Français Olivier · Ständerat · 2020-09-15
Français Olivier · Ständerat · Waadt · FDP-Liberale Fraktion · 2020-09-15
Wortprotokoll
Le 22 juin 2020, notre Commission de la politique de sécurité s'est réunie pour traiter une nouvelle fois de la loi sur la sécurité de l'information.
Pour mémoire, cette loi a révélé lors de son traitement quelques discordances entre les deux chambres de l'Assemblée fédérale. Le 4 décembre 2017, notre conseil avait en effet approuvé le projet en première lecture, sous réserve de différentes modifications, par 39 voix contre 0 et 4 abstentions. Le Conseil national, suivant en cela la recommandation de sa commission, a par la suite refusé d'entrer en matière sur le projet, le 13 mars 2018, par 117 voix contre 68 et 8 abstentions. Le refus du Conseil national était surtout motivé par la crainte d'un surcroît de bureaucratie, de conséquences financières inconnues, voire trop importantes, et d'un obstacle à l'économie.
Par la suite, notre conseil, le 26 septembre 2018, a confirmé sa position et son souhait de voir le Parlement élaborer une loi sur la sécurité de l'information. Il a tacitement confirmé sa décision et renvoyé le projet au Conseil national. Ce dernier a finalement décidé d'entrer en matière et d'apporter quelques modifications au projet, puis de l'approuver par 131 voix contre 53 et 1 abstention, lors de la dernière session d'été, le 4 juin 2020. Cette décision a suivi la publication d'un rapport complémentaire permettant d'atténuer certaines craintes et dans lequel il a été précisé que la menace pour la sécurité de l'information et la cybersécurité avait gagné de l'importance, que la lutte contre cette menace nécessitait l'engagement de moyens humains pouvant atteindre jusqu'à dix postes au sein de l'administration, et que les coûts pour le recours à des experts pouvaient être estimés à environ 1,5 million de francs par année. L'attente de la publication du rapport avait fait l'objet d'une interruption transitoire du traitement de la loi. La prise de conscience, certes tardive parmi certains groupes politiques du Conseil national, de la nécessité de se doter d'un instrument permet à présent d'aller de l'avant avec cette loi importante. Voilà pour le contexte.
J'en viens à l'objet en tant que tel. Le projet vise à créer pour les autorités fédérales un cadre légal formel pour la protection de l'information et de la sécurité des moyens informatiques. Une petite anecdote à l'intention de Mme Vara: cette loi permet entre autres, à son article 5 modifié par le Conseil des Etats, de faire en sorte que l'approvisionnement en eau potable soit compris dans l'infrastructure critique à sécuriser. La loi sur la sécurité de l'information a pour objectif d'assurer et renforcer le fonctionnement de l'Etat, alors que nous sommes tous conscients des enjeux en lien avec le cyberespace et des risques encourus lors de différentes attaques ayant déjà eu lieu contre des systèmes d'information de différents départements de la Confédération, par exemple le DDPS et le DFAE. Ces dernières ont révélé des lacunes dans nos systèmes de sécurité, ainsi que la coexistence de systèmes et de bases juridiques hétérogènes.
Cette loi vise donc à homogénéiser les bases légales existantes, notamment sur le traitement de la sécurité des informations et les moyens informatiques de la Confédération, dans un seul acte législatif, pour une meilleure cohérence. Ce projet sera la base légale de référence pour toutes les questions de standards de sécurité pour l'ensemble des autorités fédérales, notamment le Parlement, les tribunaux fédéraux, le Ministère public de la Confédération, l'administration fédérale et la Banque nationale suisse.
Concrètement, cette loi établit un cadre pour la réglementation dans divers domaines sensibles, à savoir la gestion des risques, la classification des informations, la sécurité des moyens informatiques, les contrôles de sécurité relatifs aux personnes - une importante modification visant à réduire cette mesure à l'identification de risques considérables - et la protection physique des informations et des moyens informatiques. Elle clarifie également le soutien apporté aux infrastructures critiques pour assurer la continuité en tout temps des services publics, comme les services de distribution d'eau potable.
Enfin, cette loi prévoit également une nouvelle procédure de sécurité de l'information relative aux entreprises, lorsque ces dernières sont impliquées dans l'exécution d'un mandat public dans un domaine sensible.
Pour résumer, ce projet de loi constitue les prémices de la réalisation d'une stratégie de lutte contre les cyberrisques, d'où son importance. Nous vous recommandons donc de suivre les propositions de la majorité de votre commission.