En France, la multiplication des cyberattaques ciblant les hôpitaux a propulsé la sécurisation de l’identité numérique au rang de priorité nationale. Après l’appel à projet « HospiConnect Alpha », démarche expérimentale réunissant plus de 15 établissements, la Délégation au Numérique en Santé et l’Agence du Numérique en Santé ont engagé la généralisation du dispositif. Pour les DSI, les responsables sécurité et les directions d’établissements de santé, comprendre ce programme et ses mécanismes de financement est devenu incontournable. Si vous pilotez un projet de transformation numérique, notre accompagnement conseil pour les établissements de santé peut vous aider à structurer chaque étape.
HospiConnect ne se résume pas à un simple guichet de subvention. Ce dispositif porte une approche contextualisée d’accompagnement des établissements sanitaires, à travers l’évolution de l’offre de services de l’ANS en matière d’identification électronique, l’actualisation du cadre réglementaire et des programmes de financement. Voici ce qu’il faut savoir pour en tirer pleinement parti.
Qu’est-ce que le programme HospiConnect et pourquoi est-il stratégique pour votre établissement ?
Le programme HospiConnect constitue la déclinaison opérationnelle, pour le secteur hospitalier, de la trajectoire nationale et européenne de sécurisation de l’identification électronique pour l’accès aux données de santé. Le référentiel PGSSI-S (RIE v2, publié en février 2026) de l’ANS définit les exigences d’identification électronique des professionnels de santé et impose un niveau de sécurité eIDAS substantiel, via Pro Santé Connect ou des schémas locaux attestés avant fin 2026 (réserves levées fin 2028).
Concrètement, il ne s’agit pas uniquement de se connecter au Dossier Médical Partagé (DMP). Le périmètre couvre la gestion complète des identités (y compris pour les intervenants externes et d’urgence), la gestion des droits et accès locaux, ainsi que la mise en œuvre de l’authentification forte via des Moyens d’Identification Électronique (MIE) conformes au référentiel. Pour les établissements, cela signifie repenser globalement leur système d’information hospitalier.
Les quatre exigences techniques à satisfaire
Le cadre HospiConnect définit quatre exigences techniques obligatoires. Chacune conditionne l’accès aux financements et doit être atteinte selon un calendrier progressif :
- Gestion des identités : l’identifiant RPPS des utilisateurs doit être connu du Dossier Patient Informatisé (DPI).
- Gestion des comptes : les permissions d’accès au DPI doivent être mises à jour lors de chaque mouvement de personnel.
- Authentification 2FA : utilisation d’un moyen d’identification électronique à double facteur pour l’accès au DPI, conforme au Référentiel d’Identification Électronique.
- Accès au DMP via le DPI : cette exigence peut être atteinte via le mode AIR simplifié (obligatoire pour la vague 2 du Ségur) ou via le support des APIs PSC.
Les exigences relatives à la gestion des identités et des comptes requièrent la mise en place d’une brique de gestion des identités (IAM), avec, dans la pratique, une intégration à Pro Santé Identité et à l’annuaire eSanté. C’est un projet structurant qui implique des choix technologiques et organisationnels lourds.
Deux dispositifs de financement complémentaires : CaRE et HOP’EN 2
Comprendre l’architecture financière du programme est essentiel pour optimiser votre budget. Deux dispositifs de financement complémentaires, effectifs sur une durée de trois ans, sont proposés via un guichet de candidature unique : HospiConnect/HOP’EN 2 et HospiConnect/CaRE.
Le volet matériel : HospiConnect/CaRE
CaRE finance le déploiement des MIE physiques (lecteurs de cartes, cartes) et les dispositifs de lecture associés. L’enveloppe est calculée sur la base de 20 € par agent déclaré au SAE, mais ce montant n’est pas une limite par agent : l’établissement peut dépenser davantage pour un type de MIE. Les factures sont éligibles à partir du 29 janvier 2026, date de publication de l’arrêté relatif au programme HospiConnect, et il n’y a pas de notion d’année budgétaire stricte, les fonds étant mobilisables sur toute la durée du programme.
Le volet transformation : HospiConnect/HOP’EN 2
HOP’EN 2 finance la mise en œuvre des services (gestion des identités, SSO, fédération) avec une priorité donnée à l’accès au DMP. Les dépenses éligibles (licences, prestations) doivent être engagées à partir du 19 décembre 2025, date de l’instruction. À la différence de CaRE, l’enveloppe HOP’EN 2 est annuelle. Un établissement qui ne mobilise pas son enveloppe 2026 perd ce budget et devra se reporter sur l’enveloppe 2027.
Le dispositif Appel à projets/HOP’EN 2 est doté de 87,2 millions d’euros, répartis en enveloppes régionales calculées au prorata du poids des établissements dans l’activité de chaque ARS. Ces montants, publiés via l’instruction ministérielle du 29 décembre 2025, confirment l’ampleur de l’investissement national.
Calendrier 2026 : les jalons à ne pas manquer
Le rythme du programme est soutenu. Voici les échéances clés pour 2026 :
Échéance | Action requise |
13 février 2026 | Date limite d’inscription sur le guichet Convergence |
Mai 2026 | Ouverture du guichet HOP’EN 2 pour le dépôt des preuves |
26 juin 2026 | Date limite de dépôt de la note de cadrage et des indicateurs de maturité (jalon 1) |
1er octobre 2026 | Ouverture du guichet CaRE pour le dépôt des dépenses MIE |
Second semestre 2026 | API PSI en environnement de production |
L’objectif de juin 2026 se résume en une note de cadrage du projet et la définition des indicateurs de maturité. Cette première étape est déterminante : elle conditionne l’ensemble des financements ultérieurs. L’inscription au dispositif HospiConnect/HOP’EN 2 est nécessaire pour prétendre aux financements octroyés en 2026, 2027 et 2028.
Les indicateurs de maturité : un outil de pilotage structurant
L’ANS finalise un référentiel d’indicateurs de maturité pour aider les établissements à se situer et à piloter leur progression. Ces indicateurs, structurés autour de la gestion des identités, des droits, des services numériques et de la gouvernance, permettent une auto-évaluation selon cinq paliers.
Ce référentiel est bien plus qu’un simple formulaire administratif. Il constitue un véritable tableau de bord stratégique qui reflète le périmètre opérationnel complet du programme. Pour les DSI, il offre un cadre objectif pour prioriser les investissements et démontrer la progression aux tutelles. Pour les directeurs d’établissement, il traduit la maturité numérique en indicateurs lisibles et pilotables.
Moyens d’identification électronique : ce qui change en 2026
L’offre de cartes et de moyens d’identification connaît une transition importante cette année. Le dispositif actuel des CPE (Cartes d’Établissement) est appelé à disparaître au profit de la carte PSI (également appelée Carte ANS), commandée via le portail PSI. Une API est en cours de développement pour permettre l’intégration de PSI par les industriels, avec une version initiale en environnement de production attendue pour le second semestre 2026.
Le choix du MIE dépend de la taille de votre structure et de votre architecture SI existante. L’atteinte de l’exigence d’authentification 2FA peut se faire de plusieurs manières. La mise en place d’un IDP est une brique structurante, et l’intégration à l’authentification au poste apporte plus de souplesse pour l’utilisateur. Ces choix techniques ont un impact direct sur l’expérience quotidienne de vos professionnels de santé.
Pour garantir que votre infrastructure réponde aux exigences de conformité, il est essentiel de vous appuyer sur un hébergement de données de santé certifié HDS, qui sécurise le socle sur lequel reposent vos briques d’identité et d’accès.
Cybersécurité et conformité : le cadre réglementaire renforcé
Le programme HospiConnect s’inscrit dans le cadre plus large de l’axe 4 « Sécurité opérationnelle » du programme CaRE piloté par l’ANS, dont l’objectif est de limiter les risques d’usurpation de l’identité numérique des professionnels pour l’accès aux services sensibles. Le dispositif HospiConnect/CaRE vise à financer les moyens d’authentification électroniques et les composants nécessaires à leur lecture pour permettre aux établissements de mettre en œuvre une authentification à deux facteurs conforme au Référentiel d’Identification Électronique de la PGSSI-S.
Au-delà du seul volet financement, la conformité réglementaire englobe le RGPD, la directive NIS2 et les certifications sectorielles. Les établissements doivent s’assurer que chaque brique déployée (IAM, SSO, fédération d’identités) respecte ces exigences. Une approche globale combinant audit de sécurité, politique de sécurité du SI (PSSI) et plan de continuité d’activité (PCA) renforce la posture de sécurité bien au-delà du périmètre du programme. Nous proposons à cet effet un programme de cybersécurité pour les établissements de santé conçu pour répondre à ces enjeux de manière intégrée.
Comment réussir votre projet : méthodologie et accompagnement
Un projet de cette envergure ne s’improvise pas. Voici les facteurs clés de succès identifiés à travers les retours des établissements pilotes :
- Constituer une équipe projet pluridisciplinaire associant DSI, référent sécurité, direction des affaires médicales et responsable RH (pour la gestion des mouvements de personnel).
- Réaliser un diagnostic de maturité en utilisant le référentiel d’indicateurs de l’ANS pour établir votre point de départ et définir une trajectoire réaliste.
- Prioriser les chantiers en commençant par l’alimentation du RPPS dans le DPI et la gestion des comptes, prérequis aux étapes suivantes.
- Anticiper l’accompagnement au changement auprès des professionnels de santé : l’authentification 2FA modifie les habitudes quotidiennes d’accès au poste.
- Sécuriser l’architecture technique en vérifiant la compatibilité de votre DPI avec le mode AIR simplifié ou les APIs PSC.
Le ministère met en place des financements entre 2026 et 2028 pour les établissements de santé à travers le dispositif HospiConnect/HOP’EN 2, ouvert à l’ensemble des ES pour les accompagner dans leurs projets de sécurisation de l’identification des professionnels et de mise en place des prérequis organisationnels et métiers nécessaires à la consultation de « Mon espace santé » depuis les logiciels métiers. Ce calendrier triennal laisse le temps de structurer une démarche progressive, à condition de ne pas rater les jalons intermédiaires, comme le rappelle l’e-santé Occitanie dans son guide dédié.
En synthèse, le programme HospiConnect représente bien plus qu’un guichet de financement : c’est un levier de transformation globale de votre SI de santé. La donnée la plus structurante reste l’enveloppe de 87,2 millions d’euros allouée aux appels à projets HOP’EN 2, signe de l’engagement national en faveur de la sécurité numérique hospitalière. Pour ne rien laisser au hasard, de l’inscription sur Convergence au déploiement de l’authentification forte, notre expertise certifiée HDS et ISO 27001 couvre chaque étape technique et réglementaire.
Découvrez notre accompagnement Ségur numérique pour les établissements de santé et sécurisez votre trajectoire dès maintenant.
FAQ – HospiConnect
Quelle est la différence entre le financement CaRE et le financement HOP'EN 2 dans le cadre du programme HospiConnect ?
Le volet CaRE finance le matériel d’identification (cartes, lecteurs) avec une enveloppe calculée à 20 € par agent et mobilisable sans contrainte d’année budgétaire. Le volet HOP’EN 2, quant à lui, couvre les projets de transformation (IAM, SSO, fédération d’identités) avec une enveloppe annuelle. Si vous ne consommez pas votre budget 2026, il est perdu.
Que faut-il livrer pour le premier jalon de juin 2026 ?
Vous devez déposer une note de cadrage de votre projet et compléter les indicateurs de maturité en identification électronique sur la plateforme Convergence. Ces deux livrables conditionnent l’accès aux financements de l’exercice 2026.
Comment un hébergeur certifié HDS peut-il faciliter la mise en conformité avec le programme HospiConnect ?
Les briques techniques exigées par le programme (IAM, SSO, fédération PSC) doivent reposer sur une infrastructure conforme aux exigences de protection des données de santé. Nous proposons des services d’hébergement certifié HDS, de supervision SOC/NOC et d’audit de sécurité qui constituent le socle nécessaire au déploiement sécurisé de ces solutions.
Vous pourriez également être intéressé par les articles suivants :
La certification HDS (Hébergeur de Données de Santé) est aujourd’hui une obligation légale pour les prestataires qui hébergent des données sensibles dans le secteur médical. En France, de nombreux hébergeurs ont obtenu cette certification afin de répondre aux besoins croissants des établissements de santé. C’est l’un des éléments qui déterminent comment choisir son hébergeur de données de santé. Revenons sur les critères pour obtenir la certification HDS et passons en revue quelques-uns des principaux hébergeurs certifiés.
La transformation digitale des établissements de santé repose sur des infrastructures fiables et des services garantissant la sécurité et la confidentialité des données de santé. Les acteurs du secteur médical doivent aujourd’hui allier performance technique et respect strict du Code de la santé publique ainsi que des obligations RGPD. La mise en place d’un hébergement certifié HDS permet aux établissements de santé de disposer de sites sécurisés pour le traitement des données, tout en assurant la disponibilité et la protection des informations sensibles.
Ce cadre réglementaire est essentiel pour les acteurs du secteur de la santé. Il fixe les conditions que les hébergeurs doivent respecter pour garantir la confidentialité, l’intégrité et la disponibilité des données sensibles. C’est pourquoi il est essentiel de savoir comment choisir son hébergeur de données de santé. Revenons sur l’essentiel à connaître de la nouvelle version du référentiel HDS.
