Un virage numérique que les établissements de santé, médico-sociaux et sociaux ne peuvent plus repousser
L’été n’est pas encore terminé que la rentrée s’annonce déjà sous tension pour les établissements . En ligne de mire : la généralisation de l’authentification forte dans les logiciels métiers, un tournant technique, réglementaire et stratégique que nul ne pourra ignorer d’ici janvier 2026. Une échéance ? Non. Un basculement.
Alors que les acteurs du numérique en santé peaufinent encore les livrables du Ségur numérique vague 2, une exigence longtemps perçue comme technique — le MFA (Multi-Factor Authentication) — s’invite désormais au cœur des politiques d’accès aux données de santé. Avec elle, un impératif : le recours à des moyens d’identification électronique certifiés pour consulter le DMP, accéder aux services MSSanté, ou même coder certains actes. Une mécanique invisible, mais décisive.
Une norme technique qui devient une frontière
Depuis des années, l’accès aux services numériques en santé s’est structuré autour du n°RPPS et des cartes CPS. Mais à l’ère du cloud, des cybermenaces et de la portabilité des usages, ces dispositifs ne suffisent plus. La nouvelle règle est simple : une authentification, deux facteurs.
Qu’il s’agisse d’une carte CPS physique, d’un accès via l’appli e-CPS ou de clés FIDO2, les professionnels de santé devront prouver qu’ils sont bien… eux-mêmes. Une exigence d’autant plus forte qu’elle conditionnera, dès 2026, l’accès au DMP — désormais incontournable pour les financements Ségur, les échanges d’imagerie, ou les projets de coordination ville-hôpital et medico-social.
Une échéance fixée au 1er janvier 2026… mais un virage à prendre dès maintenant
La date est inscrite dans le marbre : à partir du 1er janvier 2026, les logiciels métiers devront refuser tout accès au DMP sans authentification forte. Ce n’est plus une recommandation, mais une exigence réglementaire issue du Référentiel d’Identification Électronique (RIE) et de la certification HAS.
Mais attendre 2026 serait une erreur stratégique. Car les fonctions concernées — en particulier dans les DPI, RIS, PMSI ou DUI — commencent déjà à être déployées. Et surtout, un dispositif de financement temporaire, le programme Hospi Connect, sera lancé en septembre 2025 pour accompagner les établissements dans cette transformation. Après, il sera trop tard.
MFA : technique obscure ou levier de souveraineté numérique ?
Derrière l’acronyme se cache une double promesse : sécurité accrue et gouvernance claire des accès. C’est aussi, pour les établissements, une opportunité de reprendre la main sur leurs habilitations, souvent empilées et mal documentées.
Rôle du RSSI, fédération d’identité via Pro Santé Connect, enregistrement des professionnels dans le RPPS+, hiérarchisation des niveaux d’accès… tout un pan du SIH est en train d’être refondé sous l’impulsion d’un cadre plus exigeant, mais aussi plus lisible. Ce virage est à prendre comme un projet stratégique autant qu’un impératif technique.
Une fenêtre de tir : Hospi Connect
C’est l’autre point d’attention. Le programme Hospi Connect, prévu pour septembre 2025, est pensé comme un relais budgétaire pour les établissements encore en phase d’équipement ou de structuration :
- Achat et déploiement de MIE (CPS, e-CPS, FIDO2),
- Intégration logicielle de l’authentification forte,
- Accompagnement au raccordement PSC (direct ou fédéré),
- Enregistrement au RPPS+, y compris pour les non-médicaux autorisés.
Ce financement, coordonné par l’Agence du Numérique en Santé, sera conditionné à des démarches proactives dès la rentrée. Ceux qui anticipent pourront faire financer une partie substantielle de leur transition. Les autres risquent d’en payer seuls le coût.
Et maintenant ?
Le MFA n’est pas un plugin. C’est une nouvelle couche d’infrastructure dans l’architecture numérique des établissements. Ceux qui abordent la rentrée avec lucidité savent que les chantiers à venir ne se pilotent pas à la marge : c’est un projet de transformation du SI, au croisement du juridique, du fonctionnel, du technique… et du politique.
C’est aussi une chance. Celle de remettre à plat les accès, les responsabilités, et la manière dont les données sensibles circulent dans l’établissement.