- Le Conseil fédéral recommande de n’envisager une limite d’événement étatique pour les cyber-dommages que lorsque le marché des cyber-assurances sera consolidé et que les lacunes du marché seront avérées.
- Une solution de repli étatique ne serait actuellement pas couverte par le droit constitutionnel et nécessiterait une modification de la Constitution ainsi que des adaptations juridiques.
Texte soumis
Le Conseil fédéral est chargé de Introduction d’une limite d’événement en cas de cyberattaque d’examiner à partir de quel niveau la Confédération prend en charge la couverture des dommages à un niveau défini.
Justification
La numérisation entraîne une forte mise en réseau de l’économie. Cela apporte de nombreux avantages, mais augmente également le risque d’événements majeurs qui peuvent causer d’énormes dommages. Le potentiel de menace actuel des cyber-risques est donc très élevé ; rien qu’en Suisse, cela engendrera des coûts annuels pouvant atteindre 9,5 milliards de francs. Avec des montants de dommages aussi élevés et des victimes potentielles, la question du rôle de l’État se pose.
Le site Les risques de la “vie quotidienne” sont déjà assurables aujourd’hui et de plus en plus d’entreprises y ont recours. En revanche, en cas d’événement majeur, la question de l’assurabilité ou des capacités d’assurance nécessaires se pose. Les montants des dommages en cas de grande cyber-attaque sur des infrastructures centrales ou sur un grand secteur de l’économie seraient n’est plus supportable pour les assureurs. Dans ce domaine, on ne pourrait donc de toute façon introduire qu’une obligation d’assurance limitée, comme on le fait par exemple dans le domaine des Centrales nucléaires connaît. Parallèlement, la question se pose de savoir dans quelle mesure l’État devrait lui-même indemniser les dommages. En effet, en cas d’événement majeur, la Confédération ne pourrait guère se soustraire à une certaine couverture en raison de la pression de l’opinion publique. Des questions similaires ont été posées lors de l’élaboration d’un modèle d’assurance tremblement de terre couvrant l’ensemble du territoire. A l’époque, la Confédération se montre prête à prendre en charge un montant de 10 milliards de francs par événement. La question est de savoir si une telle solution pourrait également être introduite dans le domaine des cyber-risques.
Un rapport doit montrer comment une telle couverture pourrait être introduite et quelles en seraient les conséquences. Quels seraient les effets d’une telle réglementation sur l’économie, notamment sur le secteur des assurances – mot-clé “aléa moral” ? Quelles adaptations légales devraient être effectuées pour introduire une telle couverture au niveau fédéral ? A partir de quelle limite d’événement la Confédération devrait-elle prendre en charge une certaine couverture afin d’éviter le plus de dommages possible sans pour autant concurrencer le secteur des assurances ? Quelle est la position du Conseil fédéral sur une telle solution de couverture étatique pour les cyber-risques ?
Avis du Conseil fédéral du 29.8.18
Le Conseil fédéral observe l’évolution du marché de l’assurance des cyber-risques avec beaucoup d’intérêt et constate que, ces derniers temps, de très beaucoup de nouvelles offres sont apparues dans ce domaine. Dans ce contexte, la question se pose effectivement de savoir comment gérer les risques d’événements majeurs ayant de graves répercussions sur l’ensemble de la Suisse.
Le comité consultatif “Avenir de la place financière suisse” s’est notamment penché sur cette question dans son rapport sur les conditions-cadres pour l’assurabilité des cyberrisques. Le rapport a été soumis au Conseil fédéral en juin 2017. Dans ce document, les experts concluent que la question d’une couverture publique des cyberdommages comme option à examiner ultérieurementLa Commission a décidé de ne pas imposer d’exigences supplémentaires aux entreprises d’assurance, si le marché de l’assurance “ne dispose pas d’une capacité de marché suffisante ou présente des lacunes importantes”.
Le Conseil fédéral partage l’avis du comité consultatif selon lequel l’option d’une couverture étatique des cyberrisques ne devrait être examinée que lorsqu’il sera possible d’évaluer le potentiel des solutions basées sur le marché. Parce que le marché de la cyber-assurance en Suisse est n’existe que depuis peu et se développe actuellement rapidementIl ne semble pas judicieux que l’État détermine dès aujourd’hui si une limite d’événement doit être introduite et, le cas échéant, quel doit être son montant. De même, les effets d’une éventuelle solution de repli étatique ne pourraient être que spéculatifs à l’heure actuelle, car une telle estimation nécessiterait d’abord une consolidation du marché en cours de développement.
Enfin, le Conseil fédéral estime qu’il est prématuré de discuter d’une couverture des cyberrisques par l’Etat, notamment parce que cela pourrait conduire à ne plus examiner les solutions de couverture des risques proposées par l’économie de marché, telles que les pools d’assurance, les réassurances et le transfert alternatif des risques sur le marché des capitaux pour les cyberrisques. Une prise en charge par la Confédération des risques résiduels du secteur de l’assurance serait en outre contraire, d’un point de vue réglementaire, aux efforts visant à renforcer la responsabilité propre des établissements financiers, comme par exemple avec les dispositions “too big to fail”.
En revanche, la situation juridique peut déjà être évaluée. Aujourd’hui, il existe pas de base constitutionnelle pour une couverture des cyberdommages par la Confédération. Pour une solution de repli étatique, telle qu’elle est esquissée dans le postulat, il faudrait donc modifier la Constitution avant de procéder à d’éventuelles adaptations légales.