Lexipedia

16.3186 · Motion · 2016-03-17

Département des finances

Liquidé

Wortlaut

Le Conseil fédéral est invité à démontrer comment, sur la base de l'examen de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) établi après cinq ans (en été 2017), la protection des données, la sécurité des données et la lutte contre les cyberattaques (criminalité, espionnage, atteinte à la propriété intellectuelle) seront juridiquement délimitées de manière claire afin de protéger les données tout en permettant l'échange d'informations techniques. Il faut établir une base juridique pour cet échange d'informations.

Begründung

Dans la SNPC, le Conseil fédéral a souligné plusieurs fois la nécessité de coopérer avec des instances étatiques et privées. Dans le communiqué de presse du 5 juin 2015 et le rapport annuel 2014 SNPC, il est déclaré que "la collaboration entre la Confédération et le secteur privé a pu être renforcée au moyen du réseau de compétences "Swiss Cyber Experts".

Vu la sensibilité des données appartenant aux victimes des cyberattaques et la complexité technique, il devient pressant de délimiter clairement ce que sont la protection des données, la sécurité des données et la lutte contre les cyberattaques et d'établir une base juridique qui fixe clairement les conditions auxquelles l'échange d'informations techniques est possible.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Les dispositions légales applicables en la matière sont les suivantes : lorsqu'une enquête pénale est en cours, la mesure dans laquelle les éléments constitutifs de cette procédure doivent être tenus secrets ou rendus publics est définie sur la base du Code de procédure pénale.

La gestion des informations provenant des services de renseignements est réglée dans la future loi sur le renseignement, contre laquelle un référendum a toutefois été lancé et a abouti.

En général, les informations techniques traitées dans le cadre de cyberattaques ne sont pas des données personnelles étant donné que leur lien avec les personnes concernées n'est pas établi. Font exception les informations qui permettent de déduire l'identité des personnes ou des entreprises en question. Par conséquent, les informations techniques n'entrent par principe pas dans le champ d'application de la loi du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). Il est donc inutile de fixer des règles de délimitation ou de protection supplémentaires. Le risque d'une atteinte à la personnalité est très restreint dans ce genre de cas.

La LPD actuelle considère déjà les données (personnelles) des victimes de cyberattaques comme des données sensibles (dès lors qu'elles touchent à des sanctions ou à des poursuites administratives ou pénales en cours). Ces données font l'objet de mesures de protection techniques et organisationnelles élevées, qui sont suffisantes.

Le Conseil fédéral déduit du texte de la motion qu'il faut donner la possibilité à l'État et à l'économie privée d'échanger des informations techniques à des fins de prévention.

Un partenariat existe depuis 2004 entre l'État et l'économie privée pour ce qui est des infrastructures d'importance vitale. Il se matérialise par la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani), qui regroupe des partenaires actifs dans le domaine de la sécurité des systèmes informatiques et d'Internet ainsi que dans la protection des infrastructures suisses d'importance vitale. Ce genre de collaboration nécessite une confiance élevée entre les partenaires afin que ceux-ci puissent échanger des informations.

Dans ce contexte, le fait que le fournisseur d'informations classe à l'heure actuelle ses informations selon un système convenu au préalable constitue un critère important. Si ces informations sont classées confidentielles, voire secrètes, le fournisseur d'informations compte sur le fait que l'État ne les transmettra pas à des tiers. Ce critère est également valable pour les informations techniques, car celles-ci permettent souvent d'identifier le fournisseur d'informations, autrement dit la victime. L'échange d'informations avec d'autres cercles n'est possible que dans ce cadre. Vu la situation actuelle, il n'est pas prévu de modifier cette pratique, car cela pourrait mettre en péril la fructueuse collaboration entre Melani et les exploitants des infrastructures d'importance vitale.

L'échange d'informations entre Melani et les exploitants des infrastructures d'importance vitale sera également régi par la loi fédérale sur la sécurité de l'information. Après la procédure de consultation, le message à ce sujet devrait être approuvé d'ici à l'été 2016 et soumis au Parlement.

Étant donné que plusieurs domaines juridiques englobant divers intermédiaires sont concernés par ce sujet, l'organe de coordination de la SNPC veille, en collaboration avec les organes fédéraux compétents, à ce que la collaboration soit garantie dans l'élaboration et la mise en oeuvre de la législation, et à ce que les nouveaux défis soient relevés rapidement et de manière cohérente.

Du fait de l'application des mesures décrites ci-dessus, il n'est pas nécessaire d'adopter la présente motion. Le Conseil fédéral estime qu'il n'y a pas non plus lieu de mettre en place une réglementation supplémentaire.

Le Conseil fédéral propose de rejeter la motion.