Lexipedia

preparatory:AB 261984

Fridez Pierre-Alain · Nationalrat · Jura · Sozialdemokratische Fraktion · 2020-06-04

Wortprotokoll

Après une première tentative manquée en mars 2018, notre conseil, second conseil sur cet objet, a enfin l'occasion d'entrer en matière sur cette loi sur la sécurité de l'information, un texte important comme en témoigne le libellé de son article 1 alinéa[NB]1: "La présente loi vise à garantir la sécurité du traitement des informations relevant de la compétence de la Confédération et la sécurité de ses moyens informatiques." A l'alinéa[NB]2, il est précisé qu'elle vise ainsi à protéger les intérêts publics suivants: la capacité de décision et d'action des autorités et organisations de la Confédération; la sécurité intérieure et extérieure de la Suisse; les intérêts de la politique extérieure de la Suisse; les intérêts économiques, financiers et monétaires de la Suisse; l'accomplissement des obligations légales et contractuelles des autorités et organisations de la Confédération en matière de protection des informations.

Après un premier passage au Conseil des Etats, qui a accepté le projet du Conseil fédéral, sous réserve de différentes modifications, par 39 voix sans opposition et 4 abstentions, notre conseil a refusé d'entrer en matière le 13 mars 2018, par 117 voix contre 68 et 8 abstentions. L'opposition de la majorité de la Commission de la politique de sécurité de notre conseil, puis de notre conseil, s'appuyait sur des arguments qui avaient trait à la crainte d'un surcroît de bureaucratie et de conséquences financières trop importantes.

Le Conseil des Etats a maintenu sa position déterminée et notre conseil est à nouveau saisi de ce texte. Cette fois, cependant, l'approche de votre Commission de la politique de sécurité est très différente. Lors de sa séance des 8 et 9 octobre 2018, elle est entrée en matière par 17 voix contre 8. Par la suite, elle a décidé d'une interruption transitoire du traitement de l'objet jusqu'à l'été 2019, le temps d'obtenir un rapport complémentaire permettant de répondre à quelques interrogations et craintes portant en particulier sur l'adéquation des mesures proposées ainsi que les coûts supplémentaires [PAGE 680] susceptibles d'être induits par la loi pour les entreprises privées qui obtiendraient un mandat de la Confédération.

Rassurée par l'ensemble des informations obtenues, la commission a procédé à la discussion par article lors de ses séances d'août et octobre 2019.

La loi sur la sécurité de l'information vise à renforcer et à sécuriser le fonctionnement de l'Etat à un moment où nous prenons toutes et tous conscience de l'importance de la problématique cyber et où différentes attaques contre les systèmes d'information de la Confédération ont démontré des lacunes dans nos systèmes actuels de sécurisation, des systèmes disparates et régis par différentes bases légales.

Cette loi vise à regrouper dans un acte législatif unique les bases légales régissant le traitement de la sécurité de l'information et des moyens informatiques de la Confédération. Il est appelé à devenir la base de référence unique pour l'ensemble des autorités et organismes de la Confédération pour élever le standard de sécurité. La liste de ces autorités et organismes est longue: l'Assemblée fédérale, le Conseil fédéral, les tribunaux fédéraux, le Ministère public de la Confédération, la Banque nationale, les Services du Parlement, l'Administration fédérale ou encore l'Armée.

Cette loi fixe le cadre de la règlementation dans différents domaines sensibles: la gestion des risques, la classification des informations, la sécurité des moyens informatiques, les[NB]contrôles de sécurité relatifs aux personnes - un domaine[NB]particulièrement sensible qui se doit d'être, vu les enjeux, suffisamment efficace, tout en respectant le droit des personnes -, ou encore la protection physique des informations et des moyens informatiques.

L'esprit de la loi vise à assurer le niveau de protection des informations en fonction des impératifs et des atteintes potentielles aux intérêts supérieurs des différentes structures de l'Etat, sur la base de principes essentiels. Premièrement, la confidentialité: les informations ne doivent être accessibles qu'aux personnes autorisées selon les échelons de classification "interne", puis "confidentiel" et ensuite "secret". Deuxièmement, la disponibilité: des données accessibles en cas de besoin en tout temps. Troisièmement, l'intégrité: pas de modification possible sans droit ou par mégarde. Quatrièmement, la traçabilité.

Sont également abordées dans ce texte les procédures de sécurité de l'information lors de l'exécution de mandats publics par des entreprises ou des sous-contractants, dans la mesure où ces mandats impliquent l'exercice d'une activité sensible.

Un autre point sensible est celui des infrastructures critiques. Vu leur importance dans toute une série de prestations essentielles offertes à la population et permettant le bon fonctionnement de l'Etat, une des tâches de la Confédération est de leur apporter un soutien pour assurer la poursuite en tout temps du service public. Ces moyens seraient les suivants: l'identification et l'évaluation précoces des dangers, des menaces, des vulnérabilités et des failles de sécurité; la gestion des situations extraordinaires par un service national d'alerte et un service d'assistance; l'appui des services compétents de la Confédération pour des conseils et des échanges d'informations avec les responsables des infrastructures critiques.

La question des coûts a été débattue de façon approfondie au sein de la commission. Les coûts engendrés par la réforme et l'incidence sur le nombre de postes de travail ont été des points longuement discutés. Dans le message du Conseil fédéral, cette question est abordée de manière pragmatique. Les coûts dépendront de ce que l'on aura l'intention de faire en pratique. Des mesures minimales, la correction des lacunes essentielles, une certaine harmonisation des pratiques et des moyens, pourraient être intégrés dans le budget normal, donc sans frais notables supplémentaires. En revanche, des mesures plus ambitieuses, par exemple obliger l'ensemble des autorités et organisations soumises à la loi à se conformer pour leur système de gestion de la sécurité de l'information à la norme ISO 27 001 reviendrait à 8 à 12 millions de francs, essentiellement pour des charges de conseil.

Au niveau des postes de travail, on parle de 15 postes au maximum. Tant les coûts que les postes supplémentaires dépendront de la mise en musique de cette loi par le Conseil fédéral, en particulier en fonction de la réglementation de l'organisation interne. Ce sujet est essentiel pour notre pays en termes de sécurité, dans le contexte des menaces "cyber", sujet récurrent et prioritaire. Les moyens nécessaires mériteraient d'être engagés.

Autre point important: sécurité de l'information ne veut pas dire opacité de l'information. A l'article 4 de la loi, il est rappelé que "la loi du 17 décembre 2004 sur la transparence prime la présente loi".

Lors de son traitement au Conseil des Etats, le projet du Conseil fédéral a été largement amendé. Pour l'essentiel, notre commission s'est alignée sur le Conseil des Etats. Les débats ont porté principalement sur la liste des infrastructures critiques concernées, avec une proposition d'y ajouter les installations hospitalières de base. Une proposition a été faite de s'aligner sur des normes reconnues sur le plan international pour réaliser les différentes améliorations au niveau de la sécurité. La commission a examiné le fait d'utiliser le numéro AVS pour identifier les personnes dont les données sont traitées. Elle a statué sur le fait de savoir s'il faudrait que les responsables d'une infrastructure critique communiquent la survenue d'un éventuel incident. Ces divers points seront débattus lors de la discussion par article, puisqu'ils font l'objet de propositions de minorité.

Votre commission a décidé, presque sans contestation, de modifier certaines dispositions, qui représentent dès lors autant de divergences avec le Conseil des Etats. Par exemple, à l'article 7 alinéa 3, le Conseil fédéral devra consulter les Commissions de politique de sécurité sur ses objectifs en matière de sécurité de l'information et les coûts afférents. Cette proposition a été acceptée par 20 voix contre 2.

A l'article 23 alinéa 2, il est proposé, dans les zones de sécurité, d'interdire plutôt que de soumettre à autorisation certains objets, en particulier les appareils de prises de vue et de son.

A l'article 30 alinéa 4 lettre g, relatif aux personnes soumises ou non à un contrôle de sécurité, il est proposé de remplacer le texte initial "membre d'un gouvernement cantonal et juge auprès d'un tribunal cantonal" par "magistrat cantonal élu par le peuple ou par le parlement du canton concerné". Cette proposition a été acceptée à l'unanimité.

Au vote sur l'ensemble, la commission a approuvé le projet par 16 voix contre 1 et 5 abstentions.

Je vous remercie de bien vouloir entrer en matière.