Au cours des dernières années, le numérique a profondément transformé l’organisation du système de santé. L’utilisation croissante d’outils digitaux contribue aujourd’hui à améliorer l’accès aux soins, faciliter le partage d’informations médicales et soutenir l’évolution des pratiques professionnelles. Dans ce contexte d’essor rapide, les pouvoirs publics ont progressivement mis en place un cadre réglementaire visant à garantir la fiabilité et la sécurité des solutions numériques, qu’il s’agisse de logiciels métiers, de plateformes de télémédecine ou encore d’outils de coordination des parcours de soins.
La loi de financement de la sécurité sociale (LFSS) pour 2023 a constitué une étape importante en introduisant de nouvelles obligations applicables aux services numériques en santé définis à l’article L.1470-1 du Code de la santé publique, notamment en matière d’interopérabilité, de sécurité des systèmes d’information et de respect de principes éthiques dans le développement et l’utilisation des solutions numériques. Lorsque ces obligations s’appliquent, les éditeurs doivent être en mesure de justifier de la conformité de leurs solutions à ces référentiels, notamment par la détention d’un certificat de conformité.
Dans la continuité de ce premier texte, le décret n°2026-153 du 3 mars 2026 vient préciser les modalités d’application des sanctions financières prévues à l'article précité. Il encadre désormais la procédure permettant aux autorités publiques de contrôler le respect de ces obligations et de prononcer des sanctions à l’encontre des éditeurs de services numériques en santé en situation de non-conformité.
Ces dispositions sont applicables depuis le 5 mars 2026.
Le décret confie un rôle central à l’ANS en matière de suivi et de contrôle de la conformité des services numériques utilisés dans le système de santé. L’Agence est notamment chargée de mettre en place un portail de signalement permettant de recueillir les informations relatives à d’éventuels manquements aux obligations réglementaires. Ce portail permettra de signaler le non-respect des référentiels techniques applicables aux services numériques en santé ainsi que l’absence de certificat de conformité lorsqu’il est obligatoire.
De son côté, la Caisse nationale de l’assurance maladie (CNAM) pourra également transmettre à l’ANS les manquements qu’elle constaterait auprès des professionnels de santé ou des établissements utilisant ces services.
Afin de garantir l’effectivité du dispositif, le décret prévoit que l’Agence du numérique en santé établisse chaque année un programme de contrôle portant sur le respect des référentiels applicables aux services numériques en santé.
Ce programme devra être approuvé par arrêté du ministre chargé de la santé. À l’issue de sa mise en œuvre, l’ANS devra rendre public un bilan annuel détaillant le nombre de contrôles réalisés, les manquements constatés, les principales caractéristiques des non-conformités identifiées, ainsi que les suites données à ces contrôles.
Dans le cadre de ses contrôles, l’Agence pourra notamment procéder à des visites sur site, demander des démonstrations des outils numériques concernés et obtenir les spécifications techniques des solutions contrôlées.
Les contrôles devront toutefois respecter certaines garanties procédurales. L’éditeur concerné doit être préalablement informé du motif de ces derniers ainsi que de l’identité et de la qualité des personnes chargées de les réaliser.
Lorsque l’ANS constate un manquement aux obligations prévues par le Code de la santé publique, une procédure de sanction peut être engagée. Celle-ci se déroule alors en plusieurs étapes.
Dans un premier temps, le manquement peut être identifié à la suite d’un signalement ou dans le cadre d’un contrôle. Si une non-conformité est constatée, l’éditeur concerné peut faire l’objet d’une injonction de mise en conformité. Si le manquement persiste malgré cette injonction, l’ANS peut proposer au ministre chargé de la santé de prononcer une sanction.
Avant toute décision définitive, une procédure contradictoire est organisée. L’auteur présumé du manquement dispose alors d’un délai d’un mois pour présenter ses observations écrites au ministre et peut demander à être entendu. À l’issue de cette procédure, le ministre peut décider de prononcer une sanction financière.
Le décret fixe les modalités de calcul et les plafonds des sanctions susceptibles d’être prononcées. Pour les éditeurs de services numériques en santé, le montant de la sanction peut atteindre jusqu’à 1 % du chiffre d’affaires réalisé en France, dans la limite d’un plafond d’1 million d’euros.
Si l’éditeur ne communique pas son chiffre d’affaires dans un délai de quinze jours à compter de la notification de la sanction, le montant de la pénalité peut être porté directement à 1 million d’euros.
Pour les personnes physiques et les autres personnes morales, les plafonds de sanction sont respectivement fixés à 1 000 euros et 10 000 euros.
Le décret prévoit également que la sanction peut être assortie d’une mise en demeure de se conformer à la réglementation, accompagnée d’une astreinte journalière pouvant atteindre 1 000 euros par jour.
Les sanctions prononcées à l’encontre d’un éditeur de service numérique en santé seront également rendues publiques sur le site internet de l’Agence du numérique en santé.
Au-delà du risque financier associé aux sanctions, la publication des décisions peut également entraîner un enjeu réputationnel pour les éditeurs concernés.
Dans ce contexte, les acteurs développant ou mettant à disposition des services numériques en santé sont invités à porter une attention particulière à leur conformité aux référentiels applicables.
Cela implique notamment de vérifier si leur solution est soumise à une obligation de certification, d’auditer leur conformité aux référentiels techniques et réglementaires, de documenter les éléments attestant de cette conformité et d’anticiper les contrôles pouvant être réalisés par les autorités compétentes.
L’entrée en vigueur du décret du 3 mars 2026 s’inscrit dans un mouvement plus large visant à structurer le développement du numérique en santé en France.
Dans un contexte marqué par la montée en puissance des plateformes de télémédecine et l’intégration croissante des outils numériques dans les pratiques médicales, l’enjeu consiste à concilier innovation technologique, sécurité des systèmes d’information et qualité de la prise en charge des patients.
Le renforcement du cadre réglementaire participe ainsi à consolider la confiance dans les solutions numériques utilisées à la fois par les professionnels de santé et les patients.
Il constitue également une étape supplémentaire dans la construction d’un écosystème numérique de santé à la fois innovant, sécurisé et durable, au service de l’amélioration de l’accès aux soins sur l’ensemble du territoire.