs de l'éditeur pour les mises à jour et le support à distance. Si cette connexion n'est pas contrôlée, toute vulnérabilité non corrigée dans le logiciel ou sur le serveur de l'éditeur devient une porte d'entrée. En 2024, plusieurs incidents en Espagne ont eu pour vecteur initial le client de mise à jour du logiciel clinique.
La messagerie électronique comme vecteur d'entrée (phishing et BEC)
Le personnel administratif du cabinet reçoit des devis, des factures et des demandes de fournisseurs de matériel dentaire. Les attaques de type Business Email Compromise (BEC) usurpent l'identité de fournisseurs connus pour détourner des paiements ou installer des logiciels malveillants via des pièces jointes Word ou PDF contenant des macros. C'est le vecteur le plus simple et le plus utilisé, car il ne nécessite aucune vulnérabilité technique : il suffit qu'un employé ouvre le fichier.
Équipements d'imagerie non mis à jour
Les équipements de radiologie numérique utilisent des systèmes d'exploitation embarqués qui reçoivent rarement des mises à jour de sécurité. Nombre de ces appareils fonctionnent sous Windows 7 ou Windows XP dans des systèmes d'imagerie que le fabricant n'a pas migrés. Étant connectés au réseau local, ils servent de point de pivot pour se déplacer latéralement vers le serveur de dossiers patients.
Aides disponibles : Kit Digital pour la cybersécurité dans les cabinets dentaires
Le programme Kit Digital, financé par les fonds Next Generation EU et géré par Red.es, inclut expressément la catégorie Cybersécurité parmi les solutions subventionnables. En 2025 et 2026, les cabinets dentaires exerçant en tant que travailleur indépendant, micro-entreprise (moins de 10 salariés) ou petite entreprise (10 à 49 salariés) peuvent prétendre aux montants suivants :
- Segment I (10-49 salariés) : jusqu'à 6 000 € pour la solution de cybersécurité.
- Segment II (3-9 salariés) : jusqu'à 2 000 €.
- Segment III (0-2 salariés et indépendants) : jusqu'à 2 000 €.
La solution de cybersécurité subventionnable dans le cadre du Kit Digital doit comprendre au minimum : anti-malware, anti-spyware, contrôle des courriels indésirables, navigation sécurisée, analyse et détection des menaces, et surveillance du réseau. Le délai habituel de justification est de 12 mois à compter de la signature de l'accord avec l'Agent Numérisateur.
Pour connaître en détail les modalités d'obtention de cette aide et le contenu du service, consultez notre page cybersécurité pour PME avec aides Kit Digital, où nous décrivons l'ensemble du processus depuis le diagnostic initial jusqu'à la justification auprès de Red.es.
Conditions d'éligibilité pour le cabinet
Pour accéder au Kit Digital, le cabinet doit remplir les conditions suivantes au moment de la demande :
- Être à jour de ses cotisations à la Sécurité sociale et de ses obligations fiscales.
- Ne pas avoir reçu d'aides de minimis dépassant 300 000 € au cours des trois derniers exercices fiscaux.
- Disposer d'un niveau de maturité numérique de base selon le test d'autodiagnostic disponible sur acelera.pyme.es.
- Ne pas être en procédure collective ni avoir de dettes impayées envers l'Administration.
Kit Consulting : diagnostic préalable financé
Complémentaire au Kit Digital, le programme Kit Consulting (également géré par Red.es) permet de confier un diagnostic technologique à un consultant accrédité pour des montants allant jusqu'à 12 000 € (10-49 salariés), 18 000 € (50-99) ou 24 000 € (100-249 salariés). Ce diagnostic peut inclure l'évaluation de la posture de cybersécurité du cabinet et l'élaboration du plan de mise en conformité RGPD pour le secteur sanitaire, ce qui permet d'aborder l'investissement avec une feuille de route documentée avant tout engagement de dépenses.
Ce que doit inclure un projet de cybersécurité pour un cabinet dentaire
Un projet bien dimensionné pour un cabinet dentaire de 5 à 20 salariés comporte quatre blocs distincts :
1. Diagnostic et analyse des risques
Inventaire de tous les actifs traitant des données patients (logiciel de gestion, équipements d'imagerie, terminaux, messagerie), analyse des risques réels — et non théoriques — et classification par probabilité et impact. Sans cette étape, tout investissement dans des outils peut manquer sa cible.
2. Protection technique
Déploiement d'un EDR (Endpoint Detection and Response) géré, configuration d'un pare-feu de nouvelle génération avec inspection du trafic sortant, segmentation du réseau, MFA sur la messagerie et les accès distants, et chiffrement de la base de données des dossiers patients. La protection technique est ce qui couvre directement les exigences du Kit Digital.
3. Sauvegarde vérifiée et plan de reprise d'activité
Les sauvegardes doivent respecter la règle 3-2-1 : trois copies, sur deux supports différents, dont une hors site (cloud ou emplacement alternatif). Et, point essentiel, elles doivent être testées périodiquement. Une sauvegarde qui n'a jamais été restaurée n'existe pas. Le plan de reprise doit définir le RTO (délai maximal de rétablissement acceptable) et le RPO (perte de données maximale tolérable) adaptés au cabinet.
4. Documentation juridique et formation du personnel
RAT à jour, contrats avec les sous-traitants (fournisseur du logiciel de gestion, gestionnaire du cloud, service de maintenance informatique), procédure de notification des violations à l'AEPD dans un délai de 72 heures et formation du personnel à la détection du phishing. Ce dernier point est indispensable : la grande majorité des violations de données dans le secteur de la santé comportent un facteur humain comme élément contributif, selon les éditions successives du rapport DBIR de Verizon.
Chez Summum Sistemas, nous pilotons des projets de cybersécurité avec financement Kit Digital pour les cabinets du secteur de la santé, incluant la gestion complète de la demande auprès de Red.es et la coordination avec le DPO lorsque le projet nécessite une mise en conformité RGPD sanitaire.
Questions fréquentes
Un cabinet dentaire de deux salariés est-il soumis aux mêmes obligations RGPD qu'un grand cabinet ?
Oui, sur le fond des obligations : le RGPD ne fixe pas de seuil minimal de taille pour les obligations de sécurité lorsque des données de santé sont traitées. Ce qui varie, c'est la proportionnalité des mesures : un cabinet unipersonnel n'a pas besoin d'un CISO à temps plein, mais il doit disposer de sauvegardes chiffrées, d'accès contrôlés, de contrats signés avec ses prestataires technologiques et d'une procédure de notification des violations à l'AEPD. L'AEPD tient compte de la taille de l'organisation lors de l'évaluation des sanctions, mais elle n'exonère pas du respect des obligations de base.
Le Kit Digital couvre-t-il le coût du DPO externe ou uniquement les outils techniques ?
La catégorie Cybersécurité du Kit Digital finance exclusivement des solutions technologiques (anti-malware, surveillance, filtrage web, etc.), et non les services de conseil juridique ni la fonction de DPO. Pour financer le conseil en conformité RGPD et la désignation du DPO, l'instrument approprié est le Kit Consulting, qui couvre les services d'accompagnement par des consultants accrédités. Si votre cabinet a également besoin d'un DPO externe, vous pouvez en discuter avec l'équipe Summum Consultoría, qui gère le volet juridique et protection des données pour le secteur de la santé.
Combien de temps dure la mise en œuvre de la cybersécurité avec le Kit Digital ?
Le processus comporte deux phases temporelles distinctes. La procédure d'obtention de l'aide — depuis le dépôt de la demande sur acelera.pyme.es jusqu'à la signature de l'accord avec l'Agent Numérisateur — peut prendre entre quatre et huit semaines selon le volume de demandes dans chaque appel à candidatures. La mise en œuvre technique dans un cabinet de taille habituelle (5 à 15 postes) se réalise normalement en deux à quatre semaines. Les douze mois de justification qui suivent couvrent la période de maintenance active de la solution, pendant laquelle l'Agent Numérisateur doit fournir le service prévu.
Que se passe-t-il si le cabinet subit une attaque avant la mise en place des mesures ?
L'obligation de notifier à l'AEPD une violation de données affectant des données de santé existe indépendamment du niveau de maturité en cybersécurité du cabinet. Le délai est de 72 heures à compter du moment où l'incident est connu (RGPD art. 33). Si la violation est susceptible d'engendrer un risque élevé pour les droits des patients, ceux-ci doivent également en être informés directement (art. 34). L'absence de mesures préventives n'exonère pas de l'obligation de notification ; au contraire, c'est un facteur aggravant dans l'évaluation de l'infraction par l'AEPD. Les priorités absolues après la détection d'un incident sont de le contenir, de le documenter et de le notifier : l'ordre importe.