Sommaruga Carlo · Nationalrat · 2018-03-13
Sommaruga Carlo · Nationalrat · Genf · Sozialdemokratische Fraktion · 2018-03-13
Wortprotokoll
La profonde transformation du monde et de notre pays, provoquée par le développement rapide de l'informatique, de l'interconnexion digitale et du stockage numérique d'informations, place les autorités devant des défis majeurs. A côté des chances que la révolution numérique offre à notre économie et à notre population, il y a aussi des risques et des dangers majeurs. Ces dangers menacent notre pays. Il ne s'agit pas du risque d'invasion d'une armée d'infanterie bardée d'informatique ou de chars technologiquement ultrasophistiqués, mais de cyberattaques, d'intrusions sur les réseaux, de vols de données sensibles, de blocages d'installations sensibles. Cette menace n'est pas abstraite, elle est réelle et concrète, elle a déjà été mise à exécution contre le Département fédéral des affaires étrangères, contre Swisscom, qui s'est fait délester de dizaines de milliers de données personnelles, contre RUAG, l'entreprise d'armement de la Confédération, et contre des installations privées qui ont été infectées par le virus Wanna Cry, bien que dans une mesure moindre qu'en Grande-Bretagne. Il y a donc urgence à agir pour assurer une protection cohérente contre les cyberdangers et les risques qui pèsent sur les informations de masse ou les informations sensibles détenues ou gérées par nos institutions au sens large. Il s'agit également de protéger les infrastructures critiques dans les domaines de l'eau, de la santé, des transports, de l'énergie et de la défense, et d'éviter les risques liés aux personnes qui participent à la gestion de ces infrastructures et de l'Etat.
Aujourd'hui, le dispositif de sécurité de l'information est dispersé. Il se retrouve dans une multitude de lois, d'ordonnances qui couvrent des périmètres spécifiques, différents, et reposent sur des critères également divers. Il y a aussi des lacunes et des insuffisances notoires. Cette situation aboutit à des cas invraisemblables. Ainsi, lorsque la Banque nationale suisse veut se fournir en matériel informatique spécialisé, elle ne peut le faire seule. Elle doit passer, si elle veut un contrôle de sécurité, par le Département fédéral de la défense, de la protection de la population et des sports, car le dispositif légal actuel ne s'applique pas aux institutions étatiques externes. Les contrôles de sécurité des entreprises privées adjudicataires sur les marchés publics, dans les domaines sensibles, sont limités. Les contrôles de sécurité des personnes ne sont pas uniformes, ici, trop sévères, pour des postes à moindres risques, là, trop légers, lorsque les risques de sécurité sont importants.
Dans ce conseil, nous sommes largement d'accord sur le constat avec lequel le dispositif actuel est insuffisant et lacunaire puisque, en effet, nous submergeons le Conseil fédéral d'une multitude de motions, de postulats et d'interpellations visant au renforcement de la "IT security" de notre Etat.
Aujourd'hui, nous avons devant nous une proposition concrète du Conseil fédéral pour prendre des mesures importantes qui vont dans la bonne direction: c'est la loi sur la sécurité de l'information. Globalement, personne ne peut contester que cette loi apporte plus de cohérence et d'uniformité dans la mise en oeuvre de la sécurité numérique de nos autorités, qu'elle a un champ d'application plus large, qu'elle améliore le contrôle de sécurité des personnes et des entreprises soumissionnaires pour des infrastructures sensibles et qu'elle organise la collaboration avec les cantons. Même si nous pouvons avoir des divergences sur l'un ou l'autre point de la loi - et j'en ai personnellement plusieurs puisque j'ai déposé diverses propositions d'amendement -, la raison fondée sur la logique de protection de notre Etat et de nos infrastructures sensibles commande impérativement d'entrer en matière.
C'est ce qu'a fait le Conseil des Etats après l'audition en commission de représentants des cantons et de tous les secteurs touchés par la loi sur la sécurité de l'information. Aujourd'hui, sous prétexte d'objections financières, l'UDC, le seul parti à avoir manifesté son opposition frontale à cette loi en consultation, a réussi, de manière surprenante, à convaincre les groupes libéral-radical et PDC à ne pas entrer en matière.
Cette position est incompréhensible. Ce n'est pas moi qui le dis, c'est la "NZZ", qui, dans son édition du vendredi 9 mars 2018, écrit: "Mehr Konsequenz im Nationalrat, bitte!" La non-entrée en matière pour des raisons financières constitue, selon le même journal, "der falsche Weg".
L'argument financier ne résiste pas à l'examen. D'une part, la sous-commission de la Commission des finances a donné un préavis positif et la Commission des finances n'a pas contesté cette proposition. C'est donc assez piquant de voir la Commission de la politique de sécurité se substituer à la Commission des finances; d'ailleurs, le rapporteur de la Commission des finances auprès de la Commission de la politique de sécurité, au lieu de s'en tenir à la position de la Commission des finances, a savonné la planche pour que la Commission de la politique de sécurité laisse tomber le projet du Conseil fédéral.
D'autre part, le coût de la mise en oeuvre de la loi est fonction du degré de sécurité recherché. Selon le projet de loi, le degré de sécurité est fixé par le Conseil fédéral par ordonnance, après une procédure de consultation. Il est possible de modifier ce projet pour que le degré de sécurité soit fixé par le Parlement, mais, pour ce faire, il faut entrer en matière, et c'est ce que je vous invite à faire.
Il faut tenir compte aussi du fait que le coût articulé par le département oscille, selon le degré de sécurité visé, entre 5 et 20 millions de francs. Or, 5 millions de francs, c'est mille fois moins que le budget de l'armée - 5 milliards de francs - pour une année!
Gardons le sens des proportions, soyons raisonnables, entrons en matière et procédons à la discussion par article; [PAGE 379] c'est ce que je vous demande au nom de la minorité de la commission.