Lexipedia

18.3565 · Postulat · 2018-06-14

Département des finances

Liquidé

Wortlaut

Le Conseil fédéral est chargé d'étudier la mise en place d'une limite par événement à partir de laquelle la Confédération prendrait financièrement le relais pour couvrir les dommages causés par les cyberattaques.

Begründung

La généralisation du numérique accroît l'interconnexion des entreprises, ce qui présente certes de nombreux avantages, mais augmente aussi le risque d'événements majeurs susceptibles de causer des dommages énormes. Les cyberrisques représentent un danger potentiel considérable et coûtent chaque année 9,5 milliards de francs à la Suisse. Face à de telles sommes et compte tenu des entreprises qui peuvent être touchées, on peut se demander si l'État ne devrait pas intervenir.

Il est aujourd'hui possible de s'assurer contre les "risques de la vie quotidienne" et c'est ce que font de plus en plus d'entreprises. S'agissant des événements majeurs, cependant, on peut s'interroger sur leur assurabilité, c'est-à-dire sur les capacités d'assurance nécessaires. En cas de cyberattaque sérieuse contre des infrastructures centrales ou un secteur important de l'économie, les assureurs ne seraient plus en mesure de couvrir le montant des dommages. C'est pourquoi, de toute façon, seule une obligation limitée de s'assurer pourrait ici être mise en place, comme c'est par exemple le cas pour les centrales nucléaires. Simultanément se pose la question de savoir jusqu'où il appartiendrait à l'État lui-même de prendre à sa charge les dommages. Car, en cas d'événement majeur, la pression publique serait telle que la Confédération ne pourrait refuser de mettre la main à la poche, au moins dans une certaine mesure. La même question s'est posée lors des travaux qui visaient à mettre sur pied le modèle d'une assurance nationale contre les tremblements de terre. À l'époque, la Confédération s'était déclarée disposée à débourser un montant de dix milliards de francs par événement. On peut se demander si une telle solution serait également applicable dans le domaine des cyberrisques.

Il y a donc lieu d'établir un rapport qui fasse le point sur les possibilités qui s'offriraient de mettre en place une telle assurance et sur les conséquences qui en découleraient. Il répondra notamment aux questions suivantes : quel impact la création d'une telle assurance aurait-elle pour l'économie, notamment pour le secteur des assurances (on songe ici à l'aléa moral)? À quelles modifications législatives faudrait-il procéder pour établir un tel instrument à l'échelon fédéral ? À partir de quelle limite par événement la Confédération devrait-elle intervenir pour éviter que ne se produise le dommage maximal, sans concurrencer pour autant le secteur des assurances ? Que pense le Conseil fédéral d'une telle solution publique de continuation pour les cyberrisques ?

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter le postulat.

Stellungnahme des Bundesrates

Le Conseil fédéral suit avec grand intérêt le développement du marché des assurances contre les cyberrisques. Il constate que les nouvelles offres se sont multipliées ces derniers temps. Dans ce contexte se pose effectivement la question de savoir comment gérer les risques d'événements majeurs qui auraient des effets dévastateurs sur l'ensemble de la Suisse.

Le comité consultatif "Avenir de la place financière suisse" s'est notamment penché sur cette question dans le rapport sur l'assurabilité des cyberrisques qu'il a soumis au Conseil fédéral en juin 2017. Pour les experts, la couverture publique des dommages causés par les cyberattaques est une solution qu'il faudrait examiner ultérieurement si les capacités venaient à manquer ou si des lacunes importantes apparaissaient sur le marché des assurances.

Le Conseil fédéral partage l'avis du comité consultatif : la solution d'une couverture publique des cyberrisques ne devrait être examinée qu'à partir du moment où on peut estimer le potentiel qu'offrent les solutions relevant de l'économie de marché. Comme le marché des assurances contre les cyberrisques est très récent en Suisse et qu'il se développe rapidement, il ne semble pas pertinent que l'État décide aujourd'hui déjà s'il faut prévoir une limite par événement, ni ne fixe, le cas échéant, son montant. On ne peut également que spéculer sur les effets qu'aurait une solution publique de continuation : avant de pouvoir juger, il faut que le marché se stabilise. Enfin, le Conseil fédéral estime qu'un débat sur une couverture publique des cyberrisques est prématuré, notamment parce qu'il pourrait entraver l'examen de solutions telles que les groupes d'assureurs, les réassurances ou le transfert alternatif de risques sur le marché des capitaux. De plus, au niveau politique, le fait que la Confédération assume des risques résiduels pour le secteur des assurances irait à l'encontre des efforts visant à renforcer la responsabilité des établissements financiers (par ex. dispositions sur les établissements dits "too big to fail").

En revanche, il est déjà possible d'évaluer la situation juridique. Il n'existe aucune base constitutionnelle pour la couverture de cyberdommages par la Confédération. Il serait donc nécessaire de modifier la Constitution avant la loi pour disposer d'une solution publique de continuation telle qu'elle est esquissée dans le postulat.

Le Conseil fédéral propose de rejeter le postulat.