La Confédération doit mieux protéger ses informations. Le Conseil des Etats a adopté lundi une loi en ce sens, tout en la remaniant. Il tient à ce que les collaborateurs externes exerçant des activités sensibles soient toujours soumis à un contrôle de sécurité.

Il est nécessaire de légiférer car l'usage abusif d'information ou le vol de données peuvent mettre en péril l'accomplissement de tâches vitales de la Confédération. La loi, qui passe au National, a été adoptée par 39 voix et 4 abstentions. L'indépendant schaffhousois Thomas Minder a émis de sérieux doutes face à cet 'exercice bureaucratique'. Une loi n'empêchera pas les cyberattaques.

L'exécution de la loi pourrait déboucher sur la création de quatre à onze postes à moyen terme. Elle devrait être contrôlée périodiquement par un service indépendant, en particulier le Contrôle fédéral des finances. Au nom de la commission, Isidore Baumann (PDC/UR) a regretté le manque d'estimations claires des coûts, notamment pour les cantons.

La réglementation se fonde sur des normes internationales éprouvées et fixe un cadre formel. Les exigences et les mesures seront standardisées. Le principe de la transparence dans l'administration n'est pas remis en cause.

Ciblé

Afin de réduire les coûts, l'effort principal sera porté sur les informations et les systèmes les plus critiques. Les sénateurs ont ajouté l'approvisionnement en eau potable parmi les infrastructures critiques.

La loi concerne au premier chef les autorités fédérales, le Parlement, les tribunaux fédéraux, le Ministère public de la Confédération (MPC) et la Banque nationale. Les particuliers et les entreprises ne sont touchés que dans la mesure où ils exercent des activités sensibles sur mandat.

La collaboration avec les cantons qui devront assurer le même niveau de sécurité que la Confédération sera améliorée. Les cantons pourront recourir pour leurs propres besoins aux services spécialisés prévus. Ils seront également inclus dans l'organe de coordination pour la standardisation des mesures.

La conférence des futurs préposés à la sécurité de l'information assurera ce rôle. Ses membres remplaceront dans chaque département les préposés à la protection de l'information et des délégués à la sécurité informatique.

Contrôles de sécurité

Le Conseil fédéral souhaite lever le pied concernant les contrôles de sécurité, qui doivent assurer à l'embauche que certains employés ne présentent pas de danger. Il veut réduire leur nombre de quelque 80'000 par an au strict minimum nécessaire à l'identification de risques considérables pour la Confédération.

Seules les personnes qui exercent des activités sensibles devraient être concernées. Le personnel de nettoyage devrait par exemple être exclu, sauf si sa fonction implique des travaux dans une zone de sécurité.

Pour garantir la sécurité de l'information lors de l'attribution de mandats sensibles, la procédure de sécurité sera élargie aux entreprises privées. Contrairement aux personnes, elles pourront voir le respect des mesures imposées vérifié en tout temps.

Aussi pour les collaborateurs externes

Le Conseil des Etats a précisé que les collaborateurs externes exerçant des activités sensibles doivent systématiquement être soumis un contrôle de sécurité. Il a ajouté que des contrôles de loyauté pouvaient aussi être menés pour les personnes appelées à exercer des tâches policières ou de poursuite pénale dans le cadre de leur fonction.

L'Autorité de surveillance du MPC pourrait aussi recourir à ces contrôles. Le Secrétariat d'Etat aux migrations pourrait quant à lui faire vérifier la loyauté des interprètes et des traducteurs.

Protection des données

Les sénateurs sont intervenus sur un autre point: ils souhaitent que toutes les autorités et organisations concernées par la loi puissent se servir du numéro AVS pour identifier des personnes. Les préposés cantonaux à la protection des données ne sont pas d'accord: un tel usage présente des risques très élevés d'abus. Des précisions seront peut-être nécessaires, selon le ministre de la défense Guy Parmelin.

Afin de soutenir les exploitants d'infrastructures critiques, les organes fédéraux pourront traiter et échanger des ressources sensibles d'adressage du domaine des télécommunications. Le projet étend par ailleurs la protection pénale du secret de fonction aux auxiliaires externes.

Il permettra aussi de délivrer une déclaration de sécurité nationale en faveur des entreprises suisses qui soumissionnent pour des mandats internationaux classifiés. Il permettra enfin au Conseil fédéral de conclure des conventions internationales dans le domaine de la sécurité de l'information.

/ATS