Arrêté du 8 septembre 2025 modifiant l'arrêté du 3 juillet 2025 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Stratégie de continuité et de reprise d'activité »

Version INITIALE

NOR : TSSL2525210A

ELI : https://www.legifrance.gouv.fr/eli/arrete/2025/9/8/TSSL2525210A/jo/texte

Texte n°13

Extrait du Journal officiel électronique authentifié

PDF - 295,1 Ko

ChronoLégi l'accès au droit dans le temps


Publics concernés : agences régionales de santé ; établissements sanitaires ; Agence du numérique en santé.
Objet : modifications sur les modalités calendaire et précisions sur le programme de financement créé par l'arrêté du 3 juillet 2025.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Application : le présent arrêté est pris application de l'article L.. 1111-24 du code de la santé publique.


Le ministre auprès de la ministre du travail, de la santé, des solidarités et des familles, chargé de la santé et de l'accès aux soins,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu la décision de la Commission du 20 décembre 2011 (2012/21/UE) relative à l'application de l'article 106, paragraphe 2, du traité sur le fonctionnement de l'Union européenne ;
Vu le code de la santé publique ;
Vu la loi n° 2020-1576 du 14 décembre 2020 de financement de la sécurité sociale pour 2021,
Arrête :


  • Les annexes 1 et 2 de l'arrêté du 3 juillet 2025 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Stratégie de continuité et de reprise d'activité » sont remplacées par les annexes du présent arrêté.


  • Le présent arrêté sera publié au Journal officiel de la République française.


    • Appel à financement relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé-Fonction « Stratégie de continuité et de reprise d'activité »


      ANNEXE 1
      PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS


      Historique du document-Suivi des modifications apportées

      Version
      Date
      Auteur
      Commentaires/ modifications

      V1
      26/06/2025
      Direction programme

      V2
      26/08/2025
      Direction programme
      -D2. P1 : Modification de la période durant laquelle la PSSI doit avoir été mise à jour et validée
      -D2. 02. A : Modification de la période durant laquelle la politique de sauvegarde et de restauration doit avoir été mise à jour et validée
      -Modification de la date de fermeture du guichet de paiement.
      Précisions sur les cibles/ pièces à fournir


      Les prérequis et objectifs fixés dans le cadre de ce domaine doivent être traités, sauf mention contraire, par :


      -tous les établissements parties du Groupement hospitalier de territoire (GHT) ;
      -entité juridique (EJ), pour les candidats hors GHT.


      La mention candidat, constitue une mention générique qui traite les deux cas précités de candidats GHT et hors GHT.


      Identifiant
      Libellé
      Cible domaine « Stratégie de continuité
      et de reprise d'activité »
      Liste des pièces à fournir

      PRÉREQUIS

      D2. P1
      Disposer d'une Politique de Sécurité des Systèmes d'Information (PSSI) formalisée et à jour
      Le candidat doit fournir sa politique de sécurité des systèmes d'information (PSSI) validée par le représentant légal du candidat et revue entre le 16 juillet 2022 et la date de dépôt du dossier de candidature.
      La PSSI conforme à la cible ou un document présentant sa conformité.

      D2. P2
      Décrire l'organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d'Activité
      Le candidat doit décrire l'organisation projet mise en place pour assurer la construction et le maintien dans le temps de son plan de continuité et de reprise d'activité.
      L'écriture des plans de continuité et de reprise d'activité est exigée dans le cadre de l'objectif D2. O1 du présent domaine, et le candidat doit donc démontrer qu'il a prévu l'organisation permettant d'atteindre cet objectif.
      La désignation d'un responsable du plan de continuité et de reprise de l'activité (RPCRA) est recommandée dans cette organisation, mais elle n'est pas obligatoire pour l'atteinte de ce prérequis.
      Document décrivant l'organisation projet avec la constitution de l'équipe projet et d'une gouvernance du projet.

      OBJECTIFS

      D2. O1 : Inclure la gestion de la Continuité et Reprise d'activité dans la gouvernance des établissements

      D2. O1. A
      Mettre en place une gouvernance pour la Continuité et la Reprise d'Activité
      Le candidat doit élaborer un schéma de gouvernance décrivant la démarche mise en place pour la continuité et la reprise d'activité.
      -Schéma de gouvernance pour la continuité et la reprise d'activité
      -Compte-rendu d'une instance de direction du candidat où le schéma de gouvernance a été présenté et validé.

      D2. O1. B
      Décrire les procédures de réponse à la gestion de crise cyber
      Le candidat doit :
      • Intégrer les risques numériques dans le plan blanc.
      • Formaliser ou revoir les procédures de crise cyber, incluant l'organisation de la cellule de crise et les modalités de signalement.
      -Plan blanc (ou extrait du plan blanc) du candidat intégrant les modalités de gestion des risques numériques et décrivant notamment l'organisation de la/ les cellules de crise.
      -Procédure décrivant les modalités de signalement (montante et descendante) en place.

      D2. O1. C
      Formaliser un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA)
      Le candidat doit formaliser un Plan de Continuité et de Reprise d'Activité (PCRA) en s'appuyant sur la réalisation de bilans d'impacts sur l'activité, a minima sur les périmètres suivants s'ils existent au sein de la structure du candidat :
      -Un service de soins ayant un impact majeur sur la prise en charge du patient.
      -Le processus administratif le plus critique pour l'établissement (exemples paie, comptabilité, gestion des fournisseurs, etc.).
      -Plateau technique en lien avec le parcours de soins tel que la pharmacie, l'imagerie, la biologie.
      Pour les GHT avec plusieurs entités juridiques (FINESS EJ) :
      -Les BIA et les PCRA doivent être formalisés pour un nombre d'EJ représentant au moins 66 % de l'activité combinée du candidat.
      Pour les candidats hors GHT ayant plusieurs entités géographiques (FINESS EG) :
      -Les BIA et les PCRA doivent être formalisés pour un nombre d'EG représentant au moins 66 % de l'activité combinée du candidat.
      -Bilans d'impacts sur l'activité-BIA par établissement (Autant de BIA que de périmètres a minima) [si la méthodologie utilisée se base sur ce type d'outils]
      -Document énumérant les activités critiques sur les périmètres a minima de chaque établissement.
      -Si un ou plusieurs BIA non réalisés : Motif (s) de non-présence du document.
      -Plans de Continuité d'Activité/ Plans de Reprise d'Activité sur les activités critiques identifiées pour chaque candidat.

      D2. O1. D
      Tester la mise en œuvre d'un Plan de Continuité d'Activité (PCA) dans un exercice terrain
      Le candidat doit :
      -Effectuer un test pour la mise en œuvre d'au moins un PCA sur un périmètre défini par le candidat (*) dans le cadre d'un exercice terrain adapté pendant la phase opérationnelle (**).
      -Etablir un planning de test des autres exercices de PCA.
      Pour les GHT avec plusieurs entités juridiques (FINESS EJ) :
      -Le test de PCA doit être réalisé pour un nombre d'EJ représentant au moins 66 % de l'activité combinée du candidat.
      Pour les candidats hors GHT ayant plusieurs entités géographiques (FINESS EG) :
      -Le test de PCA doit être réalisé pour un nombre d'EG représentant au moins 66 % de l'activité combinée du candidat.
      (*) En fonction de ses priorités et de sa capacité opérationnelle avec a minima un service/ périmètre testé.
      (**) Phase opérationnelle : phase comprise entre :
      • La publication de l'arrêté relatif à la fonction « Stratégie de continuité et de reprise d'activité »
      • Le dépôt de la déclaration d'atteinte des objectifs par le candidat sur le guichet dédié.
      -PCA utilisé dans le cadre de l'exercice sur une des activités critiques (sauf si celui-ci a déjà été fourni dans l'objectif O1. C).
      -Scénario de test d'un PCA.
      -RETEX se basant sur le rapport à la suite de l'exercice et incluant un plan d'amélioration du PCA.

      D2. O2 : Définir, documenter et tenir à jour la politique et le (s) plan (s) de sauvegarde et de restauration

      D2. O2. A
      Définir une politique de sauvegarde et de restauration et la maintenir à jour
      Le candidat doit fournir sa politique de sauvegarde et de restauration validée.
      Elle doit pouvoir s'appliquer aux prestations externalisées et aux applications gérées en mode SaaS par le biais de clauses contractuelles avec le prestataire, et doit avoir été mise à jour entre le 16 juillet 2022 et la date de dépôt du dossier d'atteinte des objectifs.
      Politique de sauvegarde et de restauration conforme aux exigences de la cible.

      D2. O2. B
      Formaliser un/ des plan (s) de sauvegarde et de restauration et le (s) maintenir à jour
      Le candidat doit fournir les plans de sauvegarde de ses systèmes d'information critiques, tels qu'identifiés dans le sous-objectif D2. O1. C, ainsi que les procédures de leur mise à jour.
      Plan (s) de sauvegarde et la procédure de leur mise à jour pour tous les éléments* des SI critiques (tels que identifiés dans le sous-objectif D2. O1. C).
      (*) Eléments : Bases de données, serveurs, serveurs de fichiers

      D2. O3 : Construire un système de sauvegarde sécurisé

      D2. O3. A
      Mettre en œuvre une authentification sécurisée pour les infrastructures de sauvegarde
      Le candidat doit disposer d'un système d'authentification indépendant (AD dédié, comptes locaux, …) pour ses infrastructures de sauvegarde.
      Le candidat doit s'assurer :
      -D'une gestion fine des rôles pour l'accès à la sauvegarde, avec un rôle minimisé au strict nécessaire pour l'opérateur de sauvegarde.
      -De l'utilisation d'une authentification à double facteurs si la solution de sauvegarde le permet.
      En cas d'un système d'authentification de la sauvegarde porté par un Active Directory indépendant, un audit ADS (réalisé par l'ANSSI) doit être réalisé sur l'AD utilisé pour l'administration de la sauvegarde durant la phase opérationnelle et un score minimum de 3 doit être obtenu à la fin de la période opérationnelle.
      -Document décrivant le rôle de l'opérateur de sauvegarde et de l'administrateur.
      -Document décrivant la gestion des rôles pour l'accès à la sauvegarde.
      -Selon la gestion de l'authentification à double facteur, le candidat doit fournir un des documents suivants :
      -Si l'interface d'administration permet une authentification forte, un document décrivant la mise en œuvre de l'authentification (procédure, impressions d'écran).
      -Si l'interface d'administration permet une authentification forte mais qu'elle n'est pas activée, un document justificatif des raisons de sa non mise en œuvre.
      -Si l'interface d'administration ne permet pas une authentification forte, document précisant le nom de la solution de sauvegarde et sa version.
      Cas d'un établissement disposant d'un AD indépendant dédié à l'administration de la sauvegarde :
      -Score audit ORADAD supérieur ou égal à 3 réalisé dans les 60 jours précédant le dépôt de la déclaration d'atteinte des cibles.

      D2. O3. B
      S'inscrire dans une trajectoire pour un cloisonnement de son infrastructure de sauvegarde
      Le candidat doit s'inscrire dans une démarche visant à cloisonner les infrastructures de sauvegarde au sein du système d'information et disposer d'une capacité technique d'isolation en cas d'incident (mode « bouton rouge »).
      -Schéma technique et fonctionnel d'architecture actuel ou cible détaillant la matrice des flux techniques.
      -Pour les établissements s'inscrivant dans la démarche, un planning prévisionnel pour atteindre ce schéma cible, dans un délai inférieur à trois ans dans un souci de mise en conformité avec la directive NIS2.
      -Procédure permettant l'isolation ou l'arrêt des serveurs de sauvegarde en cas d'incident en preuve.

      D2. O3. C
      S'inscrire dans une trajectoire pour la mise en œuvre du 3-2-1
      Le candidat doit s'inscrire dans une démarche pour la mise en œuvre du 3-2-1 (*) avec une trajectoire définie et des jalons clés.
      Cette démarche vise à mettre en place une copie immuable de ses sauvegardes hors ligne ou hors site (dans deux bâtiments distincts, si applicable par l'établissement, chez un hébergeur tiers, etc.).
      (*) Définition disponible dans le glossaire en annexe du guide des prérequis et objectifs disponible sur le site ANS du Programme CaRE
      -Schéma technique et fonctionnel d'architecture actuel ou cible détaillant la matrice des flux techniques (seuls les flux strictement nécessaires doivent circuler).
      -Pour les établissements s'inscrivant dans la démarche, un schéma directeur/ trajectoire ou schéma technique et fonctionnel d'architecture cible vers une mise en place du 3-2-1 avec les principaux jalons identifiés.

      D2. O3. D
      Mettre en place une supervision des sauvegardes
      Le candidat doit instaurer et documenter une organisation pour assurer le suivi efficace des sauvegardes, incluant un plan d'actions pour vérifier leur bonne exécution et des procédures à suivre en cas d'échec.
      Spécificités pour les GHT :
      • Le GHT, conformément à sa feuille de route décrite dans l'objectif D2. O2. A, doit mettre en place une gouvernance de contrôle, centraliser les alertes et permettre au RSSI d'effectuer les contrôles nécessaires.
      • Le GHT doit avoir une procédure formalisée pour traiter les alertes non résolues par un ou plusieurs établissements.
      -Exemple d'états produits ou générés par les solutions de sauvegarde/ tableaux de bord produits par les outils de sauvegarde (extraction de l'outil, impressions d'écran, etc.).
      -Procédures associées pour le contrôle des incidents de sauvegarde et le plan de traitement des alertes telles que décrites dans la politique de sauvegarde.
      Spécificités pour les GHT :
      -Document décrivant la gouvernance de contrôle de la réalisation des sauvegardes.

      D2. O4 : Tester la sauvegarde et la restauration

      D2. O4
      Tester la sauvegarde et la restauration
      Le candidat doit :
      -Réaliser au moins un test technique de bon fonctionnement des sauvegardes et de remise en production des restaurations dans le système pendant la phase opérationnelle sur un périmètre d'un SI concourant à une des activités identifiées dans le cadre de l'objectif D2. O1. C.
      -Identifier au minimum un référent ou correspondant métier en prévision de la réalisation des tests fonctionnels sur les applications métiers critiques telles qu'identifiées dans le sous-objectif D2. O1. C.
      -Document précisant le périmètre des tests.
      -Cahier de tests de l'opération de restauration
      -Identification (non nominative) des référents ou correspondants métiers pour la réalisation des tests sur les applications métiers sur les systèmes critiques (tels que identifiés dans le sous-objectif D2. O1. C).


      Des éléments plus détaillés, tels que les indicateurs et la liste des éléments devant figurer dans les pièces justificatives ainsi que les documents demandés dans un contexte d'externalisation sont définis dans le « guide des prérequis et objectifs » disponible sur la page ANS du Programme CaRE.


    • Appel à financement relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé-Fonction « Stratégie de continuité et de reprise d'activité »


      ANNEXE 2
      CRITÈRES D'ÉLIGIBILITÉ, MODALITÉS DE MOBILISATION DES FINANCEMENTS


      Historique du document-Suivi des modifications apportées

      Version
      Date
      Auteur
      Commentaires/ modifications

      V1
      26/06/2025
      Direction Programme

      V2
      26/08/2025
      Direction Programme
      Modification du calendrier de l'appel à financement


      Sommaire


      1. Définitions et présentation du Domaine « Stratégie de continuité et de reprise d'activité »
      1.1. Définitions
      1.2. Présentation du Domaine « Stratégie de continuité et de reprise d'activité » du programme CaRE
      2. Critères d'éligibilité des établissements de santé bénéficiaires des financements
      3. Financements du domaine pour l'atteinte d'objectifs définis
      4. Calendrier de l'appel à financement du domaine « Stratégie de continuité et de reprise d'activité »
      5. Modalités de mobilisation des financements
      5.1. Modalités de dépôt des candidatures au financement
      Entités autorisées à déposer une candidature au financement
      Modalités de dépôt des candidatures au financement
      Instruction des candidatures
      5.2. Modalités de versement des financements
      Déclaration de l'atteinte des objectifs et instruction des demandes
      6. Montants des financements attribués
      7. Gestion des indus et recouvrement


      1. Définitions et présentation du domaine « Stratégie de continuité et de reprise d'activité »
      1.1. Définitions


      Sauf disposition contraire, les termes et expressions commençant par une majuscule et employés dans le présent document ont la signification qui leur est attribuée ci-après :
      Un Etablissement de santé (ES) est une structure de droit public ou privé disposant d'une autorisation à jour « établissement de santé » délivrée par son ARS de rattachement. Les critères d'éligibilités des ES au présent dispositif de financement sont définis dans la section 2 relative aux critères d'éligibilité.
      L'Activité combinée mesure l'activité des établissements de santé fondée sur le nombre de journées et séances. Les différents champs d'activité sont mis en équivalence avec les journées MCO selon la convention suivante :


      -1 séance MCO (dont dialyse) équivaut à 0,5 journée MCO ;
      -1 hospitalisation de jour de chirurgie ambulatoire équivaut à 1,5 journée MCO ;
      -1 journée SMR, 1 journée PSY, 1 journée HAD ou 1 journée USLD équivalent à 0,5 journée MCO ;
      -1 hospitalisation de jour, hors chirurgie ambulatoire, équivaut à 1 journée MCO.


      Pour un ES-géographique, l'Activité combinée est celle de l'établissement. Pour un ES-juridique, l'Activité combinée correspond à la somme des ES-géographiques qui le composent. Pour un Groupement Hospitalier de Territoire (GHT), l'Activité combinée correspond à la somme des ES-juridiques qui le composent.
      Un GHT est un dispositif conventionnel, obligatoire depuis juillet 2016, entre établissements publics de santé d'un même territoire, par lequel ils s'engagent à se coordonner autour d'une stratégie de prise en charge commune et graduée du patient, formalisée dans un projet médical partagé. Ce dispositif a été créé par la loi de modernisation du système de santé en 2016. Ils sont définis dans les articles L. 6132-1 à L. 6132-7a (1) et R. 6132-1 à R. 6132-24b (2) du code de la santé publique.
      Les Opérations de contrôle désignent l'ensemble des vérifications qui seront réalisées pour valider la bonne atteinte des objectifs par un établissement. Ces vérifications peuvent se faire à travers l'étude de pièces fournies par l'établissement ou en direct avec l'établissement (en visio-conférence ou sur site directement). Une attestation sera délivrée à l'établissement à l'issue de ces Opérations de contrôle.
      L'Opérateur de paiement désigne l'organisme en charge du paiement des établissements de santé une fois que les Opérations de contrôle auront validé la bonne atteinte des objectifs de l'appel à financement (annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs »).
      La Structure bénéficiaire désigne la structure bénéficiaire du soutien financier objet des présentes et qui est conditionné à l'atteinte des objectifs définis dans l'annexe 1-Prérequis, objectifs et preuves d'atteinte des objectifs. Les structures bénéficiaires sont soumises à des obligations détaillées dans la conventions avec l'Agence du numérique en santé.


      (1) Articles L. 6132-1 à L. 6132-7 du code de la santé publique.
      (2) Articles R. 6132-1 à R. 6132-24 du code de la santé publique.


    • 1.2. Présentation du Domaine « Stratégie de continuité et de reprise d'activité » du programme CaRE


      Cet appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur capacité à assurer une continuité de leurs activités les plus critiques puis une reprise d'activité en cas d'incident majeur touchant leur système d'information.
      Plus précisément, il vise à :


      - inclure la gestion de la continuité et reprise d'activité dans la gouvernance des établissements ;
      - définir, documenter et tenir à jour la politique et le(s) plan(s) de sauvegarde et de restauration ;
      - construire un système de sauvegarde sécurisé ;
      - tester la sauvegarde et la restauration.


      2. Critères d'éligibilité des établissements de santé bénéficiaires des financements


      Les ES éligibles au présent dispositif de financement sont les structures de droit public ou privé, qui :


      - disposent d'une autorisation à jour, délivrée par l'ARS de rattachement, leur permettant d'exercer en tant qu'établissement de santé ;
      - ont déclaré une activité PMSI non nulle en termes de séjours hospitaliers en 2022 ;
      - possèdent un identifiant FINESS juridique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205 ;
      - possèdent un identifiant FINESS géographique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 101, 355, 292, 131, 106, 109, 362, 122, 128, 129, 365, 156, 161, 366, 412, 415, 425, 430, 444, 127, 141, 146, 114, 115, 697.


      Ces dispositions s'appliquent aux départements et régions d'outre-mer, ne s'appliquent pas aux territoires et collectivité d'outre-mer de la Polynésie française, de la Nouvelle-Calédonie, de Wallis-et-Futuna, et de Saint-Pierre-et-Miquelon.
      Liste des établissements éligibles et montants plafonds
      La liste des établissements éligibles pour le présent domaine s'appuie sur la base des établissements éligibles listant les identifiants des établissements et leur activité combinée (mesure 2022) par FINESS PMSI (pour les établissements géographiques sanitaires). Cette liste précise les montants auxquels peuvent prétendre les établissements éligibles sous conditions dans le cadre du présent dispositif. Cette liste est mise à disposition sur le site de l'ANS.
      Conditions portant sur les prérequis de sécurité demandés dans le cadre cet appel à financement
      Les établissements éligibles doivent avoir validé deux prérequis pouvoir solliciter le financement :


      - disposer d'une politique de sécurité des systèmes d'information (PSSI) formalisée et à jour ;
      - décrire l'organisation prévue pour la mise en œuvre du PCRA.


      Ces prérequis sont présentés dans l'annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs » du domaine « Stratégie de continuité et de reprise d'activité ».
      Les ES éligibles devront attester qu'ils n'ont pas bénéficié de fonds européens pour financer des opérations d'amélioration de leur cybersécurité en lien avec les objectifs de cet appel à financement sur les mêmes actions.


      3. Financements du domaine pour l'atteinte d'objectifs définis


      Les subventions allouées à travers le présent dispositif ont pour objectif de concentrer le soutien financier sur des actions concourant à des objectifs précis favorisant la sécurité des SI des établissements de santé, dont l'atteinte est mesurée par des indicateurs. Les subventions sont intégralement allouées après vérification par l'ANS de l'atteinte de ces indicateurs et des modalités administratives et ne font pas l'objet d'un amorçage.
      L'annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs » du présent domaine définit pour chaque objectif les valeurs cibles et autres conditions minimales à réunir pour valider l'atteinte des objectifs, ainsi que les textes de référence pouvant s'appliquer.


      4. Calendrier de l'appel à financement du domaine « Stratégie de continuité et de reprise d'activité »


      L'appel à financement du domaine « Stratégie de continuité et de reprise d'activité » est mis en œuvre selon le calendrier suivant :


      Date
      Description

      T0
      Date de parution au JO de l'arrêté ministériel relatif à l'appel à financement du domaine « stratégie de continuité et de reprise d'activité »
      Date à partir de laquelle les établissements éligibles peuvent engager des travaux permettant d'atteindre les objectifs de l'appel à financement décrits dans l'Annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs » du domaine « Stratégie de continuité et de reprise d'activité ».

      2 septembre 2025
      Ouverture du guichet en ligne de dépôt des demandes de financement permettant aux ES éligibles de faire acte de candidature auprès de leur ARS et de déposer les pièces nécessaires.

      31 octobre 2025
      Fermeture du guichet en ligne de dépôt des demandes de financement.

      2 décembre 2025
      Fin de l'instruction des candidatures par les ARS.

      19 décembre 2025
      Date limite de signature des conventions ANS/ES par les ES éligibles dont la candidature a été validée par l'ARS.

      16 janvier 2026
      Ouverture du portail de dépôt de preuves et de demande des Opérations de contrôle.

      16 février 2026
      Ouverture du guichet de paiement.

      18 novembre 2026
      Fermeture du portail de dépôt de preuves et de demande des Opérations de contrôle.

      15 septembre 2027
      Fermeture du guichet de paiement.


      5. Modalités de mobilisation des financements
      5.1 Modalités de dépôt des candidatures au financement


      Entités autorisées à déposer une candidature au financement
      Les structures autorisées à déposer des candidatures au financement pour le compte des établissements éligibles sont définis en fonction du statut des établissements éligibles :


      - pour établissements éligibles publics :
      - dans le cadre d'un GHT, l'établissement support du GHT candidate pour l'ensemble des EJ du GHT (et pouvant intégrer des EG médico-sociales), dans le respect de la convention constitutive du GHT présentant ses compétences et ses instances décisionnelles, ou le cas échéant, avec une autorisation octroyée lors d'une instance décisionnelle ;
      - pour les structures éligibles ne faisant pas partie d'un GHT : la demande de candidature au financement doit être portée par l'entité juridique, sauf exception ;
      - pour les établissements privés (à but non lucratif et lucratif), la demande de candidature au financement doit être portée par l'entité juridique pour l'ensemble de ses établissements géographiques.


      Modalités de dépôt des candidatures au financement
      Les établissements éligibles autorisés à déposer une candidature au financement doivent déposer leur dossier via le guichet en ligne géré par l'ANS dans les délais définis en section 4 relative au calendrier.
      Pour être recevables, les candidatures doivent comporter l'ensemble des éléments administratifs et les pièces justificatives mentionnées dans l'annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs ».
      Instruction des candidatures
      Les candidatures au financement sont instruites par les agences régionales de santé dont dépendent les établissements éligibles (ARS de la région d'exercice de l'ES support d'un GHT ou de l'entité juridique du candidat) qui vérifient la complétude des demandes et le respect des critères d'éligibilité définis dans l'annexe 1 « Prérequis, objectifs et preuves d'atteinte des objectifs du domaine ».
      Les candidatures validées donnent lieu à une notification aux établissements ayant déposé la demande et à la signature d'une convention avec l'Opérateur de paiement (l'Agence du numérique en santé) définissant les engagements mutuels des deux parties.


      5.2. Modalités de versement des financements


      Déclaration de l'atteinte des objectifs et instruction des demandes
      Une fois les objectifs atteints par les établissements éligibles, les entités autorisées à déposer les demandes doivent déclarer sur la plateforme en ligne dédiée l'atteinte des objectifs et y déposer les pièces justificatives.
      Le dépôt de la déclaration d'atteinte des objectifs doit être effectué en une seule transmission, sans préjudice de la faculté pour l'ARS ou l'ANS de solliciter ultérieurement des éléments complémentaires.
      L'ARS de référence du candidat et l'ANS procèdent ensuite à l'instruction des éléments déclarés et des pièces justificatives déposées afin d'en vérifier la complétude, la recevabilité et la conformité avec les objectifs à atteindre.
      Dans le cadre des contrôles de conformité mené par l'ANS, des contrôles supplémentaires sur pièce ou sur site peuvent être sollicités par l'ANS.


      6. Montants des financements attribués


      Les financements attribués dans le cadre du présent dispositif sont plafonnés et calculés en fonction de l'activité combinée, selon les modalités précisées ci-dessous.
      Un tarif de base par point d'activité combinée est fixé, et désigné dans la suite sous le nom « forfait AC ». Le montant du forfait AC est fixé à 0,375 €.
      Le montant plafond du financement est calculé en :


      - multipliant l'activité combinée de chaque entité juridique (*) membre de la structure bénéficiaire par le forfait AC ;
      - lui appliquant un plancher à 7 000 €, et un montant maximal à 400 000 € ;
      - sommant les montants obtenus pour obtenir le plafond maximal alloué à la structure bénéficiaire.


      (*) Dans le cas de l'AP-HP, chaque GHU est considéré comme une entité juridique distincte à laquelle s'appliquent les règles de calcul.


    • Le montant des plafonds pour chaque structure bénéficiaire éligible est mis à disposition sur le site de l'ANS (cf. section 2 relative aux critères d'éligibilité).
      Le montant des financements qui sera alloué aux structures bénéficiaires sera calculé à partir de la déclaration des coûts réellement engagés à partir de la date de publication au Journal officiel de la République française du présent arrêté jusqu'à la déclaration d'atteinte des objectifs (« période d'éligibilité »). Cette déclaration sera établie sur la base des principes de comptabilité analytique généralement acceptés et mis en œuvre pour le calcul des surcompensations éventuelles. Le détail des dépenses engagées doit être communiqué lors du dépôt de la demande de paiement en utilisant la trame de bilan financier mis à disposition sur le site de l'ANS.
      Seuls les coûts engagés ainsi déclarés donneront lieu à un financement, lequel ne pourra excéder le montant maximal applicable à l'établissement, tel qu'il est défini ci-dessus. L'établissement tient à disposition de l'ANS, l'ensemble des éléments comptables permettant de vérifier que les coûts engagés qu'il aura déclarés et qui auront donné lieu au versement des financements correspondent effectivement aux coûts occasionnés par l'atteinte des objectifs du présent dispositif.
      S'il est constaté à l'occasion d'un contrôle que les financements versés à l'établissement excèdent les coûts effectivement occasionnés pour l'atteinte des objectifs du présent dispositif, l'excédent sera constitutif d'une surcompensation, qui devra être restitué selon les modalités qui seront alors définies par l'ANS conformément à la règlementation européenne.


      7. Gestion des indus et recouvrement


      En cas de non-respect des dispositions de l'arrêté et de ses annexes, ou de celles de la convention liant l'établissement bénéficiaire du financement et l'ANS, l'ANS, après avoir mis en demeure de façon infructueuse l'établissement éligible de remédier aux manquements constatés ou de présenter ses observations dans un délai raisonnable, ordonne le retrait du financement puis le reversement des sommes indument perçues.
      Ce reversement pourra en particulier être ordonné dans les cas de constatation a posteriori d'une déclaration erronée de l'établissement éligible (ex : fausse déclaration dans les pièces justificatives nécessaire à la démonstration de l'atteinte des objectifs). Dans ce cas, l'établissement éligible pourra être amené à reverser l'intégralité de la somme reçue pour l'atteinte des objectifs.
      En cas de contrôle par l'ANS, et si une surcompensation est constatée, l'ANS demandera à l'établissement bénéficiaire un reversement des financements versés. Un tel contrôle peut être initié à la demande du financeur ou de la Commission européenne.


      Glossaire


      Acronymes

      AC
      Activité combinée

      ANS
      Agence du Numérique en Santé

      ARS
      Agence Régionale de Santé

      CaRE
      Cybersécurité Accélération et Résilience des Etablissements

      EG
      Entité Géographie

      EJ
      Entité Juridique

      ES
      Etablissement de Santé

      FINESS
      Fichier national des établissements sanitaires et sociaux

      GHT
      Groupement Hospitalier de Territoire

      HAD
      Hospitalisation à Domicile

      JORF
      Journal officiel de la République française

      MCO
      Médecine Chirurgie Obstétrique

      PMSI
      Programme de Médicalisation des Systèmes d'Information

      PSY
      Psychiatrie

      USLD
      Unité de Soins de Longue Durée


Fait le 8 septembre 2025.


Pour le ministre et par délégation :
La déléguée au numérique en santé,
H. Ghariani

Extrait du Journal officiel électronique authentifié

PDF - 295,1 Ko