- Conseil fédéral : les informations techniques sur les cyberattaques ne sont généralement pas des données personnelles et ne tombent en principe pas sous le coup de la loi sur la protection des données ; une délimitation juridique supplémentaire n’est pas nécessaire.
- La coopération public-privé existante (MELANI) et le projet de loi sur la sécurité de l’information (ISG) garantissent déjà l’échange d’informations et les mécanismes de protection entre l’État et le secteur privé.
Motion Eichenberger-Walther (16.3186) : Echange d’informations techniques
Pas encore traitée par le Conseil. Le Conseil fédéral propose de rejeter la motion.
Texte soumis
Le Conseil fédéral est invité à montrer, dans le cadre de la révision de la “Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC)” qui sera présentée après cinq ans (en été 2017), comment la protection des données, la sécurité des données et la lutte contre les cyberattaques (criminalité, espionnage, vol de propriété intellectuelle) sont clairement délimitées sur le plan juridique, de sorte que les données soient protégées tout en permettant l’échange d’informations techniques. Une base juridique doit être créée pour l’échange d’informations techniques.
Justification
Compte tenu de la sensibilité des données des victimes de cyberattaques et de la complexité technique, il semble urgent de délimiter clairement les thèmes de la protection et de la sécurité des données et de la gestion des cyberattaques, ainsi que la base juridique qui s’y rapporte et qui permet l’échange d’informations techniques dans des conditions claires.
Avis du Conseil fédéral
Le cadre juridique est le suivant :
Dans le cadre d’une enquête pénale en cours, le code de procédure pénale fixe le cadre du secret ou de la publicité de la procédure.
Dans la mesure où les informations proviennent de sources de renseignement, cela sera réglé dans la nouvelle loi sur le renseignement (contre laquelle le référendum a toutefois abouti).
Les informations techniques traitées dans le cadre de cyberattaques ne constituent généralement pas des données personnelles ; dans ces cas, le lien avec la personne fait défaut. Font exception à cette règle les informations qui permettent de tirer des conclusions sur les personnes ou les entreprises concernées. Ainsi, les informations techniques n’entrent en principe pas dans le champ d’application de la loi sur la protection des données (loi fédérale du 19 juin 1992 sur la protection des données, LPD ; RS 235.1). Par conséquent, il n’y a ici aucun besoin de délimitation ou de protection (supplémentaire) ; le risque d’atteinte à la personnalité est extrêmement faible dans ces cas.
Les données (personnelles) des victimes de cyberattaques sont déjà considérées comme des données personnelles sensibles sous le régime de l’actuelle LPD (si elles se rapportent à des sanctions/poursuites administratives ou pénales [non pendantes]) ; elles sont soumises à une protection technique et organisationnelle accrue qui est suffisante.
Le Conseil fédéral interprète maintenant la motion en ce sens qu’il devrait être possible d’échanger des informations techniques entre l’Etat et l’économie privée dans un but de prévention.
Dans le domaine des infrastructures critiques, il existe depuis 2004 un partenariat public-privé entre l’Etat et l’économie privée, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI. MELANI réunit des partenaires actifs dans le domaine de la sécurité des systèmes informatiques et d’Internet ainsi que dans la protection des infrastructures critiques suisses. Une telle collaboration requiert un haut degré de confiance pour que les informations soient échangées entre les partenaires.
Un critère important à cet égard est que le fournisseur d’informations classifie aujourd’hui ses informations selon un système convenu. Si ces informations sont classées confidentielles ou même secrètes, il fait confiance à l’État pour qu’elles ne soient pas divulguées. Cela concerne également les informations techniques, car il est souvent possible de tirer des conclusions sur le fournisseur d’informations, c’est-à-dire sur la personne lésée, à partir de ces informations. L’échange d’informations avec d’autres cercles ne peut se faire que dans ce cadre. Dans l’optique actuelle, il n’est pas prévu de changer quoi que ce soit à cette pratique, car cela pourrait mettre en péril la très bonne collaboration entre MELANI et les exploitants d’infrastructures critiques.
L’échange d’informations entre MELANI et les exploitants d’infrastructures critiques fait également l’objet du projet de loi sur la sécurité de l’information (LSI). L’adoption du message LSI est prévue d’ici l’été 2016, une fois la procédure de consultation achevée, à l’attention du Parlement.
Etant donné que plusieurs domaines juridiques sont concernés avec de multiples interfaces, le service de coordination NCS veille, avec les services fédéraux responsables des domaines, à ce que la collaboration en matière de coordination soit assurée de manière conséquente dans la législation et l’exécution et à ce que l’on puisse réagir rapidement et de manière cohérente aux nouveaux défis.
Les mesures énumérées ici sont déjà mises en œuvre sans l’acceptation de la motion. Une réglementation supplémentaire ne s’impose pas du point de vue du Conseil fédéral.