Lexipedia

Quels standards minimaux et quelle responsabilité doivent s'appliquer aux prestataires informatiques?

22.4211 · Interpellation · 2022-09-30

Département des finances

Liquidé

Wortlaut

Depuis des années, il existe de nombreuses affaires de fuites de données, de hacking, d'attaques informatiques et autres problèmes liés aux technologies qui ont pour les entreprises ou organisations victimes, ou encore leurs clients ou administrés, des conséquences qui peuvent être extrêment sévères.

Si le risque zéro n'existe pas, une partie de ces problèmes est lié à l'impréparation des entreprises aux menaces contemporaines dans le domaine de la sécurité digitale. Il n'est pas raisonnable d'attendre de chaque entreprise qu'elle ait les compétences spécialisées nécessaires à lutter contre ces menaces, et sans doute pas non plus d'avoir les compétences pour juger seule de la compétence d'un prestataire informatique.

Le Conseil fédéral est prié de répondre aux questions suivantes :

  • Est-il vrai, comme cela est annoncé dans le 24 heures du 8 août 2022, que si des entreprises qui ne sont pas sérieuses sur le plan de leurs compétences informatiques sont dénocées publiquement pour ce fait, les personnes qui le feraient s'exposent à une attaque en justice ?
  • Le Conseil fédéral entrevoit-il une façon de pouvoir améliorer la transparence dans le domaine des compétences informatiques des prestataires ?
  • Notamment, prévoit-il de faciliter la dénociation des entereprises actives dans le domaine de la sécurité informatique, de mettre en place des standards minimaux, ou de réfléchir à une stratégie de labélisation ?
  • Le Conseil fédéral considère-t-il que les cyberrisques peuvent avoir des conséquences très importantes pour la population ou l'économie, qui justifie une régulation plus élevée que des secteurs qui ne portent pas ces risques (comme par exemple sont régulés des secteurs tels que la santé, l'énergie, les télécommunications, l'armement, etc.)

Stellungnahme des Bundesrates

Question 1 : En vertu de l'art. 3, al. 1, let. a, de la loi fédérale contre la concurrence déloyale (LCD, RS 241), les personnes visées par des déclarations publiques sur la qualité de leurs services peuvent considérer les allégations comme inexactes, fallacieuses ou inutilement blessantes et, donc, déloyales. Le cas échéant, l'entreprise concernée pourrait engager les procédures civiles et pénales prévues par la LCD. Elle pourrait également invoquer les délits d'infraction contre l'honneur du CP ou la protection de la personnalité en droit civil. Un tribunal devrait alors établir si les faits constituent un acte illégal. De l'avis du Conseil fédéral, il est préférable de ne pas dénoncer les exemples négatifs, mais au contraire de mettre en avant les entreprises qui tiennent dûment compte de la cybersécurité.

Questions 2 et 3 : Le Conseil fédéral considère que la transparence est un facteur très important dans le domaine de la cybersécurité. Pour que les fournisseurs de services informatiques soient incités à investir dans la cybersécurité, celle-ci doit être perçue comme une valeur ajoutée pour les clients. Cela peut notamment être réalisé grâce à la création de labels. C'est pourquoi la création de labels est encouragée dans le cadre de la mise en oeuvre de la stratégie nationale de protection contre les cyberrisques (SNPC) (voir le rapport du mois d'août 2021 "sur l'avancement des travaux concernant la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) 2018-2022")

Les labels se révèlent efficaces aussi dans l'intégration de normes minimales en matière de cybersécurité. La mise en oeuvre de la SNPC contribue donc à promouvoir le développement et l'application de ces normes. La norme minimale pour améliorer la résilience informatique élaborée par l'Office fédéral pour l'approvisionnement économique du pays mérite d'être mentionnée dans ce cadre.

En revanche, le Conseil fédéral estime que les mesures visant à faciliter la dénonciation ne sont pas un moyen approprié pour renforcer la cybersécurité. En effet, si les fournisseurs de services informatiques doivent craindre que leurs efforts en matière de cybersécurité puissent être critiqués au mépris des restrictions imposées par le droit de la concurrence déloyale, ils seront plutôt incités à freiner leurs investissements dans ce domaine.

Question 4 : Oui, le Conseil fédéral est d'avis que les cybermenaces peuvent avoir des répercussions importantes sur l'économie et la population. Sachant que celles-ci concernent tous les secteurs de l'économie, il évalue en permanence la nécessité d'accompagner les autres mesures par l'instauration de nouvelles règles. Les services informatiques déployant des effets sur plusieurs secteurs de l'économie en même temps, il est important d'harmoniser les mesures de tous les secteurs concernés, tout en tenant compte des différences en matière d'exposition aux risques entre les secteurs et les entreprises.

Réponse du Conseil fédéral.