RGPD et HIPAA pour les rappels SMS et WhatsApp dentaires : ce qu'il faut savoir

RGPD et HIPAA pour les rappels SMS et WhatsApp dentaires : ce qu'il faut savoir

Règles HIPAA, RGPD, TCPA et LGPD pour les rappels de rendez-vous SMS et WhatsApp dentaires — avec un modèle conforme prêt à copier dès aujourd'hui.

Posted by DodoDentist Team on 26 avril 2026

Si tu envoies des rappels de rendez-vous à tes patients par SMS ou WhatsApp, tu traites des informations de santé protégées (PHI) — même si le message dit simplement « N'oublie pas ton rendez-vous demain à 10 h ». Les régulateurs des deux côtés de l'Atlantique prennent ça au sérieux, et les amendes pour les erreurs sont passées du symbolique au véritablement douloureux.

Bonne nouvelle : les rappels conformes ne sont pas compliqués une fois qu'on connaît les règles. Ce guide passe en revue HIPAA, RGPD, TCPA, LGPD et PIPEDA tels qu'ils s'appliquent aux rappels de rendez-vous SMS et aux rappels de rendez-vous WhatsApp pour dentistes, et te donne un modèle que tu peux copier dès aujourd'hui dans tes rappels de rendez-vous SMS.

Liste de conformité dentaire sur un porte-bloc

La carte de la conformité : HIPAA, RGPD, LGPD et PIPEDA

Avant de regarder le SMS et WhatsApp en particulier, identifie quel règlement s'applique à toi. La compétence suit le patient, pas la clinique — donc si tu soignes un résident américain à Paris ou un citoyen européen à Miami, les deux cadres peuvent s'appliquer.

  • HIPAA (États-Unis) — Le Health Insurance Portability and Accountability Act régit les PHI pour toute « entité couverte » (cabinets dentaires inclus) et leurs « partenaires commerciaux » (ton fournisseur de rappels). Il fixe un plancher national ; les lois des États peuvent l'enrichir.
  • RGPD (Union européenne / Royaume-Uni) — Considère toute information liant un patient identifiable à un service de santé comme une « catégorie particulière » de données. Tu as besoin à la fois d'une base légale (article 6) et d'une condition spécifique pour traiter des données de santé (article 9).
  • LGPD (Brésil) — Calquée de près sur le RGPD mais avec son propre régulateur (ANPD). Le consentement et l'intérêt légitime sont les bases habituelles ; un consentement explicite est requis pour les données de santé sensibles.
  • PIPEDA (Canada) — Loi fédérale sur la vie privée dans le secteur privé. Le Québec, l'Alberta et la Colombie-Britannique ont des statuts provinciaux équivalents qui s'appliquent à la place de la PIPEDA. Tous exigent une connaissance et un consentement pour la collecte et la divulgation.

Si tu exploites un cabinet multi-sites qui touche plus d'un de ces cadres, construis selon la norme la plus stricte qui s'applique — généralement RGPD plus HIPAA — et tu satisferas confortablement le reste.

HIPAA et SMS : la règle de minimisation des PHI

HIPAA autorise les rappels de rendez-vous par SMS. Ce qu'il n'autorise pas, c'est de divulguer plus de PHI que ce que la communication exige strictement. C'est le principe du « minimum nécessaire », et c'est là que la plupart des cliniques trébuchent.

Ce que tu peux généralement inclure dans un rappel SMS :

  • Le prénom du patient ou ses initiales
  • Le nom de la clinique
  • La date et l'heure du rendez-vous
  • Un moyen de confirmer, reprogrammer ou annuler
  • Une raison non clinique comme « suivi » (généralement acceptable)

Ce que tu ne dois pas inclure :

  • Le traitement ou la procédure spécifique (« suivi de traitement de canal », « consultation pour implant »)
  • Les soldes d'assurance, de facturation ou de paiement
  • Les résultats d'analyses, diagnostics ou références d'imagerie
  • La date de naissance complète ou les numéros de pièce d'identité

L'Office for Civil Rights n'a pas infligé d'amende à une clinique pour avoir dit « À demain à 15 h » — il a infligé des amendes à des cliniques qui envoyaient « Rappel : votre rendez-vous de traitement de l'hépatite C ». Garde le ton ennuyeux.

Téléphone de dentiste avec un message SMS et la confidentialité

Le BAA — pourquoi il n'est pas négociable

Tout tiers qui transmet, stocke ou traite des PHI pour ton compte est un Business Associate au sens de HIPAA, et tu dois avoir un Business Associate Agreement (BAA) signé avec lui avant la mise en production. Pas de BAA = violation automatique, qu'une fuite ait lieu ou non.

Quand tu évalues un fournisseur de rappels, cherche :

  1. Un BAA proposé par défaut sur le plan que tu paies — pas en option payante, et pas seulement sur les paliers entreprise.
  2. Un chiffrement en transit (TLS 1.2+) et au repos (AES-256) documenté par écrit.
  3. Une résidence des données aux États-Unis si tu es un cabinet américain, ou un hébergement équivalent dans l'UE pour le RGPD.
  4. Des journaux d'audit de chaque message envoyé, avec qui l'a envoyé et quand.
  5. Un SLA de notification de fuite publié (HIPAA exige une notification dans les 60 jours ; les bons fournisseurs s'engagent à 72 heures).
  6. Une transparence sur les sous-traitants — tu as besoin de la liste des sous-fournisseurs (opérateurs SMS, fournisseurs WhatsApp) et de leurs propres BAA.

Si un fournisseur dit « nous n'avons pas besoin de BAA parce que nous ne stockons pas de PHI », pars en courant. Transmettre des PHI, c'est traiter des PHI.

Consentement TCPA pour les SMS aux États-Unis — opt-in, STOP/HELP, piste d'audit

HIPAA gère le côté confidentialité médicale. Le Telephone Consumer Protection Act (TCPA) gère le côté consentement à être contacté — et il s'applique à chaque SMS que tu envoies vers un numéro américain, quel que soit le contenu. Les pénalités TCPA vont de 500 à 1 500 $ par message, et les avocats spécialisés en class actions adorent ça.

Les quatre choses dont tu as besoin :

  • Un consentement écrit exprès capturé avant le premier SMS. Une case cochée sur ton formulaire d'admission avec un libellé clair (« J'accepte de recevoir des SMS de rappel de rendez-vous de [clinique]. Des frais de message et de données peuvent s'appliquer ») suffit.
  • Gestion du mot-clé STOP — le patient répond « STOP » et ton système doit supprimer les messages non transactionnels suivants dans les 24 heures. Confirme l'opt-out par un dernier message.
  • Gestion du mot-clé HELP — le patient répond « HELP » et le système renvoie les coordonnées et les instructions d'opt-out.
  • Un journal horodaté auditable indiquant quand chaque patient a consenti, à quel libellé exact il a accepté, et l'IP ou le canal utilisé. Quand une plainte TCPA arrive 18 mois plus tard, ce journal est toute ta défense.

Toute plateforme de rappels sérieuse automatise les quatre points. Si la tienne ne le fait pas, corrige ça avant toute autre chose — la documentation comment envoyer des rappels montre le flux de consentement que nous recommandons.

La base légale article 6 du RGPD pour les rappels dans l'UE

Pour les patients de l'UE et du Royaume-Uni, le RGPD exige une base légale pour chaque activité de traitement. Pour les rappels de rendez-vous, il y a deux candidats réalistes :

Intérêt légitime (article 6(1)(f)) — Une fois que le patient a pris rendez-vous, la clinique a un intérêt légitime évident à réduire les rendez-vous manqués, et le patient s'attend raisonnablement à recevoir un rappel. C'est la base sur laquelle la plupart des cabinets dentaires s'appuient pour les confirmations de rendez-vous et les SMS de rappel.

Consentement (article 6(1)(a)) — Requis pour tout ce qui dépasse le rappel : marketing, campagnes de relance, demandes d'avis, newsletters. Le consentement doit être spécifique, granulaire, et aussi facile à retirer qu'à donner.

Deux exigences supplémentaires pour les données de santé au titre de l'article 9 :

  • Un Registre des activités de traitement (article 30) listant le canal de rappel, la durée de conservation, les destinataires et la base légale.
  • Une analyse d'impact relative à la protection des données si tu utilises du profilage ou de la prise de décision automatisée (la plupart des flux de rappels standards ne déclenchent pas cela, mais l'optimisation de cadence pourrait).

Si ton fournisseur de rappels héberge les données patients en dehors de l'UE, il te faut aussi des Clauses Contractuelles Types ou une décision d'adéquation en place. Un fournisseur conforme s'occupe de cela pour toi.

Poignée de main pour signature de contrat dans un cabinet dentaire

WhatsApp et HIPAA : est-ce vraiment conforme ?

C'est la question qu'on nous pose le plus souvent. La réponse honnête : WhatsApp en tant qu'application grand public n'est pas conforme à HIPAA, parce que Meta ne signe pas de BAA pour WhatsApp. WhatsApp Business API, accessible via un Business Solution Provider (BSP) approuvé par Meta, c'est une autre histoire.

Quand tu envoies des rappels WhatsApp via un BSP prêt pour HIPAA :

  • Le BSP signe un BAA avec ton cabinet.
  • Les messages passent par l'API officielle WhatsApp Business (pas l'application grand public).
  • Tu utilises des modèles de messages préapprouvés pour le rappel — la messagerie en forme libre est restreinte à une fenêtre de 24 heures après la réponse d'un patient.
  • Le chiffrement de bout en bout protège le message en transit.
  • La minimisation des PHI s'applique toujours — même règle que pour le SMS.

L'intégration WhatsApp de DodoDentist passe par WhatsApp Business API, propose un BAA sur les plans américains, et utilise dès le départ des modèles de messages conscients de HIPAA. Si ton flux actuel est « un membre du personnel envoie des messages aux patients depuis son WhatsApp personnel », c'est une violation passible d'amende — migre avant ton prochain audit.

Conservation des données : combien de temps garder les journaux de rappels

Combien de temps tu gardes le journal des rappels compte pour deux raisons : tu as besoin d'assez d'historique pour défendre une plainte TCPA ou RGPD, et tu dois purger à temps pour satisfaire les règles de minimisation des données.

Recommandations générales par juridiction :

  • HIPAA — 6 ans à partir de la création ou de la dernière date d'effet, au niveau fédéral. Les conseils d'État de l'art dentaire peuvent exiger plus longtemps (Texas 5 ans, New York 6 ans, Californie 7 ans pour les adultes et plus pour les mineurs). Adopte par défaut le délai le plus long entre l'État et le fédéral.
  • TCPA — Conserve les preuves de consentement pendant 4 ans (le délai de prescription), mais beaucoup d'avocats recommandent 5.
  • RGPD / RGPD britannique — Pas de durée fixe ; conserve « pas plus longtemps que nécessaire ». Pour les rappels, 2 à 3 ans après le dernier rendez-vous est défendable ; couple cela à un job de purge annuel.
  • LGPD — Similaire au RGPD ; documente ta décision de conservation dans ton registre de traitement.
  • PIPEDA — « Aussi longtemps que nécessaire » avec un minimum d'un an après que la personne a utilisé le service pour la dernière fois, pour toute donnée utilisée pour prendre une décision la concernant.

Configure la purge pour qu'elle s'exécute automatiquement. Les purges manuelles n'arrivent pas, et une archive oubliée est exactement ce que les régulateurs trouvent en premier.

Un modèle de rappel prêt pour la conformité que tu peux copier aujourd'hui

Voici un modèle qui satisfait le minimum nécessaire HIPAA, la divulgation TCPA, la transparence RGPD, et qui tient toujours dans un seul segment SMS (160 caractères) :

« Bonjour [Prénom], ici [NomClinique] qui confirme ton rendez-vous le [Date] à [Heure]. Réponds C pour confirmer, R pour reprogrammer. Réponds STOP pour te désabonner. HELP pour infos. »

Notes sur la raison de chaque élément :

  • Prénom uniquement — assez pour personnaliser sans divulguer l'identité complète.
  • Nom de la clinique mais pas de type de service — préserve la minimisation des PHI.
  • Confirmation bidirectionnelle — réduit les rendez-vous manqués sans effort supplémentaire pour le personnel.
  • Mots-clés STOP et HELP — conformité TCPA intégrée.
  • Tient en 160 caractères — un seul segment SMS, coût le plus bas, délivrabilité la plus élevée.

Pour WhatsApp, le même texte fonctionne comme un modèle utility approuvé — il suffit de le soumettre à Meta pour examen avant la mise en production.

Pour rassembler tout cela

La conformité des rappels n'est pas une configuration ponctuelle. C'est une discipline : consentement capturé à l'admission, minimum nécessaire de PHI dans chaque message, BAA et CCT signés avec les fournisseurs, journaux d'audit conservés, et un job de purge qui tourne réellement. Chaque pièce est petite ; ensemble, elles font la différence entre un programme défendable et un incident de conformité.

Si tu conçois cela depuis zéro, commence par le guide complet du logiciel de gestion de cabinet dentaire pour le flux global, puis plonge dans les playbooks spécifiques au canal sur comment envoyer des rappels. Les deux s'intègrent aux contrôles intégrés de consentement, d'opt-out et de conservation de DodoDentist.

Télécharge notre check-list de conformité des rappels HIPAA + TCPA en une page (gratuite) — garde-la près de l'accueil et coche-la lors de ta prochaine revue trimestrielle de confidentialité.

icon-facebook
icon-linkedin

Sign up for our newsletter

Recent articles