16.3383 · Postulat · 2016-06-06
Département de justice et police
Liquidé
Wortlaut
Il est demandé au Conseil fédéral d'étudier l'opportunité d'obliger les organismes victimes d'un piratage informatique des données numériques sous leur responsabilité d'avertir les personnes lésées afin qu'elles puissent agir pour limiter les dommages.
Si les données n'ont pas été encryptées, une telle communication serait indispensable en cas de dommages sérieux pour les individus : menace physique, financière, identitaire, psychologique.
Le message devrait contenir des informations sur :
1. l'incident, la date de celui-ci ;
2. le type de données piratées ;
3. les risques encourus ;
4. les mesures mises en oeuvre par la société ;
5. ce que peuvent faire les individus lésés ;
6. le nom d'une personne de contact.
L'information devrait être donnée dès que possible sans que cela n'affecte l'investigation pour retrouver les pirates. Le canal d'information choisi devrait permettre d'atteindre le maximum de personnes concernées.
La perspective du dégât d'image que générerait l'obligation d'une telle communication pourrait inciter les établissements collecteurs et hébergeurs de données à augmenter leur vigilance quant à la bonne sécurisation des données dont ils ont la responsabilité.
Begründung
Les piratages de données sont fréquents. Actuellement, la plupart des piratages sont gardés secret en raison du dégât d'image.
L'obligation de communiquer favoriserait aussi la sensibilisation aux risques de cybercriminalité et la formation des employés à des réflexes de sécurité de base.
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.