Un programme de financement destiné à encourager le renforcement de la sécurité informatique des établissements de santé est mis en place. Ce programme a pour objet de favoriser la mise en œuvre d'actions de remédiation concernant les annuaires techniques et l'exposition internet des établissements de santé. Les financements relevant du programme créé par le présent arrêté sont attribués à certains établissements de santé publics et privés qui n'avaient pas eu la possibilité de candidater pour tout ou partie de leur activité au dispositif créé par l'arrêté du 18 mars 2024, et dont la nature justifie un rattrapage afin d'atteindre les objectifs visant à renforcer leur résilience et leur sécurité informatique. Cette obligation de sécurité pour les établissements résulte des opérations de traitement de données de santé à caractère personnel et des données à caractère personnel inhérentes à leur activité de soin.

Les financements relevant du présent arrêté sont attribués dans le cadre d'un système de financement sur atteinte d'objectifs opéré par l'Agence du numérique en santé, groupement d'intérêt public mentionné à l'article L. 1111-24 du code de la santé publique. Ce système est organisé selon une procédure transparente, assurant un libre et égal accès aux établissements de santé intéressés. Le nombre d'établissements admis à y participer ne peut être contingenté. La base des établissements de santé éligibles, accessible en ligne sur le site de l'Agence du numérique en santé, désigne la base listant les établissements éligibles et les montants auxquels ils peuvent prétendre sous condition, dans le cadre du présent programme.

Les établissements de santé éligibles et respectant les conditions précisées dans l'annexe 2, peuvent prétendre à un financement afin de renforcer leur sécurité informatique, mesurée grâce à l'atteinte de certains objectifs. L'annexe 1 au présent arrêté intitulée « Prérequis, objectifs et preuves d'atteinte des objectifs » fixe la description technique des prérequis et des objectifs à atteindre, ainsi que les éléments de preuves à fournir pour justifier de l'atteinte des objectifs. L'annexe 2 au présent arrêté intitulée « Critères d'éligibilité, modalités de mobilisation des financements » fixe les critères d'éligibilité des établissements de santé appelés à bénéficier des financements, le calendrier de l'appel à financement, les modalités de mobilisation des financements, les montants attribués, la gestion des indus et recouvrement.

Une convention est conclue entre l'Agence du numérique en santé et tout établissement de santé dont la candidature est validée. Elle définit les droits et obligations réciproques des parties au titre du programme de financement objet du présent arrêté.

L'Agence du numérique en santé est chargée de la gestion technique, administrative et financière du programme de financement défini par le présent arrêté. Elle rend compte régulièrement à l'Etat des candidatures en cours, des engagements et des versements exécutés au titre du présent arrêté. L'Agence du numérique en santé s'appuie sur les agences régionales de santé pour l'instruction de premier niveau des demandes de financement, la promotion et l'accompagnement des établissements sanitaires dans le processus d'instruction des demandes de financement.

L'Agence du numérique en santé peut réaliser ou faire réaliser par tout tiers les contrôles nécessaires à la vérification du respect, par tout établissement de santé s'étant vu notifier un financement au titre du présent programme, des dispositions réglementaires et des stipulations de la convention mentionnée à l'article 4. Ces contrôles peuvent avoir lieu à tout moment et être réalisés sur place ou sur pièces. L'établissement de santé susvisé tient à disposition de l'Agence du numérique en santé tout document permettant d'effectuer ces contrôles. Toute entrave à ces contrôles peut donner lieu, après que le bénéficiaire a été mis en mesure de présenter ses observations dans un délai raisonnable, au retrait du financement.

Les annexes 1 et 2 mentionnées à l'article 3 du présent arrêté sont consultables sur le site internet de l'Agence du numérique en santé, à l'adresse suivante : https://esante.gouv.fr/strategie-nationale/cybersecurite

Le présent arrêté ainsi que ses annexes seront publiés au Journal officiel de la République française.