Arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Annuaires techniques et exposition sur internet »

Version INITIALE

NOR : TSSD2406363A

ELI : https://www.legifrance.gouv.fr/eli/arrete/2024/3/18/TSSD2406363A/jo/texte

Texte n°20

Extrait du Journal officiel électronique authentifié

PDF - 279,2 Ko

ChronoLégi l'accès au droit dans le temps


Le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la décision de la Commission du 20 décembre 2011 (2012/21/UE) relative à l'application de l'article 106, paragraphe 2, du traité sur le fonctionnement de l'Union européenne ;
Vu le code de la santé publique ;
Vu la loi n° 2020-1576 du 14 décembre 2020 de financement de la sécurité sociale pour 2021,
Arrête :


  • Un programme de financement destiné à encourager le renforcement de la sécurité informatique des établissements de santé est mis en place.
    Ce programme a pour objet de favoriser la mise en œuvre d'actions de remédiation concernant les annuaires techniques et l'exposition internet des établissements de santé. Les financements relevant du programme créé par le présent arrêté sont attribués aux établissements de santé publics et privés afin d'atteindre les objectifs visant à renforcer leur résilience et leur sécurité informatique. Cette obligation de sécurité pour les établissements résulte des opérations de traitement de données de santé à caractère personnel et des données à caractère personnel inhérentes à leur activité de soin.


  • Les financements relevant du présent arrêté sont attribués dans le cadre d'un système de financement sur atteinte d'objectifs opéré par l'Agence du numérique en santé, groupement d'intérêt public mentionné à l'article L. 1111-24 du code de la santé publique. Ce système est organisé selon une procédure transparente, assurant un libre et égal accès aux établissements de santé intéressés. Le nombre d'établissements admis à y participer ne peut être contingenté. La base des établissements de santé éligibles, accessible en ligne sur le site de l'Agence du numérique en santé, désigne la base listant les établissements éligibles et les montants auxquels ils peuvent prétendre sous condition, dans le cadre du présent programme.


  • Tout établissement de santé éligible peut prétendre à un financement afin de renforcer sa sécurité informatique, mesurée grâce à l'atteinte de certains objectifs.
    L'annexe 1 au présent arrêté intitulée « Prérequis, objectifs et preuves d'atteinte des objectifs » fixe la description technique des prérequis et des objectifs à atteindre, ainsi que les éléments de preuves à fournir pour justifier de l'atteinte des objectifs.
    L'annexe 2 au présent arrêté intitulée « Critères d'éligibilité, modalités de mobilisation des financements » fixe les critères d'éligibilité des établissements de santé appelés à bénéficier des financements, le calendrier de l'appel à financement, les modalités de mobilisation des financements, les montants attribués, la gestion des indus et recouvrement.


  • Une convention est conclue entre l'Agence du numérique en santé et tout établissement de santé dont la candidature est validée. Elle définit les droits et obligations réciproques des parties au titre du programme de financement objet du présent arrêté.


  • L'Agence du numérique en santé est chargée de la gestion technique, administrative et financière du programme de financement défini par le présent arrêté.
    Elle rend compte régulièrement à l'Etat des candidatures en cours, des engagements et des versements exécutés au titre du présent arrêté.
    L'Agence du numérique en santé s'appuie sur les agences régionales de santé pour l'instruction de premier niveau des demandes de financement, la promotion et l'accompagnement des établissements sanitaires dans le processus d'instruction des demandes de financement.


  • L'Agence du numérique en santé peut réaliser ou faire réaliser par tout tiers les contrôles nécessaires à la vérification du respect, par tout établissement de santé s'étant vu notifier un financement au titre du présent programme, des dispositions réglementaires et des stipulations de la convention mentionnée à l'article 4. Ces contrôles peuvent avoir lieu à tout moment et être réalisés sur place ou sur pièces.
    L'établissement de santé susvisé tient à disposition de l'Agence du numérique en santé tout document permettant d'effectuer ces contrôles. Toute entrave à ces contrôles peut donner lieu, après que le bénéficiaire a été mis en mesure de présenter ses observations dans un délai raisonnable, au retrait du financement.


  • Le présent arrêté et ses annexes seront publiés au Journal officiel de la République française.


    • APPEL À FINANCEMENT RELATIF À UN PROGRAMME DE FINANCEMENT DESTINÉ À RENFORCER LA SÉCURITÉ NUMÉRIQUE DES ÉTABLISSEMENTS DE SANTÉ - FONCTION « ANNUAIRES TECHNIQUES ET EXPOSITION SUR INTERNET »
      ANNEXES
      ANNEXE 1
      PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS


      Historique du document - Suivi des modifications apportées

      Version
      Date
      Auteur
      Commentaires/modifications

      V1
      23/11/2023
      Direction programme

      V2
      14/02/2024
      Direction programme
      D1.O2.A : Intégration usage possible de SILENE

      V3
      16/02/2024
      Direction programme
      D1.O1.A : Ajustement de la définition “phase opérationnelle”,
      D1.O1.B : Ajout délai de réalisation du dernier audit AD avant déclaration d'atteinte des objectifs,
      D1.O2.A : Ajustement de la définition “phase opérationnelle”,
      D1.O2.B : Ajout délai de réalisation du dernier audit exposition internet avant déclaration d'atteinte des objectifs.


      Identifiant
      Libellé
      Cible Domaine 1
      Liste des pièces à fournir

      Prérequis

      D1.P1
      Atteindre les prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES
      L'établissement de santé (ES) doit avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES :
      • Prérequis PS2.1 - Présence d'une politique de sécurité et plan d'action SSI réalisé, existence d'un responsable sécurité (reprise à l'identique du P2.4 HOP'EN)
      • Prérequis PS2.2 - Cybersécurité : réalisation d'un audit externe de cybersurveillance (extension du P2.5 HOP'EN)
      Pour les GHT, il est nécessaire que
      • Ce prérequis soit atteint par'établissement support du GHT (FINESS EJ) ;
      • Les établissements du GHT (FINESS EJ) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée du GHT.
      Pour les établissements publics hors GHT, il est nécessaire que ce prérequis soit atteint par :
      • L'entité juridique (FINESS EJ) porteuse de la candidature.
      Pour les établissements privés (à but non lucratif et lucratif), il est nécessaire que :
      • Les établissements (FINESS EG) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée de l'entité juridique porteuse de la candidature.
      Pour les établissements ayant une candidature validée au programme SUN-ES :
      • Aucun document
      Pour les établissements n'ayant pas une candidature validée au programme SUN-ES :
      • Liste des documents exigées pour les prérequis PS2.1 et PS2.2 de SUN-ES :
      • Document présentant la politique de sécurité décrivant notamment l'analyse des risques détaillée, l plan d'action associé en lien avec le plan d'action SSI de l'instruction 309 du 14 octobre 2016 (datant de moins de 3 ans) et la fonction de responsable sécurité des SI (RSSI),
      • Procédure de remontée des incidents de sécurité (Art. L.1111- 8-2 CSP),
      • Organigramme mettant en évidence le positionnement du RSSI, préconisé en dehors de la DSI" par exemple rattaché à la cellule qualité,
      • Fourniture d'une attestation de la tenue d'au moins 2 rendez-vous annuels RSSI/Direction de l'établissement avec à l'ordre du jour a minima : le suivi du plan d'actions SSI et le suivi de la remontée des incidents de sécurité,
      • Fourniture d'une attestation de réalisation de l'audit de cybersurveillance (exposition sur internet) par le prestataire et signée par le directeur d'établissement et datant de moins de 2 ans.

      Objectifs

      D1.O1.A
      Réaliser régulièrement des audits de tous les AD
      Un audit ADS (porté par l'ANSSI) doit être réalisé pour l'ensemble des annuaires des établissements du candidat tous les 2 mois durant la phase opérationnelle.
      NB : Les annuaires AD locaux ou en mode hybride (AD local avec recopie dans le cloud) sont concernés par cet objectif. Sous réserve de la mise à disposition courant 2024 par l'ANSSI d'un outil adapté aux AD hébergés complétement dans le cloud, ces annuaires hébergés dans le cloud sont également concernés par cet objectif.
      NB 2 : Les AD hébergés pour un tiers (en tant qu'hébergeur HDS) ne sont pas concernés par cet objectif.
      Phase opérationnelle : phase comprise entre :
      • La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),
      • Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.
      • Description exhaustive des infrastructures AD et de leurs interconnexions,
      • Rapports des audits ADS réalisés.

      D1.O1.B
      Atteindre un niveau de sécurisation minimum des AD
      Cible à atteindre :
      Un score supérieur ou égal à 2 doit être obtenu pour les 2 derniers audits ADS des différents AD, selon les règles ci-dessous :
      Pour les GHT :
      • Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD de l'établissement support,
      ET
      • Si le GHT à plusieurs entités juridiques (FINESS EJ)
      - Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EJ) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée du GHT.
      NB : Une entité juridique (EJ) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.
      Pour les établissements publics hors GHT et pour les établissements privés :
      • Score des 2 derniers audits successifs ≥ 2 pour tous les AD de l'entité juridique (FINESS EJ),
      ET
      • Si l'EJ à plusieurs entités géographiques (FINESS EG),
      - Score des 2 derniers audits successifs ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EG) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée de l'entité juridique.
      NB : Une entité géographique (EG) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.
      NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit ADS réalisé devra dater d'un mois maximum.
      • 2 derniers rapports des audits ADS pour l'ensemble des AD du candidat.

      D1.O2.A
      Réaliser régulièrement des audits de l'exposition internet
      Un audit d'exposition internet doit être réalisé tous les deux mois durant la phase opérationnelle.
      Phase opérationnelle : phase comprise entre :
      • La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),
      • Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.
      Pour réaliser cet audit, il est possible de solliciter :
      • Le service SILENE (ANSSI),
      • Une plateforme d'audit industrielle chargée de produire les rapports conclusifs (D1.O2.B). Cette plateforme respectera le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé) qui décrit les attendus de cet audit en termes d'éléments contrôlés et de de modalités de restitution des résultats.
      • Liste des Domaines exposés,
      • Liste des adresses IP publiques,
      • Rapports d'audit d'exposition internet réalisés.

      D1.O2.B
      Atteindre un niveau de sécurisation minimum de son exposition sur internet
      Pour les GHT, les établissements publics hors GHT et les établissements privés :
      Absence de vulnérabilités et de risques de niveau critique sur les 2 derniers audits successifs d'exposition internet sur l'ensemble du périmètre.
      NB 1 : Ces deux derniers audits devront impérativement être réalisés par une plateforme d'audit industrielle respectant le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé),
      NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit réalisé devra dater d'un mois maximum.
      • Deux derniers rapports d'audit d'exposition internet (démontrant l'absence de vulnérabilité critique (CVSS supérieur à 9.0) et des risques de niveau critique et l'application des correctifs de sécurité associés).

      D1.O3
      Se préparer au risque cyber
      Un premier exercice de crise cyber a été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) en 2023 ou 2024.
      • Rapport de réalisation de l'exercice sur la base du modèle fourni dans les kits ANS ou une attestation de réalisation par le prestataire, l'ARS ou le GRADeS.

      D1.O4
      S'auto-évaluer en matière de maturité vis-à-vis des risques cyber
      100 % des établissements du candidat (au sens FINESS PMSI) ont renseigné l'oSIS sur les champs suivants :
      • Part du budget numérique dans le budget global de l'ES,
      • 43 mesures prioritaires.
      • Aucune.

      D1.O5
      Calculer le budget dédié au numérique
      Calculer la part du budget dédiée au numérique dans le budget général des établissements du candidat (au sens FINESS PMSI) et le nombre d'ETP dédié à la SSI (ces ETP incluent les ressources de la DSI ainsi que le RSSI).
      • Aucune.

      D1.O6.A
      (Spécifique GHT)
      Piloter au niveau du GHT la réponse au programme et le suivi de l'atteinte des objectifs
      Le GHT doit :
      • Désigner un référent du projet, nommé par le directeur de l'établissement support de GHT, dont le rôle sera de :
      - Suivre la bonne réalisation des audits AD et d'exposition internet,
      - Veiller à la bonne exécution de l'exercice de gestion de crise,
      - Veiller au bon remplissage de l'oSIS dont notamment la part du numérique dans le budget.
      • Mettre en place une équipe opérationnelle unique pour la gestion des AD au niveau du GHT en charge de la réalisation des audits et des actions de remédiation associées,
      • Mettre en place la gouvernance transverse du projet CaRE l'ensemble du GHT, assurant notamment la coordination du référent, de la DSI, du RSSI et de l'équipe opérationnelle.
      • Constitution de l'équipe projet,
      • Schéma de le gouvernance mise en place.

      D1.O6.B
      (Spécifique GHT)
      Formaliser la stratégie du GHT en matière de convergence des AD
      Le GHT doit formaliser, présenter et faire valider par le comité stratégique du GHT :
      • Un document précisant les modalités de convergence de l'infrastructure AD du GHT,
      • Ce document est élaboré au niveau du GHT et validé par la Direction générale de l'établissement support du GHT et la DSI de l'établissement support du GHT,
      • Ce document comprend un planning projet prévoyant une trajectoire de convergence de l'infrastructure AD à une échéance maximale de 18 mois post appel à financement D1, les modalités organisationnelles devant être mises en œuvre (existence d'un responsable et mutualisation des équipes SI dédiées à ces sujets) et le budget prévisionnel nécessaire au projet.
      • Trajectoire de convergence des AD qui adresse l'ensemble des établissements du GHT.


    • APPEL À FINANCEMENT RELATIF À UN PROGRAMME DE FINANCEMENT DESTINÉ À RENFORCER LA SÉCURITÉ NUMÉRIQUE DES ÉTABLISSEMENTS DE SANTÉ - FONCTION « ANNUAIRES TECHNIQUES ET EXPOSITION SUR INTERNET »
      ANNEXE 2
      CRITÈRES D'ÉLIGIBILITÉ, MODALITÉS DE MOBILISATION DES FINANCEMENTS


      Historique du document - Suivi des modifications apportées

      Version
      Date
      Auteur
      Commentaires/modifications

      V1
      13/02/2024
      Direction Programme

      V2
      16/02/2024
      Direction Programme
      Intégration de la notion de « montants plafonnés » et de la nécessité de fournir un bilan financier au moment de la déclaration de l'atteinte des objectifs


      Sommaire


      1. Définitions et présentation du Domaine 1 du programme CaRE
      1.1. Définitions
      1.2. Présentation du Domaine 1 du programme CaRE
      2. Critères d'éligibilité des établissements de sante bénéficiaires des financements
      3. Financements du Domaine 1 pour l'atteinte d'objectifs définis
      4. Calendrier de l'appel à financement du Domaine 1
      5. Modalités de mobilisation des financements
      5.1. Modalités de dépôt des candidatures au financement
      5.1.1. Entités autorisées à déposer une candidature au financement
      5.1.2. Modalités de dépôt des candidatures au financement
      5.1.3. Instruction des candidatures
      5.2. Modalités de versement des financements
      5.2.1. Déclaration de l'atteinte des objectifs et instruction des demandes
      6. Montants des financements attribués
      7. Gestion des indus et recouvrement


      1. Définitions et présentation du Domaine 1 du programme CaRE
      1.1 Définitions


      Sauf disposition contraire, les termes et expressions commençant par une majuscule et employés dans le présent document ont la signification qui leur est attribuée ci-après :
      Un Etablissement de santé (ES) est une structure de droit public ou privé disposant d'une autorisation à jour « établissement de santé » délivrée par son ARS de rattachement. Les critères d'éligibilités des ES au présent dispositif de financement sont définis en section 2.
      L'Activité combinée mesure l'activité des établissements fondée sur le nombre de journées et séances. Les différents champs d'activité sont mis en équivalence avec les journées MCO selon la convention suivante :


      1. 1 séance MCO équivaut à 0,5 journée MCO (dont les séances de dialyse) ;
      2. 1 hospitalisation de jour de chirurgie ambulatoire équivaut à 1,5 journée MCO ;
      3. 1 journée SMR, 1 journée PSY, 1 journée HAD ou 1 journée USLD équivalent à 0,5 journée MCO.


      Pour un ES-géographique, l'Activité combinée est celle de l'établissement. Pour un ES-juridique, l'Activité combinée correspond à la somme des ES-géographiques qui le composent. Pour un GHT, l'Activité combinée correspond à la somme des ES-juridiques qui le composent.
      Un Groupement Hospitalier de Territoire (GHT) est un dispositif conventionnel, obligatoire depuis juillet 2016, entre établissements publics de santé d'un même territoire, par lequel ils s'engagent à se coordonner autour d'une stratégie de prise en charge commune et graduée du patient, formalisée dans un projet médical partagé. Ce dispositif a été créé par la loi de modernisation du système de santé en 2016. Ils sont définis dans les articles L. 6132-1 à L. 6132-7a (1) et R. 6132-1 à R. 6132-24b (2) du code de la santé publique.
      Le service ADS (Active Directory Security) (3) développé par l'ANSSI, met à disposition des établissements de santé publics et privés une capacité d'audit des annuaires Active Directory (AD) visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire.
      Les opérations de contrôle désignent l'ensemble des vérifications qui seront réalisées pour valider la bonne atteinte des objectifs par un établissements. Ces vérifications peuvent se faire à travers l'étude de pièces fournies par l'établissement ou en direct avec l'établissement (en visio ou sur site directement). Une attestation sera délivrée à l'issu de ces opérations de contrôle à l'établissement.
      L'Opérateur de paiement désigne l'organisme en charge du paiement des établissements de santé une fois que les opérations de contrôle auront validé la bonne atteinte des objectifs de l'appel à financement (annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1).


      (1) Articles L. 6132-1 à L. 6132-7 du code de la santé publique.
      (2) Articles R. 6132-1 à R. 6132-24 du code de la santé publique.
      (3) Le service ADS.


    • 1.2. Présentation du Domaine 1 du programme CaRE


      Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l'exposition internet est l'un des vecteurs principaux de pénétration par les attaquants dans le système d'information des établissements de santé. L'Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d'infliger plus de dégâts.
      Le Domaine 1 vise à :


      - atteindre un premier niveau de remédiation de l'exposition sur internet ;
      - atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
      - se préparer au risque d'une cyberattaque ;
      - s'auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
      - prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).


      2. Critères d'éligibilité des établissements de santé bénéficiaires des financements


      Les ES éligibles au dispositif de financement Domaine 1 du programme CaRE sont les ES structures de droit public ou privé, qui :


      - disposent d'une autorisation à jour, délivrée par l'ARS de rattachement, leur permettant d'exercer en tant qu'établissement de santé ;
      - ont déclaré une activité PMSI non nulle en termes de séjours hospitaliers en 2022 ;
      - possèdent un identifiant FINESS juridique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205 ;
      - possèdent un identifiant FINESS géographique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 101, 355, 292, 131, 106, 109, 362, 122, 128, 129, 365, 156, 161, 366, 412, 415, 425, 430, 444, 127, 141, 114, 115, 697.


      Ces dispositions s'appliquent aux départements et régions d'outre-mer, ne s'appliquent pas aux territoires et collectivité d'outre-Mer, la Polynésie française, de la Nouvelle-Calédonie, et de Wallis et Futuna, Saint-Barthélemy, Saint-Martin, Saint-Pierre-et-Miquelon.
      Base des ES éligibles
      La Base des ES éligibles désigne la base listant les identifiants des ES, leur Activité combinée en 2022 par FINESS PMSI et les montants auxquels ils peuvent prétendre sous condition dans le cadre du présent dispositif Domaine 1 du programme CaRE. Cette base est mise à disposition sur le site de l'ANS. Les informations contenues dans cette base sont celles faisant foi.
      Conditions portant sur prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES
      Les ES éligibles doivent avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES pour pouvoir solliciter le financement du dispositif Domaine 1 du programme CaRE. Ces prérequis sont présentés dans l'annexe 1 - Prérequis et objectifs du domaine D1. Les ES éligibles dont la candidature au programme SUN-ES a été validée n'ont pas besoin de justifier le respect de ces conditions.
      Les ES éligibles devront attester qu'ils n'ont pas bénéficié de fonds européens pour financer des opérations d'amélioration de leur cybersécurité en lien avec les objectifs de cet appel à financement sur les mêmes actions.


      3. Financements du Domaine 1 pour l'atteinte d'objectifs definis


      Les investissements du Domaine 1 du programme CaRE ont pour objectif de concentrer le soutien financier sur des objectifs et indicateurs favorisant la sécurité des SI des établissements de santé. Il est ainsi prévu de financer les établissements, sous la condition qu'ils atteignent plusieurs objectifs préalablement définis.
      Ces objectifs :


      - s'inscrivent dans la continuité des indicateurs HOP'EN et SUN-ES pour accompagner progressivement la montée en maturité du niveau de sécurité des systèmes d'information des établissements ;
      - sont concentrés sur la réalisation d'audits des annuaires techniques (AD) et de l'exposition internet et l'atteinte d'un niveau minimum de sécurité via la mise en œuvre de mesures de remédiation.


      L'annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du domaine D1 définit pour chaque objectif les valeurs cibles et autres conditions minimales à réunir pour valider l'atteinte des objectifs, ainsi que les textes de référence pouvant s'appliquer.


      4. Calendrier de l'appel à financement du Domaine 1


      L'appel à financement du Domaine 1 est mis en œuvre selon le calendrier suivant :


      Date
      Description

      Date de parution au JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1
      Date à partir de laquelle les ES éligibles souhaitant bénéficier des financements peuvent démarrer les travaux permettant d'atteindre les objectifs de l'appel à financement décrits à l'annexe 1 de l'arrêté (annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1).

      18 mars 2024
      Ouverture du guichet en ligne de dépôt des demandes de financement permettant aux ES éligibles de faire acte de candidature auprès de leur ARS et de déposer les pièces nécessaires.

      19 avril 2024
      Fermeture du guichet en ligne de dépôt des demandes de financement.

      21 mai 2024
      Fin de l'instruction des candidatures par les ARS.

      21 mai 2024
      Ouverture du portail de dépôt de preuves et de demande des opérations de contrôle.

      10 juin 2024
      Ouverture du guichet de paiement.

      28 mars 2025
      Fermeture du portail de dépôt de preuves et de demande des opérations de contrôle.

      25 octobre 2025
      Fermeture du guichet de paiement


      5. Modalités de mobilisation des financements
      5.1. Modalités de dépôt des candidatures au financement
      5.1.1. Entités autorisées à déposer une candidature au financement


      Les ES autorisés à déposer des candidatures au financement pour le compte des ES éligibles sont définis en fonction du statut des ES éligibles :


      - pour les ES éligibles publics :
      - dans le cadre d'un GHT, l'établissement support du GHT candidate pour l'ensemble des EJ du GHT, dans le respect de la convention constitutive du GHT présentant ses compétences et ses instances décisionnelles, ou le cas échéant, avec une autorisation octroyée lors d'une instance décisionnelle. Les ESMS membres du GHT ne sont pas concernés pour le Domaine D1 ;
      - pour les ES éligibles ne faisant pas partie d'un GHT : la demande de candidature au financement doit être portée par l'entité juridique ;
      - pour les établissements privés (à but non lucratif et lucratif), la demande de candidature au financement doit être portée par l'entité juridique pour l'ensemble de ses ES géographiques.


      5.1.2. Modalités de dépôt des candidatures au financement


      Les ES autorisés à déposer une candidature au financement doivent déposer leur dossier via le guichet en ligne géré par l'opérateur de paiement dans les délais définis en section 4.
      Pour être recevables, les candidatures doivent comporter l'ensemble des éléments administratifs et les pièces justificatives mentionnées dans l'annexe 1 de l'arrêté (annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1).


      5.1.3. Instruction des candidatures


      Les candidatures au financement sont instruites par les agences régionales de santé qui vérifient la complétude des demandes et le respect des critères d'éligibilité définis dans l'annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1.
      Les candidatures validées donnent lieu à une notification aux ES ayant déposé la demande et à la signature d'une convention avec l'opérateur de paiement (l'Agence du numérique en santé) définissant les engagements mutuels des deux parties.


      5.2. Modalités de versement des financements
      5.2.1. Déclaration de l'atteinte des objectifs et instruction des demandes


      Une fois les objectifs atteints par les ES éligibles, les entités autorisées à déposer les demandes doivent déclarer sur la plateforme en ligne dédiée l'atteinte des objectifs et y déposer les pièces justificatives.
      L'ARS et l'ANS procèdent ensuite à l'instruction des éléments déclarés et des pièces justificatives déposées afin d'en vérifier la complétude, la recevabilité et la conformité avec les objectifs à atteindre.
      Dans le cadre des contrôles de conformité mené par l'ANS, des contrôles supplémentaires sur pièce ou sur site peuvent être sollicités par l'ANS.


      6. Montants des financements attribués


      Les financements attribués dans le cadre du Domaine D1 du programme CaRE sont plafonnés. Les montants planchers sont de 15 000 € et les montants plafonds varient selon le nombre d'établissements rattachés à l'entité autorisée à porter la demande, et en fonction de l'Activité combinée.
      Trois types d'établissements sont distingués pour le calcul des montants plafonds :


      - les GHT ;
      - les établissements publics hors GHT ;
      - les établissements privés à but lucratif ou non lucratif.


      Pour les GHT, le montant du financement plafond correspond à la somme :


      - d'une part liée au nombre d'EJ composant le GHT :
      - en premier lieu, un nombre pondéré d'EJ est calculé en tenant compte d'un mécanisme de dégressivité qui s'applique :
      - les 3 premiers EJ sont comptabilisés à 100 % ;
      - le nombre d'EJ au-delà du seuil des 3 premiers EJ est comptabilisé à 50 % ;
      - le montant est égal au nombre pondéré d'EJ multiplié par le montant du forfait EJ ;
      - d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée du GHT sur 100 000 multiplié par le forfait AC public.


      Pour les établissements publics hors GHT, le montant du financement plafond correspond à la somme :


      - d'une part liée au nombre d'EG composant l'EJ : le montant est égal au nombre d'EG multiplié par le montant du forfait EG public ;
      - d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée de l'EJ sur 100 000 multiplié par le forfait AC public.


      Pour les autres établissements, le montant du financement plafond est la somme :


      - d'une part liée au nombre d'EG composant l'EJ :
      - en premier lieu, un nombre pondéré d'EG est calculé en tenant compte d'un mécanisme de dégressivité qui s'applique :
      - aux EG d'activité psychiatrique (PSY), dont le nombre est pondéré à 0,5 ;
      - aux EG d'activité maladie rénale chronique (MRC) dont le nombre est pondéré à 0,25 ;
      - le montant est égal au nombre d'EG pondéré multiplié par le montant du forfait EG privé ;
      - d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée de l'EJ sur 100 000 multiplié par le forfait AC privé.


      Le montant du financement plafond est calculé sur la base de ces forfaits :


      - montant du forfait établissement juridique (EJ) = 43 421,05 € ;
      - montant du forfait établissement géographique (EG) public : 11 395,03 € ;
      - montant du forfait établissement géographique (EG) privé : 11 395,03 € ;
      - montant du forfait Activité combinée (AC) public : 17 377,59 € par tranche de 100 000 activités combinées ;
      - montant du forfait Activité combinée (AC) privé : 12 897,68 € par tranche de 100 000 activités combinées.


      Le montant des plafonds pour chaque ES éligible est mis à disposition sur le site de l'ANS (cf. section 2).
      Le montant des financements qui sera alloué aux établissements de santé sera calculé à partir de la déclaration des coûts réellement engagés par l'établissement à partir du 1er janvier 2023 jusqu'à la déclaration d'atteinte des objectifs (« période d'éligibilité »). Cette déclaration sera établie sur la base des principes de comptabilité analytique généralement acceptés et mis en œuvre pour le calcul des surcompensations éventuelles.
      Seuls les coûts engagés ainsi déclarés donneront lieu à un financement, lequel ne pourra excéder le plafond applicable à l'ES, tel qu'il est défini ci-dessus. L'établissement tient à disposition de l'ANS, l'ensemble des éléments comptables permettant de vérifier que les coûts engagés qu'il aura déclarés et qui auront donné lieu au versement des financements correspondent effectivement aux coûts occasionnés par l'atteinte des objectifs du présent dispositif.
      S'il est constaté à l'occasion d'un contrôle que les financements versés à l'ES excèdent les coûts effectivement occasionnés pour l'atteinte des objectifs du présent dispositif, l'excédent sera constitutif d'une surcompensation, qui devra être restitué selon les modalités qui seront alors définies par l'ANS conformément à la règlementation européenne.


      7. Gestion des indus et recouvrement


      En cas de non-respect des dispositions de l'arrêté et de ses annexes, ou de celles de la convention liant l'ES bénéficiaire du financement et l'ANS, l'ANS, après avoir mis en demeure de façon infructueuse l'ES éligible de remédier aux manquements constatés ou de présenter ses observations dans un délai raisonnable, ordonne le retrait du financement puis le reversement des sommes indument perçues.
      Ce reversement pourra en particulier être ordonné dans les cas de constatation a posteriori d'une déclaration erronée de l'ES éligible (ex : fausse déclaration dans les pièces justificatives nécessaire à la démonstration de l'atteinte des objectifs). Dans ce cas, l'ES éligible pourra être amené à reverser l'intégralité de la somme reçue pour l'atteinte des objectifs.
      En cas de contrôle par l'ANS, et si une surcompensation est constatée, l'ANS demandera à l'ES bénéficiaire un reversement des financements versés. Un tel contrôle peut être initié à la demande du financeur ou de la Commission européenne.


      Glossaire


      Acronymes

      AC
      Activité combinée

      AD
      Active directory

      ADS
      Active directory security

      ANS
      Agence du numérique en santé

      ANSSI
      Agence nationale de la sécurité des systèmes d'Information

      ARS
      Agence régionale de santé

      CaRE
      Cybersécurité accélération et résilience des établissements

      D1
      Domaine 1

      EG
      Entité géographie

      EJ
      Entité juridique

      ES
      Etablissement de santé

      ESSMS
      Etablissement ou service social ou médico-social

      FINESS
      Fichier national des établissements sanitaires et sociaux

      GHT
      Groupement hospitalier de territoire

      HAD
      Hospitalisation à domicile

      HOP'EN
      Hôpital numérique ouvert sur son environnement

      JO
      Journal Officiel

      MCO
      Médecine chirurgie obstétrique

      PMSI
      Programme de médicalisation des systèmes d'information

      PSY
      Psychiatrie

      SMR
      Soins médicaux et de réadaptation

      SUN-ES
      Ségur usage numérique en établissements de santé

      USLD
      Unité de soins de longue durée


Fait le 18 mars 2024.


Pour le ministre et par délégation :
La déléguée au numérique en santé,
H. Ghariani

Extrait du Journal officiel électronique authentifié

PDF - 279,2 Ko