Loi fédérale sur la sécurité de l’information* (Loi sur la sécurité de l’information, LSI)

Les autorités et organisations soumises à la présente loi veillent à ce que le besoin de protection des informations relevant de leur compétence soit évalué en fonction de l’atteinte potentielle aux intérêts définis à l’art. 1, al. 2.

Elles veillent à ce que les informations, en fonction de leur besoin de protection:

1. ne soient accessibles qu’aux personnes autorisées (confidentialité);
2. soient disponibles en cas de besoin (disponibilité);
3. ne puissent être modifiées sans droit ou par mégarde (intégrité);
4. soient traitées de manière à être traçables (traçabilité).

Elles veillent à ce que les moyens informatiques auxquels elles recourent pour accomplir leurs tâches légales soient protégés contre les utilisations abusives et les perturbations.

Elles tiennent compte à cet égard des principes de la proportionnalité, de l’économicité et de la simplicité d’emploi.

Les autorités soumises à la présente loi veillent, chacune dans son domaine de compétence, à ce que la sécurité de l’information soit organisée, mise en œuvre et contrôlée conformément à l’état des connaissances scientifiques et techniques.

Elles fixent:

1. leurs objectifs en matière de sécurité de l’information;
2. les principes de gestion des risques;
3. les conséquences d’une violation des prescriptions.

Les autorités et organisations soumises à la présente loi veillent, chacune dans son domaine de compétence, à ce que les risques en matière de sécurité de l’information soient constamment évalués.

Elles prennent les mesures nécessaires pour éliminer les risques ou les ramener à un niveau acceptable.

Les risques jugés acceptables doivent être formellement acceptés.

Lorsque les autorités et organisations soumises à la présente loi collaborent avec des tiers, elles veillent à ce que les exigences et mesures prévues par la présente loi soient reprises dans les accords et les contrats qu’elles concluent à cet effet.

Elles veillent à ce que la mise en œuvre des mesures soit contrôlée de manière adéquate.

Les autorités et organisations soumises à la présente loi veillent à ce que les violations de la sécurité de l’information soient décelées rapidement, leurs causes clarifiées et leurs conséquences limitées au maximum.

Les autorités soumises à la présente loi veillent à établir des plans d’action dans l’éventualité de graves violations de la sécurité de l’information susceptibles de menacer l’accomplissement de tâches indispensables de la Confédération; elles organisent des exercices à cet effet.

Les autorités et organisations peuvent traiter les données personnelles utiles à la sécurité de l’information, notamment dans les systèmes de gestion de la sécurité des informations prévus à cet effet (applications SGSI).

Elles peuvent échanger entre elles des données personnelles au sens de l’al. 1 ainsi qu’avec des organisations nationales, internationales ou étrangères de droit public, si les conditions suivantes sont remplies:

1. cela est utile à la sécurité de l’information;
2. cela n’enfreint aucune obligation légale ou contractuelle de garder le secret;
3. les dispositions de la législation fédérale sur la protection des données sont respectées;
4. l’organisation qui reçoit les données assume des tâches légales dans le domaine de la sécurité de l’information qui correspondent à celles de l’autorité ou de l’organisation qui fait la communication.

Elles peuvent relier entre eux leurs systèmes d’information, notamment les applications SGSI, et échanger des données automatiquement ou sur demande par l’intermédiaire d’interfaces.

Elles peuvent administrer des formulaires électroniques servant à soumettre ou à traiter des demandes et des signalements dans le domaine de la sécurité de l’information et les relier à leurs applications SGSI ou à d’autres systèmes d’information.

Dans la mesure où cela est nécessaire pour gérer des violations de la sécurité de l’information ou pour éliminer des vulnérabilités, elles peuvent effectuer les actions suivantes avec des données sensibles au sens de l’art. 5, let. c, de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)¹⁴ relatives à des personnes qui sont impliquées dans ces violations ou ces vulnérabilités ou qui sont ou pourraient être concernées par elles:

1. les traiter;
2. les échanger entre elles ainsi qu’avec des organisations nationales, internationales ou étrangères de droit public, pour autant que la condition visée à l’al. 2, let. b, soit remplie.

Elles peuvent conserver les données sensibles jusqu’à deux ans après la gestion des violations de la sécurité de l’information ou l’élimination des vulnérabilités, mais dix ans au plus.

L’archivage des données est régi par les dispositions de la législation relative à l’archivage.

Le traitement de données personnelles par l’OFCS ¹⁵ dans le cadre de l’accomplissement de ses tâches est régi par les art. 75 à 79 .

Les autorités et organisations soumises à la présente loi veillent à ce que les informations qui remplissent les critères définis à l’art. 13 soient classifiées.

La classification doit se limiter au strict nécessaire et être si possible temporaire.

Les autorités soumises à la présente loi désignent les personnes et services compétents pour classifier les informations (auteurs de la classification).

Seuls l’auteur de la classification ou le service auquel il est subordonné peuvent modifier ou supprimer une classification.

Le Conseil fédéral règle la déclassification des archives.

Les informations susceptibles de nuire aux intérêts définis à l’art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d’une personne non autorisée sont classifiées «interne».

Les informations susceptibles de nuire considérablement aux intérêts définis à l’art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d’une personne non autorisée sont classifiées «confidentiel».

Les informations susceptibles de nuire gravement aux intérêts définis à l’art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d’une personne non autorisée sont classifiées «secret».

Seules peuvent accéder aux informations classifiées les personnes qui offrent toutes les garanties qu’elles les traiteront correctement et qui remplissent l’une des conditions suivantes:

1. elles ont besoin des informations en question pour accomplir une tâche légale;
2. elles disposent d’une autorisation d’accès qui leur a été conférée contractuellement et ont besoin des informations en question pour accomplir les tâches qui leur ont été confiées.

L’accès aux archives classifiées est réglé par la législation sur l’archivage.

Les limitations d’accès prévues dans des traités internationaux au sens de l’art. 87 sont réservées.

L’accès à des informations classifiées relevant de l’Assemblée fédérale, des Services du Parlement, des tribunaux et des ministères publics est régi par le droit de procédure applicable.

Avant toute décision donnant accès à une information au sens de l’al. 1, l’organe parlementaire ou le tribunal compétent peut consulter l’auteur de la classification.

Pour garantir la sécurité de l’information lors de l’utilisation de moyens informatiques, les autorités soumises à la présente loi élaborent une procédure de sécurité.

La procédure de sécurité définit en particulier:

1. les critères permettant d’évaluer le besoin de protection des informations avant la mise en service des moyens informatiques;
2. les modalités de mise en œuvre des mesures de sécurité et leur contrôle;
3. la compétence d’autoriser les moyens informatiques;
4. la procédure à suivre en cas de modification des risques.

L’exécution de la procédure de sécurité incombe aux autorités et organisations soumises à la présente loi qui décident de l’utilisation de moyens informatiques.

Les moyens informatiques relèvent de la catégorie de sécurité «protection de base», à moins qu’ils relèvent d’une catégorie de sécurité supérieure.

Ils relèvent de la catégorie de sécurité «protection élevée» dans les cas suivants:

1. une violation de la confidentialité, de la disponibilité, de l’intégrité ou de la traçabilité des informations qu’ils traitent risque de nuire considérablement aux intérêts définis à l’art. 1, al. 2;
2. leur utilisation abusive ou leur perturbation sont susceptibles de nuire considérablement aux intérêts définis à l’art. 1, al. 2.

Ils relèvent de la catégorie de sécurité «protection très élevée» dans les cas suivants:

1. une violation de la confidentialité, de la disponibilité, de l’intégrité ou de la traçabilité des informations qu’ils traitent risque de nuire gravement aux intérêts définis à l’art. 1, al. 2;
2. leur utilisation abusive ou leur perturbation sont susceptibles de nuire gravement aux intérêts définis à l’art. 1, al. 2.

Les autorités soumises à la présente loi fixent les exigences de sécurité minimales applicables aux catégories de sécurité définies à l’art. 17.

Tous les moyens informatiques doivent satisfaire aux exigences minimales de la catégorie de sécurité «protection de base».

L’efficacité des mesures applicables aux moyens informatiques de la catégorie de sécurité «protection très élevée» doit faire l’objet de contrôles périodiques.

Les autorités et organisations soumises à la présente loi garantissent la sécurité des moyens informatiques qu’elles exploitent pour elles-mêmes ou sur mandat d’une autre autorité ou organisation.

Les art. 57 i à 57 q LOGA ¹⁶ s’appliquent par analogie au traitement des données personnelles dans le cadre de la surveillance des réseaux.

Les autorités et organisations soumises à la présente loi veillent à ce que les personnes qui accèdent à des informations, des moyens informatiques, des locaux et d’autres infrastructures de la Confédération:

1. soient choisies avec soin;
2. soient identifiées en fonction de la sensibilité de l’activité concernée;
3. reçoivent une formation et une formation continue adaptées à leur niveau de responsabilité;
4. soient le cas échéant tenues au maintien du secret.

Elles peuvent recourir à des méthodes biométriques de vérification pour identifier les personnes, si la sensibilité de l’activité concernée le requiert. Les données biométriques sont détruites à l’échéance de l’autorisation d’accès.

Elles peuvent en outre utiliser systématiquement le numéro AVS au sens de l’art. 50 c de la loi fédérale du 20 décembre 1946 sur l’assurance-vieillesse et survivants ¹⁷ comme identificateur de personnes.

Les autorités et organisations soumises à la présente loi veillent à ce que des autorisations d’accès à des informations, des moyens informatiques, des locaux ou d’autres infrastructures de la Confédération ne soient délivrées qu’aux personnes qui en ont besoin pour accomplir leurs tâches.

Les autorisations sont retirées à la fin de l’engagement ou du contrat ou dès que la tâche concernée a été exécutée. Elles peuvent être bloquées ou retirées sans préavis lorsque des indices concrets donnent à penser que la sécurité est menacée.

Les autorités et organisations soumises à la présente loi veillent à assurer une protection physique adéquate des informations et moyens informatiques dont elles sont responsables contre les utilisations abusives et les perturbations.

Les autorités et organisations soumises à la présente loi peuvent instituer des zones de sécurité dans des locaux ou des espaces dans lesquels:

1. des informations classifiées «confidentiel» ou «secret» sont fréquemment traitées, ou
2. des moyens informatiques des catégories de sécurité «protection élevée» ou «protection très élevée» sont exploités.

Elles peuvent prendre les mesures suivantes:

1. interdire certains objets, en particulier les appareils de prises de vue et de son;
2. surveiller les secteurs sensibles avec des appareils de prises de vue et de son;
3. procéder à des fouilles;
4. procéder à des contrôles des locaux inopinés, même en l’absence des employés.

Elles peuvent exploiter, conformément à l’art. 34, al. 1 ^ter , de la loi du 30 avril 1997 sur les télécommunications (LTC) ¹⁸ , une installation perturbatrice dans les zones de sécurité où des informations classifiées «secret» sont fréquemment traitées ou des moyens informatiques de la catégorie de sécurité «protection très élevée» sont exploités. ¹⁹

Les dispositions particulières relatives aux zones de sécurité établies en vertu des traités internationaux au sens de l’art. 87 et les dispositions applicables aux zones de protection des ouvrages au sens de la législation sur la protection des ouvrages militaires sont réservées.

Les autorités soumises à la présente loi peuvent exploiter des systèmes permettant une gestion centralisée des données servant à identifier les personnes qui ont accès aux informations, aux moyens informatiques, aux locaux et à d’autres infrastructures (systèmes de gestion des données d’identification).

Les systèmes de gestion des données d’identification vérifient l’identité et les profils d’accès des personne, des machines et des systèmes . Ils transmettent le résultat aux systèmes d’information raccordés pour la vérification des autorisations.

Les autorités soumises à la présente loi désignent un service responsable pour chaque système de gestion des données d’identification.

Les systèmes de gestion des données d’identification permettent d’échanger des données et de les harmoniser avec les systèmes d’information raccordés, avec les répertoires de personnes et d’utilisateurs et avec d’autres systèmes de gestion des données d’identification exploités par des autorités soumises à la présente loi.

L’échange et l’harmonisation sont limités aux données dont le traitement est autorisé dans le système concerné.

Les autorités soumises à la présente loi édictent des dispositions d’exécution notamment dans les domaines suivants:

1. la protection et la sécurité des données;
2. les données personnelles traitées;
3. l’échange et l’harmonisation des données avec d’autres systèmes;
4. la journalisation et la transmission des données de journalisation aux systèmes d’information raccordés;
5. le contrôle périodique, réalisé par un organe externe, du traitement des données personnelles.

Le contrôle de sécurité relatif aux personnes vise à déterminer si l’exercice d’une activité sensible par une personne dans le cadre de sa fonction ou d’un mandat présente un risque pour la sécurité de l’information.

À cette fin, les services compétents collectent les données pertinentes pour la sécurité touchant au mode de vie de la personne concernée, notamment à ses relations personnelles étroites et f amiliales, à sa situation financière et à ses rapports avec l’étranger.

Les données sur l’exercice des droits constitutionnels ne peuvent être traitées que s’il existe un soupçon concret que la personne soumise au contrôle exerce ces droits pour préparer ou accomplir des actes susceptibles de nuire considérablement aux intérêts définis à l’art. 1, al. 2.

Les autorités soumises à la présente loi édictent, chacune dans son domaine de compétence, une liste des fonctions qui impliquent l’exercice d’une activité sensible.

Elles contrôlent périodiquement l’exactitude de la liste et y apportent les corrections nécessaires.

Sont soumis à un contrôle de sécurité:

1. les employés de la Confédération, les collaborateurs externes et les militaires qui exercent une fonction figurant sur l’une des listes visées à l’art. 28;
2. les employés cantonaux qui exercent une activité sensible;
3. les tiers qui exécutent pour une autorité ou une organisation soumise à la présente loi un mandat qui implique l’exercice d’une activité sensible;
4. les personnes soumises à un contrôle de sécurité en vertu d’un traité international au sens de l’art. 87.

Toute personne appelée à exercer une activité sensible pour le compte d’une autorité étrangère ou d’une organisation internationale est soumise à un contrôle de sécurité pour autant que la Suisse ait conclu un traité international au sens de l’art. 87 avec l’État ou l’organisation internationale en question.

Les personnes qui exercent une fonction qui ne figure pas encore sur l’une des listes visées à l’art. 28 peuvent exceptionnellement, sur approbation de l’autorité concernée, être soumises à un contrôle de sécurité. La liste des fonctions doit être complétée dès que possible.

Les candidats aux fonctions suivantes ne sont pas soumis à un contrôle de sécurité:

1. membre de l’Assemblée fédérale;
2. membre du Conseil fédéral et chancelier de la Confédération;
3. juge auprès d’un tribunal de la Confédération;
4. procureur général de la Confédération;
5. membre de l’Autorité de surveillance du Ministère public de la Confédération;
6. ²⁰ chef du Préposé fédéral à la protection des données et à la transparence;
7. général;
8. magistrat cantonal élu par le peuple ou par le parlement du canton concerné.

Les autorités soumises à la présente loi attribuent les degrés de contrôle suivants aux activités sensibles définies ci-après:

1. contrôle de sécurité de base: activités sensibles dont l’exercice inadéquat ou contraire aux prescriptions est susceptible de nuire considérablement aux intérêts définis à l’art. 1, al. 2;
2. contrôle de sécurité élargi: activités sensibles dont l’exercice inadéquat ou contraire aux prescriptions est susceptible de nuire gravement aux intérêts définis à l’art. 1, al. 2.

Les autorités soumises à la présente loi et les cantons désignent les services qui ont les compétences suivantes:

1. ouvrir la procédure du contrôle de sécurité (services qui demandent le contrôle);
2. décider de confier l’activité sensible (instances décisionnelles).

Le Conseil fédéral désigne un ou plusieurs services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes (services spécialisés CSP). Ces services réalisent l’évaluation sans aucune instruction.

Aucun contrôle de sécurité ne peut être réalisé sans le consentement de la personne soumise au contrôle.

Les conscrits, les militaires et les membres de la protection civile peuvent être soumis à un contrôle de sécurité sans leur consentement.

La personne soumise au contrôle est tenue de collaborer à l’établissement des faits.

Pour les personnes visées à l’art. 29, al. 1, let. a et b, la procédure de contrôle de sécurité doit être ouverte avant l’attribution de la fonction.

Pour les personnes visées à l’art. 29, al. 1, let. a, qui doivent être nommées par le Conseil fédéral, le contrôle de sécurité doit être achevé avant le dépôt de la proposition de nomination.

Pour les personnes visées à l’art. 29, al. 1, let. c, le contrôle de sécurité doit être achevé avant que l’activité sensible ne leur soit confiée.

Pour les personnes visées à l’art. 29, al. 1, let. d, le contrôle de sécurité a lieu au moment prévu par le traité applicable.

Les services spécialisés CSP peuvent collecter les données suivantes relatives à une personne pour réaliser un contrôle de sécurité de base:

1. données du casier judiciaire;
2. données sur des procédures pénales en cours, classées ou suspendues, en demandant des renseignements ou des dossiers auprès des autorités pénales;
3. données nécessaires à l’évaluation du risque, auprès des organes de sécurité de la Confédération, du Service de renseignement de la Confédération (SRC), des organes de l’armée et d’autres organes de la Confédération;
4. données des registres et dossiers des organes de sécurité des cantons et des organes de police;
5. données des registres des offices des poursuites et des faillites;
6. données des dossiers établis lors de contrôles de sécurité antérieurs;
7. données de sources d’information publiques.

Ils peuvent au surplus collecter les données suivantes relatives à une personne pour réaliser un contrôle de sécurité élargi:

1. données détenues par les autorités fiscales fédérales et cantonales;
2. données du registre du contrôle des habitants;
3. données détenues par les établissements financiers et banques entretenant des relations d’affaires avec la personne concernée;
4. données fournies par la personne concernée au cours d’une audition.

Lorsque des indices concrets fondés sur les données collectées donnent à penser qu’il existe un risque pour la sécurité ou lorsque les données collectées sont insuffisantes ou ne s’étendent pas sur une période suffisante pour réaliser le contrôle, les services spécialisés CSP peuvent auditionner la personne concernée. Ils peuvent également interroger des tiers moyennant le consentement de la personne soumise au contrôle de sécurité; ils indiquent aux tiers concernés qu’ils sont libres de donner des renseignements ou non.

Les données relatives à des tiers qui sont indissociables des données relatives à la personne soumise au contrôle de sécurité peuvent être traitées si elles sont indispensables pour réaliser le contrôle. Les services spécialisés CSP informent les tiers concernés du traitement de leurs données.

L’autorité ou l’organisation concernée au sens de l’art. 34 collecte les données détenues par une autorité étrangère ou une organisation internationale.

Lorsque les données collectées fournissent des indices concrets de crime organisé ou de criminalité internationale, le service spécialisé CSP consulte les offices centraux de police criminelle de la Confédération. Les offices centraux ne communiquent au service spécialisé CSP que les données personnelles pertinentes pour la sécurité.

Les autorités et organisations de droit public auprès desquelles les services spécialisés CSP peuvent collecter des données ou qui sont tenues de participer à la procédure prêtent leur concours gratuitement.

Les tiers auxquels la procédure occasionne une charge considérable sont indemnisés.

La Confédération supporte les coûts du contrôle pour les employés cantonaux visés à l’art. 29, al. 1, let. b.

Les services spécialisés CSP classent la procédure lorsque la personne concernée revient sur son consentement ou qu’elle n’entre plus en considération pour exercer la fonction prévue ou pour exécuter le mandat.

Ils communiquent le classement de la procédure à la personne concernée et au service qui a demandé son ouverture. La personne concernée est réputée ne pas avoir été contrôlée.

Il existe un risque pour la sécurité lorsque des indices concrets fondés sur les données collectées laissent supposer avec une probabilité élevée que la personne contrôlée exécutera l’activité sensible de manière inadéquate ou contraire aux prescriptions.

La probabilité d’un exercice inadéquat ou contraire aux prescriptions d’une activité sensible peut notamment être jugée élevée lorsque des indices concretsdonnent à penser que la personne présente l’une des caractéristiques suivantes:

1. elle manque d’intégrité ou de loyauté;
2. elle est susceptible de céder au chantage ou à la corruption;
3. elle ne dispose pas d’une pleine capacité de jugement ou de décision.

L’évaluation doit se fonder sur des faits concernant la situation personnelle de la personne soumise au contrôle, indépendamment de toute faute commise.

Les services spécialisés CSP rendent l’une des déclarations suivantes, qui a la signification indiquée ci-après:

1. déclaration de sécurité: il n’existe aucun risque pour la sécurité;
2. déclaration de sécurité sous réserve: il existe un risque pour la sécurité, mais celui-ci peut être ramené à un niveau acceptable en respectant certaines conditions; les services spécialisés CSP recommandent les conditions à fixer;
3. déclaration de risque: il existe un risque pour la sécurité;
4. constatation: les données sont insuffisantes ou ne s’étendent pas sur une période suffisante pour évaluer le risque pour la sécurité.

Dans les cas visés à l’al. 1, let. b à d, ils donnent au préalable la possibilité à la personne soumise au contrôle de donner son avis.

Les services spécialisés CSP communiquent par écrit à la personne concernée et à l’instance décisionnelle la déclaration qu’ils ont rendue.

Pour les nominations par le Conseil fédéral, les services spécialisés CSP communiquent leur déclaration au département qui propose la nomination.

Ils peuvent communiquer la déclaration à une autre instance décisionnelle dans les cas suivants:

1. la personne soumise au contrôle est appelée à exercer une autre activité sensible au sens de la présente loi qui requiert un contrôle de sécurité;
2. la personne est soumise à un contrôle de loyauté en vertu d’une autre loi fédérale;
3. la personne est soumise à une évaluation en vertu de l’art. 113 de la loi du 3 février 1995 sur l’armée²¹.

Si les services spécialisés CSP disposent, avant la clôture de l’évaluation, d’indices concrets d’un risque pour la sécurité, ils peuvent communiquer leurs constatations intermédiaires par écrit aux autorités et instances visées aux al. 1 à 3 et à la personne contrôlée.

Les déclarations des services spécialisés CSP ont valeur de recommandation.

Le service visé à l’art. 31, al. 1, let. b décide, après avoir pris connaissance de la déclaration, si la personne contrôlée peut exercer l’activité sensible en question.

Il peut fixer des conditions à l’exercice de l’activité.

Il communique sa décision au service spécialisé CSP.

Il n’est pas nécessaire de réaliser un nouveau contrôle de sécurité lorsque la personne concernée a déjà obtenu une déclaration pour un degré de contrôle au moins équivalent:

1. en vue d’une autre activité sensible au sens de la présente loi;
2. dans le cadre d’un contrôle de loyauté en vertu d’une autre loi fédérale.

Le contrôle de sécurité relatif aux personnes est répété comme suit:

1. contrôle de sécurité de base: au plus tôt après cinq ans, au plus tard après dix ans;
2. contrôle de sécurité élargi: au plus tôt après trois ans, au plus tard après cinq ans.

Le Conseil fédéral peut prévoir qu’il n’est pas nécessaire de répéter le contrôle de sécurité de base pour les personnes exerçant certaines fonctions au sein de l’armée ou de la protection civile.

Lorsque le service qui demande le contrôle ou l’instance décisionnelle ont des raisons de penser que de nouveaux risques sont apparus depuis le dernier contrôle, ils peuvent demander la répétition du contrôle de sécurité au service spécialisé CSP; ils motivent leur demande par écrit.

La personne contrôlée dispose d’un délai de 30 jours à compter de la réception d’une déclaration au sens de l’art. 39, al. 1, pour:

1. consulter le dossier du contrôle;
2. demander la rectification des données erronées ou la destruction des données obsolètes;
3. demander que l’on ajoute à une donnée la mention de son caractère litigieux.

Les restrictions à la communication de renseignements sont régies par l’art. 26 LPD ²² . ²³

La déclaration constitue un acte matériel au sens de l’art. 25 a de la loi fédérale du 20 décembre 1968 sur la procédure administrative ²⁴ . La personne contrôlée peut recourir contre une déclaration au sens de l’art. 39, al. 1, let. b à d, auprès du Tribunal administratif fédéral dans un délai de 30 jours à compter de sa réception.

Si l’instance décisionnelle est le Tribunal fédéral ou le Tribunal administratif fédéral, l’art. 36, al. 2 et 4, de la loi du 24 mars 2000 sur le personnel de la Confédération ²⁵ s’applique par analogie.

La procédure de recours est régie au surplus par les dispositions générales de la procédure fédérale.

Les services spécialisés CSP exploitent un système d’information. Celui-ci sert à l’exécution:

1. des contrôles de sécurité relatifs aux personnes;
2. des évaluations du potentiel d’abus ou de dangerosité en ce qui concerne l’arme personnelle;
3. des contrôles de fiabilité;
4. des contrôles de loyauté.²⁶

Chaque service spécialisé CSP est responsable de la licéité du traitement des données personnelles qu’il effectue dans le système d’information.

Les données sensibles au sens de l’art. 5, let. c, LPD ²⁷ peuvent être traités dans le système d’information dans la mesure où elles sont nécessaires à l’évaluation du risque pour la sécurité. ²⁸

Un profilage au sens de la LPD, y compris un profilage à risque élevé, peut être effectué à l’aide des données contenues dans le système d’information pour analyser, évaluer, apprécier ou prédire les aspects personnels ci-après relatifs à une personne physique dans les buts visés à l’al. 1:

1. risque pour la sécurité;
2. potentiel d’abus et de dangerosité en ce qui concerne l’arme personnelle.²⁹

Le système d’information contient les données suivantes:

1. les données d’identité des personnes à contrôler ou des personnes qui ont été contrôlées, y compris le numéro AVS et le numéro de passeport;
2. les données visées aux art. 34 et 35;
3. les données relatives à l’évaluation du risque pour la sécurité;
4. le résultat de l’évaluation visé à l’art. 39, al. 1;
5. la décision de l’instance décisionnelle;
6. les données et les dossiers relatifs aux procédures de recours;
7. des listes et statistiques contenant les données visées aux let. a à f.

Le traitement des données visées à l’al. 4 en dehors du système d’information doit être mentionné dans le système.

Les données visées à l’al. 4 peuvent être collectées automatiquement et systématiquement en ligne dans les systèmes d’information suivants:

1. ³⁰ casier judiciaire informatique au sens de la loi du 17 juin 2016 sur le casier judiciaire³¹;
2. index national de police au sens de l’art. 17 de la loi fédérale du 13 juin 2008 sur les systèmes d’information de police de la Confédération³²;
3. système d’indexation des données du SRC au sens de l’art. 51 de la loi fédérale du 25 septembre 2015 sur le renseignement³³;
4. ³⁴ banques de données de l’Office central des armes visées à l’art. 32a, al. 1, de la loi du 20 juin 1997 sur les armes³⁵.

Les organes suivants peuvent consulter en ligne les données ci-après contenues dans le système d’information:

1. les services qui demandent le contrôle: les données visées à l’art. 45, al. 4, let. b, qu’ils ont saisies eux-mêmes lors de l’ouverture de la procédure de contrôle, ainsi que les données visées à l’art. 45, al. 4, let. a, d et e;
2. les instances décisionnelles: les données visées à l’art. 45, al. 4, let. a, d et e;
3. les préposés à la sécurité de l’information au sens de l’art. 81, pour l’exécution de leurs tâches de contrôle: les données visées à l’art. 45, al. 4, let. a, d et e;
4. les services de la Confédération et des cantons auprès desquels les données visées à l’art. 37 sont collectées: les données visées à l’art. 45, al. 4, let. a.

Les organes suivants peuvent consulter les données ci-après contenues dans le système d’information:

1. le service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE) au sens de l’art. 51, al. 2, par une interface liée au système d’information visé à l’art. 70, pour mener la procédure de sécurité relative aux entreprises au sens des art. 49 à 73: les données visées à l’art. 45, al. 4, let. a, d et e;
2. le Groupement Défense:1.par une interface liée au système d’information visé à l’art. 12 de la loi fédérale du 3 octobre 2008 sur les systèmes d’information de l’armée (LSIA)³⁶, dans les buts définis à l’art. 13 LSIA: les données visées à l’art. 45, al. 4, let. a, d et e,2.par une interface liée au système d’information visé à l’art. 18 LSIA, dans les buts définis à l’art. 19 LSIA: les données visées à l’art. 45, al. 4, let. a et e;3.par une interface liée au système d’information visé à l’art. 156 LSIA, dans le but visé à l’art. 157 LSIA: les données visées à l’art. 45, al. 4, let. a et e,4.par une interface liée au système d’information visé à l’art. 162 LSIA, dans le but visé à l’art. 163 LSIA: les données visées à l’art. 45, al. 4, let. a et e;
3. le service compétent pour délivrer des certificats internationaux de sécurité au sens de l’art. 48, let. c, par une interface: les données visées à l’art. 45, al. 4, let. a, d et e.

Les services spécialisés CSP peuvent au surplus communiquer électroniquement les données visées à l’art. 45, al. 4, let. a et e, à d’autres services de la Confédération dans la mesure où ces données sont nécessaires pour contrôler l’accès aux zones de sécurité.

Ils peuvent communiquer aux autorités et organisations soumises à la présente loi les listes et statistiques visées à l’art. 45, al. 1, let. g, dans la mesure où elles en ont besoin pour exécuter les tâches de contrôle prévues par la présente loi.

Les services spécialisés CSP peuvent enregistrer les auditions visées à l’art. 34, al. 2, let. d, et 3, et conserver les enregistrements sur des supports.

Ils conservent les données aussi longtemps que la personne concernée exerce l’activité sensible, mais dix ans au plus.

L’archivage des données est régi par les dispositions de la législation relative à l’archivage.

Lorsque la procédure est classée ou que les services spécialisés CSP apprennent qu’une personne contrôlée n’occupe pas la fonction prévue ou a refusé d’exécuter le mandat prévu, ces services détruisent l’ensemble des données et dossiers relatifs à la procédure dans les trois mois.

Le Conseil fédéral règle:

1. les modalités de la procédure du contrôle de sécurité relatif aux personnes;
2. l’organisation des services spécialisés CSP;
3. les modalités de délivrance des certificats internationaux de sécurité;
4. les responsabilités en matière de protection des données traitées dans le système d’information visé à l’art. 45 et la sécurité des données;
5. les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.

La procédure de sécurité relative aux entreprises vise à préserver la sécurité de l’information lors de l’exécution de mandats publics par des entreprises, des parties d’entre elles ou des sous-contractants (entreprises), dans la mesure où ces mandats impliquent l’exercice d’une activité sensible (mandats sensibles).

Les entreprises suivantes peuvent être soumises à la procédure de sécurité:

1. entreprises appelées à exécuter un mandat sensible pour le compte d’une autorité ou d’une organisation soumise à la présente loi;
2. entreprises dont le siège est en Suisse et qui soumissionnent pour des mandats dont l’exécution requiert un certificat international de sécurité au sens de l’art. 66.

La procédure ne peut être menée sans le consentement de l’entreprise concernée.

Les entreprises visées à l’al. 1, let. b, supportent les coûts de la procédure.

La procédure de sécurité est classée dans les cas suivants:

1. l’entreprise concernée revient sur son consentement ou ne collabore pas à la procédure;
2. l’entreprise concernée retire son offre;
3. l’entreprise concernée n’entre plus en considération pour l’exécution du mandat.

Le service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE) communique le classement de la procédure à l’entreprise et à l’autorité ou l’organisation qui attribue le mandat (adjudicateur).

Lorsque les autorités et organisations soumises à la présente loi envisagent d’attribuer un mandat sensible, elles adressent au service spécialisé PSE une demande d’ouverture de la procédure.

Les autorités soumises à la présente loi désignent les services compétents pour demander l’ouverture de la procédure.

Les autorités étrangères ou organisations internationales doivent déposer elles-mêmes une demande pour les entreprises visées à l’art. 50, al. 1, let. b.

Le service spécialisé PSE examine la demande et ouvre la procédure.

Il peut renoncer, en accord avec l’adjudicateur, à ouvrir une procédure lorsque d’autres mesures permettent de ramener le risque pour la sécurité à un niveau acceptable. Il recommande les mesures à prendre.

Le service spécialisé PSE fixe, en accord avec l’adjudicateur, les exigences en matière de sécurité de l’information pour la procédure d’adjudication et la phase d’exécution du mandat.

L’adjudicateur indique au service spécialisé PSE quelles entreprises entrent en considération pour l’exécution du mandat sensible.

Le service spécialisé PSE évalue si les entreprises concernées présentent les qualifications requises sous l’angle de la sécurité pour exécuter le mandat sensible ou s’il existe un risque pour la sécurité.

Il réalise l’évaluation sans aucune instruction.

Pour évaluer la qualification d’une entreprise, le service spécialisé PSE peut collecter des données auprès des sources suivantes:

1. l’entreprise concernée;
2. le SRC;
3. toute source d’information publique.

Il peut demander à des services étrangers ou internationaux de lui transmettre des données. La demande est adressée par l’intermédiaire du SRC.

Il existe un risque pour la sécurité lorsque des indices concrets fondés sur les données collectées laissent supposer avec une probabilité élevée que l’entreprise exécutera le mandat sensible de manière inadéquate ou contraire aux prescriptions.

La probabilité d’une exécution inadéquate ou contraire aux prescriptions du mandat sensible peut être jugée élevée dans les cas suivants notamment:

1. l’entreprise manque d’intégrité ou de loyauté;
2. l’entreprise est contrôlée par des États étrangers ou des organisations étrangères de droit public ou privé ou se trouve sous leur influence, lorsque ce contrôle ou cette influence sont incompatibles avec les intérêts définis à l’art. 1, al. 2;
3. un service spécialisé CSP a rendu une déclaration de risque pour un membre du personnel de l’entreprise et cette personne est indispensable pour l’exécution du mandat.

L’évaluation doit se fonder sur des faits concernant la situation de l’entreprise, indépendamment de toute faute commise.

Le service spécialisé PSE communique son évaluation à l’adjudicateur et la notifie formellement à l’entreprise.

Si le service spécialisé PSE conclut que l’exécution du mandat sensible par l’entreprise concernée pose un risque pour la sécurité, l’adjudicateur exclut l’entreprise de la procédure d’adjudication.

Si toutes les entreprises qui entrent en considération posent un risque pour la sécurité, l’adjudicateur peut néanmoins confier le mandat à l’une d’entre elles. Le service spécialisé PSE classe la procédure. L’adjudicateur applique par analogie les mesures visées aux art. 59, 60, 63 et 64.

L’adjudicateur indique au service spécialisé PSE quelle est l’entreprise adjudicataire.

L’entreprise établit un plan de sécurité en suivant les directives du service spécialisé PSE.

Le plan de sécurité est soumis au contrôle du service spécialisé PSE. Ce dernier peut collecter les données nécessaires par écrit ou inspecter les locaux de l’entreprise.

Les collaborateurs de l’entreprise qui sont appelés à exercer une activité sensible sont soumis à un contrôle de sécurité.

Le service spécialisé PSE est compétent pour la décision au sens de l’art. 41, al. 2. Si la procédure de sécurité relative aux entreprises est classée conformément à l’art. 58, al. 3, parce qu’aucune entreprise ne présente les qualifications requises pour exécuter le mandat, l’adjudicateur prend la décision.

Le service spécialisé PSE rend formellement une déclaration de sécurité lorsque l’entreprise apporte la preuve qu’elle a mis en œuvre le plan de sécurité.

Il refuse à l’entreprise la déclaration de sécurité et classe la procédure si l’entreprise ne met pas en œuvre le plan de sécurité. Il rend formellement une décision en conséquence.

Les décisions visées aux al. 1 et 2 sont communiquées à l’adjudicateur.

L’adjudicateur est lié par la décision du service spécialisé PSE, sous réserve de l’art. 58, al. 3.

La déclaration de sécurité est valable cinq ans.

L’adjudicateur ne peut laisser une entreprise exécuter un mandat sensible qu’une fois que celle-ci a obtenu une déclaration de sécurité.

Les entreprises qui ont obtenu une déclaration de sécurité doivent constamment appliquer les mesures prévues par le plan de sécurité.

Elles informent immédiatement le service spécialisé PSE et l’adjudicateur de tout changement et de tout incident dans le domaine de la sécurité.

Le service spécialisé PSE peut:

1. inspecter inopinément les secteurs où le mandat sensible est exécuté;
2. consulter les documents relatifs au mandat.

Lorsque des indices concrets donnent à penser que la sécurité de l’information est menacée dans une entreprise, le service spécialisé PSE peut prendre immédiatement les mesures de protection qui s’imposent, notamment mettre les documents et le matériel en lieu sûr.

Les entreprises qui ont obtenu une déclaration de sécurité sont réputées qualifiées en cas d’adjudication d’autres mandats sensibles. Le service spécialisé PSE examine la nécessité d’adapter le plan de sécurité.

Le service spécialisé PSE établit à la demande de l’entreprise un certificat international de sécurité.

Le service spécialisé PSE révoque la déclaration de sécurité dans les cas suivants:

1. l’entreprise n’a pas rempli ses obligations au sens de l’art. 63;
2. une répétition de la procédure a permis d’identifier un risque pour la sécurité.

Il notifie sa décision à l’entreprise et à l’adjudicateur.

En cas de révocation de la déclaration de sécurité, l’adjudicateur retire immédiatement le mandat à l’entreprise, sous réserve de l’art. 58, al. 3. L’entreprise n’a droit à aucune indemnisation.

La procédure de sécurité est répétée dans les cas suivants:

1. la déclaration de sécurité de l’entreprise échoit alors que l’entreprise exécute un mandat sensible;
2. des changements importants sont intervenus au sein de l’entreprise et des indices concrets donnent à penser que ces changements ont fait apparaître de nouveaux risques pour la sécurité.

L’entreprise a 30 jours à compter de la notification de la décision du service spécialisé PSE pour:

1. consulter le dossier du contrôle;
2. demander la rectification des données erronées ou la destruction des données obsolètes;
3. demander que l’on ajoute à une donnée la mention de son caractère litigieux;
4. faire recours devant le Tribunal administratif fédéral.

Les restrictions à la communication de renseignements sont régies par l’art. 26 LPD ³⁷ . ³⁸

Le service spécialisé PSE exploite un système d’information pour réaliser et gérer les procédures de sécurité relatives aux entreprises.

Les données sensibles et au sens de l’art. 5, let. c, LPD ³⁹ peuvent être traitées dans le système d’information dans la mesure où elles sont nécessaires à l’exécution de la procédure. ⁴⁰

Le système d’information contient les données suivantes:

1. les données visées aux art. 56 et 59, al. 3;
2. le résultat de l’évaluation visée à l’art. 55, al. 2;
3. le résultat des contrôles de sécurité relatifs aux personnes visés à l’art. 60, al. 1;
4. la décision du service spécialisé PSE visée à l’art. 60, al. 2;
5. la raison sociale des entreprises qui ont obtenu une déclaration de sécurité;
6. les mesures de protection visées à l’art. 64;
7. les données et les dossiers relatifs aux procédures de recours.

Le service spécialisé PSE est responsable de la sécurité du système d’information et de la licéité du traitement des données personnelles.

Les organes suivants peuvent consulter en ligne les données ci-après:

1. les adjudicateurs: les données visées à l’art. 70, al. 3, let. b et d à g;
2. les entreprises qui sont habilitées par le Conseil fédéral, en vertu de l’art. 31, al. 1, let. a, à ouvrir des procédures de contrôle de sécurité relatifs aux personnes dans leur domaine de compétence: les données visées à l’art. 70, al. 3, let. d.

Le service spécialisé PSE peut au surplus communiquer les données visées à l’art. 70, al. 3, let. b à d, à d’autres services de la Confédération dans la mesure où ces données sont nécessaires à la sécurité de l’information.

Le service spécialisé PSE conserve les données aussi longtemps que l’entreprise concernée dispose d’une déclaration de sécurité, mais dix ans au plus.

L’archivage des données est régi par les dispositions de la législation relative à l’archivage.

Lorsque la procédure est classée, le service spécialisé PSE détruit l’ensemble des données et dossiers relatifs à la procédure dans les trois mois.

Le Conseil fédéral règle:

1. les modalités de la procédure de sécurité relative aux entreprises;
2. l’application aux sous-contractants de la procédure de sécurité relative aux entreprises;
3. l’organisation du service spécialisé PSE;
4. les mesures nécessaires pour garantir la sécurité des données du système visé à l’art. 70;
5. les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.

Afin de protéger la Suisse contre les cybermenaces, l’OFCS réalise des analyses techniques pour évaluer et contrer les cyberincidents et les cybermenaces, ainsi que pour identifier et éliminer les vulnérabilités.

Sur la base de ces analyses, l’OFCS assume notamment les tâches suivantes:

1. sensibiliser le public aux cybermenaces et l’alerter sur de telles menaces;
2. alerter les autorités, les organisations et les personnes concernées en cas de cybermenace immédiate ou de cyberattaque en cours;
3. publier des informations sur la cybersécurité et des recommandations sur les mesures préventives et réactives à prendre contre les cyberincidents;
4. réceptionner et traiter les signalements concernant les cyberincidents et les cybermenaces;
5. soutenir les exploitants d’infrastructures critiques.

L’OFCS reçoit des signalements concernant des cyberincidents et des cybermenaces. Les signalements peuvent être anonymes.

L’OFCS analyse les signalements au regard de leur importance pour la protection de la Suisse contre les cybermenaces. Sur demande, il émet une recommandation quant aux mesures à prendre, pour autant qu’aucune analyse ou clarification supplémentaire ne soit nécessaire à cet effet.

Si l’OFCS prend connaissance d’une vulnérabilité, il en informe immédiatement le fabricant du matériel informatique ou du logiciel concerné et lui fixe un délai approprié pour l’éliminer. Il lui indique que tout manquement pourra être sanctionné en vertu du droit des marchés publics (art. 44, al. 1, let. f ^bis , de la loi fédérale du 21 juin 2019 sur les marchés publics ⁴⁵ ) et qu’à l’expiration du délai, il pourra rendre publique la vulnérabilité en vertu de l’art. 73 c , al. 2.

L’OFCS peut publier des informations relatives à des cyberincidents pour autant que cela serve à la protection contre les cybermenaces. Ces informations ne peuvent contenir de données relatives aux personnes physiques ou morales concernées que si ces dernières y consentent et que ces données sont des caractères d’identification et des ressources d’adressage utilisés de manière abusive.

L’OFCS peut publier des informations relatives à des vulnérabilités en indiquant le matériel informatique ou le logiciel concerné, à condition que le fabricant y consente ou qu’il n’ait pas éliminé la vulnérabilité dans le délai visé à l’art. 73 b , al. 3.

L’OFCS peut transmettre des informations provenant de signalements aux autorités et aux organisations actives dans le domaine de la cybersécurité. Ces informations ne peuvent contenir de données personnelles que si la personne concernée y consent.

Si le signalement d’un cyberincident ou son analyse révèle que des informations sont nécessaires pour déceler à temps et prévenir des menaces pour la sûreté intérieure ou extérieure, pour apprécier la menace ou pour assurer un service d’alerte précoce en vue de protéger les infrastructures critiques conformément à l’art. 6, al. 1, let. a, 2 et 5, de la loi fédérale du 25 septembre 2015 sur le renseignement (LRens) ⁴⁸ , l’OFCS transmet ces informations au SRC.

En dérogation à l’art. 22 a , al. 1, de la loi du 24 mars 2000 sur le personnel de la Confédération ⁴⁹ , les collaborateurs de l’OFCS qui, dans le cadre d’un signalement ou de son analyse, obtiennent des informations sur une possible infraction la rapportent exclusivement au directeur de l’OFCS. Celui-ci peut dénoncer cette possible infraction aux autorités de poursuite pénale si la gravité de cette dernière le justifie.

La transmission par l’OFCS de secrets protégés par le droit pénal doit obéir aux exigences prévues à l’art. 320 du code pénal ⁵⁰ .

L’OFCS aide les exploitants d’infrastructures critiques à se protéger contre les cybermenaces.

Il met notamment à leur disposition, à titre gratuit et pour une utilisation sur une base volontaire, les outils suivants:

1. un système de communication permettant l’échange sécurisé d’informations;
2. des informations techniques sur les cybermenaces en cours et des recommandations sur les mesures préventives et réactives à prendre contre les cyberincidents;
3. des instruments techniques et des instructions de détection des cyberincidents visant à répondre aux besoins accrus de protection des infrastructures critiques.

Il peut les conseiller et les soutenir dans la gestion des cyberincidents et l’élimination des vulnérabilités lorsque le fonctionnement de l’infrastructure critique concernée est mis en péril et, s’il s’agit d’exploitants privés, qu’il n’est pas possible d’obtenir en temps voulu un soutien équivalent sur le marché.

Avec l’accord de l’exploitant concerné, il peut accéder aux informations et aux moyens informatiques de celui-ci pour analyser un cyberincident.

Les autorités et les organisations énumérées à l’art. 74 b veillent à ce que les cyberattaques visant leurs moyens informatiques soient signalées à l’OFCS.

L’OFCS renseigne les autorités et les organisations intéressées sur leur éventuel assujettissement à l’obligation de signaler et, sur demande, rend une décision sur ce point .

Lorsqu’elles signalent une cyberattaque, les autorités et les organisations assujetties ont droit, dans la gestion de l’incident, au soutien de l’OFCS prévu à l’art. 74, al. 3.

L’obligation de signaler vise uniquement à permettre à l’OFCS de détecter à un stade précoce les modes opératoires utilisés lors des attaques visant les infrastructures critiques et, ainsi , d’avertir les victimes potentielles et de leur recommander les mesures préventives et réactives qui s’imposent.

L’obligation de signaler s’applique:

1. aux hautes écoles au sens de l’art. 2, al. 2, de la loi du 30 septembre 2011 sur l’encouragement et la coordination des hautes écoles⁵²;
2. aux autorités fédérales, cantonales et communales ainsi qu’aux organisations intercantonales, cantonales et intercommunales, à l’exception du Groupement Défense lorsque l’armée accomplit un service d’appui ou un service actif au sens des art. 67 et 76 de la loi du 3 février 1995 sur l’armée⁵³;
3. aux organisations chargées de tâches de droit public dans les domaines de la sécurité et du sauvetage, de l’approvisionnement en eau potable, du traitement des eaux usées et de l’élimination des déchets;
4. aux entreprises œuvrant dans les domaines de l’approvisionnement énergétique au sens de l’art. 6, al. 1, de la loi du 30 septembre 2016 sur l’énergie⁵⁴ ainsi que du commerce, de la mesure et de la gestion de l’énergie, à l’exception des détenteurs d’une autorisation au sens de la loi du 21 mars 2003 sur l’énergie nucléaire⁵⁵ si une cyberattaque est lancée contre une installation nucléaire;
5. aux entreprises soumises à la loi du 8 novembre 1934 sur les banques⁵⁶, à la loi du 17 décembre 2004 sur la surveillance des assurances⁵⁷ ou à la loi du 19 juin 2015 sur l’infrastructure des marchés financiers⁵⁸;
6. aux établissements de santé figurant sur la liste hospitalière cantonale conformément à l’art. 39, al. 1, let. e, de la loi fédérale du 18 mars 1994 sur l’assurance-maladie⁵⁹;
7. aux laboratoires médicaux titulaires d’une autorisation conformément à l’art. 16, al. 1, de la loi du 28 septembre 2012 sur les épidémies⁶⁰;
8. aux entreprises titulaires d’une autorisation de fabriquer, de mettre sur le marché ou d’importer des médicaments conformément à la loi du 15 décembre 2000 sur les produits thérapeutiques⁶¹;
9. aux organisations qui fournissent des prestations destinées à couvrir les conséquences de la maladie, des accidents, de l’incapacité de travail et de gain, de la vieillesse, de l’invalidité et de l’impotence;
10. à la Société suisse de radiodiffusion et télévision;
11. aux agences de presse d’importance nationale;
12. aux prestataires de services postaux enregistrés auprès de la Commission de la poste conformément à l’art. 4, al. 1, de la loi du 17 décembre 2010 sur la poste⁶²;
13. aux entreprises ferroviaires visées à l’art. 5 ou 8c de la loi fédérale du 20 décembre 1957 sur les chemins de fer⁶³ ainsi qu’aux entreprises d’installations à câbles, de trolleybus, d’autobus et de navigation concessionnaires au sens de l’art. 6 de la loi du 20 mars 2009 sur le transport de voyageurs⁶⁴;
14. aux entreprises de l’aviation civile disposant d’une autorisation délivrée par l’Office fédéral de l’aviation civile et aux aéroports nationaux figurant dans le Plan sectoriel de l’infrastructure aéronautique;
15. aux entreprises qui transportent des marchandises sur le Rhin conformément à la loi fédérale du 23 septembre 1953 sur la navigation maritime sous pavillon suisse⁶⁵ et aux entreprises qui effectuent l’enregistrement, le chargement ou le déchargement de marchandises dans le port de Bâle;
16. aux entreprises qui approvisionnent la population en biens d’usage quotidien indispensables et dont la défaillance partielle ou complète entraînerait de graves difficultés d’approvisionnement;
17. aux fournisseurs de services de télécommunication enregistrés auprès de l’Office fédéral de la communication conformément à l’art. 4, al. 1, LTC⁶⁶;
18. aux registres et aux registraires de domaines Internet au sens de l’art. 28b LTC;
19. aux fournisseurs et aux exploitants de services et d’infrastructures servant à l’exercice des droits politiques;
20. aux fournisseurs et aux exploitants d’informatique en nuage, de moteurs de recherche, de services numériques de sécurité ou de confiance ainsi que de centres de calcul, pour autant qu’ils aient un siège en Suisse;
21. aux fabricants de matériel informatique ou de logiciels dont les produits sont utilisés par des infrastructures critiques, si le matériel ou les logiciels concernés disposent d’un accès de télémaintenance ou sont utilisés à l’une des fins suivantes:1.commande et surveillance de systèmes et de processus techniques,2.garantie de la sécurité publique.

Les autorités et les organisations qui exercent également des activités ne relevant pas de l’al. 1 n’ont pas l’obligation de signaler les cyberattaques qui ont un effet uniquement sur ces activités.

L’obligation de signaler visée à l’al. 1 s’applique aux cyberattaques qui ont un effet en Suisse, même si les moyens informatiques concernés se trouvent à l’étranger.

Le Conseil fédéral exempte les autorités et les organisations de l’obligation de signaler visée à l’art. 74 b lorsque les perturbations provoquées par les cyberattaques n’ont qu’un effet limité sur le fonctionnement de l’économie ou sur le bien-être de la population.

Une cyberattaque doit être signalée lorsqu’elle:

1. met en péril le fonctionnement de l’infrastructure critique concernée;
2. a entraîné une manipulation ou une fuite d’informations;
3. n’a pas été détectée pendant une période prolongée, en particulier si des indices laissent penser qu’elle a été exécutée en vue de préparer d’autres cyberattaques, ou
4. s’accompagne d’actes de chantage, de menaces ou de contrainte.

Le signalement doit être fait dans les 24 heures suivant la détection de la cyberattaque.

Il doit contenir des informations sur l’autorité ou l’organisation assujetties à l’obligation de signaler, sur le type et l’exécution de la cyberattaque sur ses effets, sur les mesures prises et, si elles sont connues, sur les mesures prévues.

Si toutes les informations requises ne sont pas connues au moment du signalement, l’autorité ou l’organisation assujettie complète le signalement dès qu’elle dispose de nouvelles informations.

Celui qui assume l’obligation de signaler pour une autorité ou une organisation n’est pas tenu, dans le cadre du signalement, de fournir des informations qui l’exposent à des poursuites pénales.

L’OFCS informe l’autorité ou l’organisation assujettie dès que toutes les données permettant de satisfaire à l’obligation de signaler sont disponibles.

L’OFCS met à disposition un système sécurisé qui permet de lui communiquer le signalement des cyberattaques par voie électronique.

Le système doit permettre aux autorités ou aux organisations assujetties de communiquer simultanément à d’autres autorités tout ou partie du signalement de la cyberattaque ou de ses effets .

Si des informations dépassant le cadre prévu à l’art . 74 e sont nécessaires à l’exécution d’une obligation de signaler vis-à-vis d’autres autorités, le système doit permettre aux autorités ou aux organisations assujetties de les communiquer directement aux autorités concernées, sans que l’OFCS y ait accès.

Si des indices laissent présumer une violation de l’obligation de signaler, l’OFCS en informe l’autorité ou l’organisation assujettie et lui fixe un délai approprié pour s’acquitter de son obligation.

Si l’autorité ou l’organisation concernée ne s’acquitte pas de son obligation dans ce délai, l’OFCS rend une décision dans laquelle il lui fixe un nouveau délai et l’informe qu’elle est menacée d’une amende conformément à l’art. 74 h .

Est puni d’une amende de 100 000 francs au plus quiconque, intentionnellement, ne se conforme pas à une décision entrée en force que l’OFCS lui a notifiée sous la menace de l’amende prévue par le présent article ou à une décision des instances de recours.

L’insoumission aux décisions visées à l’al. 1 au sein d’une entreprise est soumise à l’art. 6 de la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA) ⁶⁷ .

Si le montant prévisible de l’amende ne dépasse pas 20 000 francs et que l’enquête portant sur des personnes punissables en vertu de l’art. 6 DPA implique des mesures d’instruction hors de proportion par rapport à la peine encourue, l’autorité peut renoncer à poursuivre ces personnes et condamner l’entreprise au paiement de l’amende.

En cas d’insoumission à une décision de l’OFCS, la poursuite et le jugement sont du ressort des cantons.

Pour accomplir ses tâches, l’OFCS peut traiter des données personnelles, y compris les ressources d’adressage au sens de l’art. 3, let. f, LTC⁷⁰ et les données sensibles qui s’y rapportent, qui contiennent des informations relatives:

1. à des opinions religieuses, philosophiques ou politiques; le traitement des données n’est admissible que dans la mesure où il est nécessaire à l’évaluation de menaces et de dangers concrets en matière de cybersécurité;
2. à des poursuites ou à des sanctions pénales ou administratives.

Lors du traitement de données personnelles ou en cas de soupçon fondé d’usurpation d’identité ou d’utilisation abusive de ressources d’adressage, l’OFCS en informe les personnes concernées si cela n’entraîne pas des efforts disproportionnés et qu’aucun intérêt public prépondérant ne s’y oppose.

L’ OFCS et les exploitants d’infrastructures peuvent communiquer entre eux des données personnelles dans la mesure où cela est nécessaire à la protection contre des cybermenaces.

L’ OFCS et les fournisseurs de services de télécommunication peuvent communiquer entre eux des ressources d’adressage et les données personnelles qui s’y rapportent dans la mesure où cela est nécessaire à la protection contre des cybermenaces.

L’OFCS apporte son soutien au SRC en lui fournissant des évaluations périodiques du nombre, du type et de l’ampleur des cyberattaques ainsi que, sur demande, des analyses techniques des cybermenaces.

Il octroie au SRC l’accès à des informations concernant l’identité ou le mode opératoire des auteurs de cyberattaques dans le but de déceler à temps et de prévenir les menaces pour la sûreté intérieure ou extérieure, d’apprécier la menace ou d’assurer un service d’alerte précoce en vue de protéger les infrastructures critiques au sens de l’art. 6, al. 1, let. a, 2 et 5, LRens ⁷³ .

Il octroie aux autorités de poursuite pénale l’accès à des informations concernant l’identité et le mode opératoire des auteurs de cyberattaques.

Il octroie aux services cantonaux chargés de la cybersécurité l’accès aux informations nécessaires à la protection contre les cybermenaces.

L’OFCS peut échanger avec des services étrangers ou internationaux chargés de la cybersécurité des informations permettant de connaître l’identité ou le mode opératoire des auteurs de cyberattaques s’ils en ont besoin pour accomplir des tâches qui correspondent à celles de l’OFCS. Si l’échange d’informations comprend également des données personnelles, les art. 16 et 17 LPD ⁷⁵ sont applicables.

L’échange d’informations au sens de l’al. 1 n’est autorisé que si les services étrangers ou internationaux garantissent que les données seront utilisées conformément aux fins prévues.

L’OFCS conserve les données personnelles aussi longtemps que celles-ci sont utiles pour détecter des cybermenaces ou gérer des cyberincidents, mais durant cinq ans au plus à compter de leur dernière utilisation à cette fin. Pour les données sensibles, le délai est de deux ans. ⁷⁷

L’archivage des données est régi par les dispositions de la législation relative à l’archivage.

Les autorités et organisations suivantes désignent, chacune dans son domaine de compétence, un préposé à la sécurité de l’information et un suppléant:

1. le Conseil fédéral;
2. la Délégation administrative de l’Assemblée fédérale;
3. les tribunaux de la Confédération;
4. le Ministère public de la Confédération;
5. la Banque nationale suisse;
6. les départements et la Chancellerie fédérale.

Les préposés à la sécurité de l’information accomplissent les tâches suivantes:

1. conseiller et aider dans leur domaine les services compétents dans l’accomplissement des tâches et l’exécution des obligations qui leur incombent en vertu de la présente loi;
2. diriger, sur mandat de l’autorité ou de l’organisation à laquelle ils sont subordonnés, l’organisation spécialisée chargée de la sécurité de l’information et la gestion des risques;
3. vérifier, sur mandat de l’autorité ou de l’organisation à laquelle ils sont subordonnés, le respect des prescriptions relatives à la sécurité de l’information, en rendre compte et proposer les mesures qui s’imposent;
4. signaler, sur une base volontaire, les incidents dans le domaine de la sécurité de l’information au service spécialisé de la Confédération pour la sécurité de l’information et aux services visés à l’art. 74, al. 5.

Aucune tâche susceptible d’entrer en conflit avec l’une des tâches visées à l’al. 2 ne peut être confiée aux préposés à la sécurité de l’information.

La Conférence des préposés à la sécurité de l’information se compose des préposés à la sécurité de l’information au sens de l’art. 81, al. 1, de deux représentants des cantons et du Préposé fédéral à la protection des données et à la transparence.

Elle accomplit les tâches suivantes:

1. promouvoir l’exécution uniforme de la présente loi;
2. contribuer à la normalisation des exigences et mesures visées à l’art. 85;
3. conseiller le service spécialisé de la Confédération pour la sécurité de l’information sur tous les aspects de la coordination de l’exécution et sur tous les points d’importance stratégique;
4. veiller à l’échange d’informations, notamment sur la gestion des risques et sur les problèmes et les incidents dans le domaine de la sécurité de l’information;
5. assurer la coordination avec les autres services qui accomplissent des tâches dans le domaine de la sécurité de l’information.

Elle édicte son règlement interne.

Le service spécialisé de la Confédération pour la sécurité de l’information:

1. conseille et soutient les autorités soumises à la présente loi, leurs préposés à la sécurité de l’information et les cantons dans l’exécution de la présente loi;
2. peut recommander des mesures si la sécurité de l’information de la Confédération est menacée;
3. peut mener des contrôles à la demande des autorités soumises à la présente loi;
4. peut évaluer, à la demande des autorités soumises à la présente loi, les risques liés à l’utilisation de nouvelles technologies;
5. peut examiner, à la demande des autorités et organisations soumises à la présente loi, l’adéquation de leurs processus, moyens, installations, objets et prestations par rapport aux exigences en matière de sécurité de l’information;
6. peut gérer et coordonner, à la demande des autorités soumises à la présente loi, les questions liées à la sécurité de l’information lorsque des projets importants impliquent plusieurs autorités;
7. sert d’interlocuteur pour les contacts spécialisés avec des services nationaux, étrangers ou internationaux;
8. rend compte chaque année au Conseil fédéral de la situation en matière de sécurité de l’information au sein de la Confédération.

Le préposé du Conseil fédéral à la sécurité de l’information dirige le service spécialisé de la Confédération pour la sécurité de l’information.

Le Conseil fédéral règle l’organisation du service spécialisé de la Confédération pour la sécurité de l’information. Il peut le charger d’autres tâches pour le compte de l’administration fédérale ou de l’armée.

Les autorités soumises à la présente loi édictent les dispositions d’exécution. Le Conseil fédéral peut charger la Chancellerie fédérale d’édicter des dispositions d’exécution pour les affaires du Conseil fédéral.

Les compétences que la présente loi donne aux autorités soumises à la présente loi sont exercées, pour l’Assemblée fédérale, par la Délégation administrative de l’Assemblée fédérale.

Les dispositions d’exécution du Conseil fédéral s’appliquent par analogie aux autorités soumises à la présente loi si elles n’édictent pas leurs propres dispositions d’exécution.

Le Conseil fédéral fixe des exigences standard en matière de sécurité et définit des mesures standard en matière d’organisation, de personnel et de construction, de même que sur le plan technique, pour assurer la sécurité de l’information; il suit à cet effet l’avancement des connaissances et de la technique.

Il peut déléguer cette tâche.

Les exigences et mesures standard du Conseil fédéral ont valeur de recommandations, sauf si les autorités soumises à la présente loi les déclarent obligatoires.

Les cantons veillent au contrôle périodique de la mise en œuvre et de l’efficacité de la sécurité de l’information visée à l’art. 3.

Ils informent le service spécialisé de la Confédération pour la sécurité de l’information des résultats des contrôles visés à l’al. 1.

Ils désignent le service qui est l’interlocuteur des autorités soumises à la présente loi en matière de sécurité de l’information.

Le Conseil fédéral définit les cas dans lesquels les cantons peuvent recourir aux prestations des services spécialisés visés par la présente loi afin d’assurer leur propre sécurité de l’information. Ces prestations sont soumises à des émoluments. Leur montant est fixé par le Conseil fédéral.

Le Conseil fédéral peut conclure des traités internationaux en matière de sécurité de l’information portant sur les objets suivants:

1. l’échange d’informations sur des menaces, des vulnérabilités et des incidents dans le domaine de la sécurité de l’information, en particulier dans les infrastructures critiques;
2. l’échange d’informations classifiées;
3. l’exécution des contrôles de sécurité relatifs aux personnes et des procédures de sécurité relatives aux entreprises;
4. la reconnaissance des déclarations de sécurité;
5. l’exécution de contrôles.

Le Conseil fédéral veille à ce que l’exécution, l’adéquation, l’efficacité et l’économicité de la présente loi soient contrôlés périodiquement par un service indépendant, en particulier par le Contrôle fédéral des finances .

Il en rend compte régulièrement aux commissions compétentes de l’Assemblée fédérale.