Le Conseil fédéral veut adapter la loi sur la sécurité de l’information
La loi sur la sécurité de l’information (LSI), entrée en vigueur en 2024, présente certaines lacunes que le Conseil fédéral souhaite corriger. Il entend préciser plusieurs dispositions jugées difficiles à appliquer et intégrer de nouveaux besoins identifiés par l’administration. Le renforcement de la cyberrésilience fera toutefois l’objet d’un projet législatif séparé.
Le Conseil fédéral a chargé le Département fédéral de la défense, de la protection de la population et des sports (DDPS) d’élaborer un projet destiné à la consultation en vue d’une révision de la loi sur la sécurité de l’information (LSI). Entrée en vigueur le 1er janvier 2024, cette loi régit la protection de l’information et la cybersécurité des autorités fédérales. Elle fixe des exigences contraignantes concernant l’utilisation sûre des informations et des systèmes d’information, afin de prévenir les cyberattaques, l’espionnage, le sabotage ou les pertes d’informations.
Selon le Conseil fédéral, plusieurs difficultés de mise en œuvre sont apparues, parfois avant même l’entrée en vigueur de la loi. L’administration a également identifié de nouveaux besoins, notamment concernant le traitement des données dans le cadre des contrôles de sécurité relatifs aux personnes. La LSI doit donc être adaptée sur la base des premières expériences pratiques.
Le champ d’application de la loi doit par ailleurs être clarifié. Outre les cantons, la LSI devra couvrir explicitement les communes et les organisations de droit cantonal lorsqu’elles accèdent à des informations classifiées ou à des moyens informatiques de la Confédération, par exemple dans les domaines du contrôle des habitants, de la migration ou de la police.
La révision prévoit aussi de simplifier l’établissement et la mise à jour des listes des fonctions utiles aux contrôles de sécurité relatifs aux personnes, notamment en examinant la possibilité de déléguer cette tâche aux départements ou aux offices fédéraux.
Le système de classification fédéral doit également être revu. Les désignations des échelons «INTERNE», «CONFIDENTIEL» et «SECRET», ainsi que leur compatibilité internationale, seront réexaminées. Le Conseil fédéral estime que certaines exigences de sécurité imposées par des partenaires étrangers compliquent la coopération internationale et engendrent des coûts supplémentaires pour la Suisse.
Enfin, la Confédération souhaite harmoniser les dispositions pénales relatives à la protection des informations classifiées avec la LSI, afin d’éviter d’éventuelles lacunes juridiques.
Cyberrésilience traitée séparément
La LSI encadre également certaines missions fédérales liées à la cybersécurité, comme l’obligation de signaler les cyberattaques contre les infrastructures critiques, placée sous la responsabilité de l’Office fédéral de la cybersécurité. Toutefois, le Conseil fédéral traite séparément les questions liées à la cyberrésilience des produits numériques. Un projet de loi spécifique doit être élaboré d’ici l’automne 2026 par l’OFCS, en collaboration avec l’Office fédéral de la communication et le Secrétariat d’État à l’économie.
La procédure de consultation concernant la révision de la LSI est prévue pour l’été 2027.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
