Lexipedia

preparatory:AB 262008

Porchet Léonore · Nationalrat · Waadt · Grüne Fraktion · 2020-06-04

Wortprotokoll

La loi sur la sécurité de l'information a une longue histoire derrière elle. Le message du Conseil fédéral date du 22 février 2017, et compte tenu de la vitesse à laquelle évolue la société de l'information, on pourrait presque se demander si la loi n'est pas déjà complètement dépassée. Heureusement, le Conseil fédéral a résisté à la tentation d'inscrire certaines normes techniques dans la loi, mais s'est plutôt limité à créer un cadre légal unique pour toutes les autorités fédérales, afin de garantir la protection de l'information et la sécurité des moyens informatiques.

L'idée est d'utiliser des normes et des méthodes reconnues dans le monde professionnel, qui correspondent à l'état actuel des connaissances. Il ne s'agit donc pas pour la Confédération de réinventer la roue. Il s'agit plutôt de s'engager à donner à la sécurité de l'information le poids nécessaire, comme le font tous les grands acteurs économiques et aussi de nombreux petits.

La minorité Glättli qui propose un nouvel article 6a, il faut le souligner dès maintenant, vise exactement ce but: que la Confédération ne fasse pas le long et inutile travail de réinventer la roue, tout en garantissant que la gestion de la sécurité de l'information repose sur des normes et des standards internationalement reconnus.

Ces dernières semaines, nous avons vu à quel point le fonctionnement de l'informatique, au niveau de l'infrastructure et au niveau des applications, est central, et à quel point un système informatique fonctionnel peut nous aider à surmonter une crise. Inversement, il est difficile d'imaginer à quel point non seulement les activités de l'administration elle-même, mais aussi celles de la population et de l'économie, seraient affectées si les autorités fédérales n'étaient plus en mesure de fonctionner, ou en tout cas pas correctement, en raison de problèmes de sécurité dans le domaine de l'informatique.

C'est pourquoi les Verts se réjouissent que cette loi semble aujourd'hui avoir une seconde chance dans notre conseil, après la décision de ce dernier de ne pas entrer en matière en 2018.

La raison du rejet lors du premier débat était d'abord la crainte que la loi ait des conséquences financières incontrôlables.

Franchement, notre crainte était toute autre, et plutôt le contraire. Les coûts des incidents qui pourraient être évités avec un système de gestion de la sécurité de l'information opérationnel, et la gestion appropriée des risques qui y est associée, sont autrement plus inquiétants.

Néanmoins, nous nous rallions à la commission qui demande que les Commissions de la politique de sécurité soient consultées par le Conseil fédéral sur les objectifs concrets et les coûts. Bien qu'il soit assez inhabituel de consigner ainsi cela dans un texte législatif, si cela sert à créer la confiance nécessaire et à éviter un rejet définitif de la loi, nous nous y rallions volontiers.

Je ne veux pas conclure sans évoquer la minorité à l'article 86 alinéa 3 que les Verts vous recommandent vivement d'accepter. Il n'est pas contesté par la commission que la Confédération doit fixer des exigences de sécurité standardisées. Mais le Conseil fédéral propose que ces exigences aient en principe purement valeur de recommandations. La crise du coronavirus a malheureusement prouvé à quel point les normes et plans de sécurité fonctionnent mal et ne sont pas respectés s'ils ne sont pas contraignants.

Notre minorité propose donc que les exigences standard soient en principe contraignantes, tout en laissant une certaine flexibilité, puisque notre proposition stipule que les autorités peuvent définir ces exigences comme non contraignantes pour leur propre domaine, en donnant des raisons spécifiques à ce choix.

En vous demandant de prendre en considération ces remarques, le groupe des Verts vous recommande d'entrer en matière sur ce projet de loi.