Délai référendaire: 10 avril 2021 (1er jour ouvrable: 12 avril 2021)
Loi fédérale sur la sécurité de l'information au sein de la Confédération* (Loi sur la sécurité de l'information, LSI) du 18 décembre 2020
L'Assemblée fédérale de la Confédération suisse, vu les art. 54, al. 1, 60, al. 1, 101, 102, al. 1, et 173, al. 1, let. a et b, et 2, de la Constitution1, vu le message du Conseil fédéral du 22 février 20172, arrête:
Chapitre 1
Dispositions générales
Art. 1
But
La présente loi vise à garantir la sécurité du traitement des informations relevant de la compétence de la Confédération et la sécurité de ses moyens informatiques.
1
2
Elle vise ainsi à protéger les intérêts publics suivants: a.
la capacité de décision et d'action des autorités et organisations de la Confédération;
b.
la sécurité intérieure et extérieure de la Suisse;
c.
les intérêts de la politique extérieure de la Suisse;
d.
les intérêts économiques, financiers et monétaires de la Suisse;
e.
l'accomplissement des obligations légales et contractuelles des autorités et organisations de la Confédération en matière de protection des informations.
RS 126 * Les termes désignant des personnes s'appliquent également aux femmes et aux hommes.
1 RS 101 2 FF 2017 2765 2012-3078
9665
L sur la sécurité de l'information
Art. 2 1
2
FF 2020
Autorités et organisations concernées
La présente loi s'applique aux autorités suivantes: a.
l'Assemblée fédérale;
b.
le Conseil fédéral;
c.
les tribunaux de la Confédération;
d.
le Ministère public de la Confédération et son autorité de surveillance;
e.
la Banque nationale suisse.
Elle s'applique également aux organisations suivantes: a.
les Services du Parlement;
b.
l'administration fédérale;
c.
les services administratifs des tribunaux de la Confédération;
d.
l'armée;
e.
les organisations visées à l'art. 2, al. 4, de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA)3, pour leurs tâches administratives.
Le Conseil fédéral peut restreindre le champ d'application de la présente loi pour les organisations au sens de l'art. 2, al. 3 et 4, LOGA à celles qui: 3
a.
exercent des activités sensibles, ou
b.
recourent ou accèdent à des moyens informatiques de la Confédération dans l'accomplissement de leurs tâches.
Il peut limiter à certaines dispositions de la présente loi le champ d'application au sens de l'al. 3. Il tient compte à cet égard de l'autonomie d'exécution des organisations concernées selon les actes organisationnels qui les régissent.
4
Les organisations de droit public ou privé qui exploitent des infrastructures critiques sans être visées par les al. 1 à 3 sont soumises aux art. 74 à 80. La législation spéciale peut prévoir que d'autres dispositions de la présente loi leur sont applicables.
5
Art. 3 1
Application de la loi aux cantons
Ne s'appliquent aux cantons que les dispositions relatives: a.
aux informations classifiées, lorsque les cantons traitent des informations classifiées de la Confédération, et
b.
à la sécurité des moyens informatiques, lorsque les cantons accèdent à des moyens informatiques de la Confédération.
Ces dispositions ne s'appliquent pas lorsque les cantons garantissent une sécurité au moins équivalente de l'information.
2
3
RS 172.010
9666
L sur la sécurité de l'information
Art. 4 1
FF 2020
Rapport avec d'autres lois fédérales
La loi du 17 décembre 2004 sur la transparence4 prime la présente loi.
Lorsque la protection d'informations est également réglée dans d'autres lois fédérales, les dispositions de la présente loi s'appliquent à titre complémentaire.
2
Art. 5
Définitions
On entend par: a.
moyen informatique: moyen relevant des techniques de l'information et de la communication, notamment les applications, les systèmes d'information et les fichiers, ainsi que les installations, les produits et les services servant au traitement électronique des informations;
b.
activité sensible: 1. le traitement d'informations classifiées «confidentiel» ou «secret», 2. l'administration, l'exploitation, la maintenance et le contrôle de moyens informatiques relevant des catégories de sécurité «protection élevée» ou «protection très élevée», 3. l'accès à des zones de sécurité, en particulier aux zones de protection 2 ou 3 d'un ouvrage au sens de la législation sur la protection des ouvrages militaires;
c.
infrastructure critique: l'approvisionnement en eau potable et en énergie, les infrastructures d'information, de communication et de transports ainsi que d'autres installations, processus et systèmes essentiels au fonctionnement de l'économie et au bien-être de la population.
Chapitre 2 Section 1
Mesures générales Principes
Art. 6
Sécurité de l'information
Les autorités et organisations soumises à la présente loi veillent à ce que le besoin de protection des informations relevant de leur compétence soit évalué en fonction de l'atteinte potentielle aux intérêts définis à l'art. 1, al. 2.
1
2
4
Elles veillent à ce que les informations, en fonction de leur besoin de protection: a.
ne soient accessibles qu'aux personnes autorisées (confidentialité);
b.
soient disponibles en cas de besoin (disponibilité);
c.
ne puissent être modifiées sans droit ou par mégarde (intégrité);
d.
soient traitées de manière à être traçables (traçabilité).
RS 152.3
9667
L sur la sécurité de l'information
FF 2020
Elles veillent à ce que les moyens informatiques auxquels elles recourent pour accomplir leurs tâches légales soient protégés contre les utilisations abusives et les perturbations.
3
Elles tiennent compte à cet égard des principes de la proportionnalité, de l'économicité et de la simplicité d'emploi.
4
Art. 7
Responsabilité des autorités soumises à la présente loi
Les autorités soumises à la présente loi veillent, chacune dans son domaine de compétence, à ce que la sécurité de l'information soit organisée, mise en oeuvre et contrôlée conformément à l'état des connaissances scientifiques et techniques.
1
2
Elles fixent: a.
leurs objectifs en matière de sécurité de l'information;
b.
les principes de gestion des risques;
c.
les conséquences d'une violation des prescriptions.
Art. 8
Gestion des risques
Les autorités et organisations soumises à la présente loi veillent, chacune dans son domaine de compétence, à ce que les risques en matière de sécurité de l'information soient constamment évalués.
1
Elles prennent les mesures nécessaires pour éliminer les risques ou les ramener à un niveau acceptable.
2
3
Les risques jugés acceptables doivent être formellement acceptés.
Art. 9
Collaboration avec les tiers
Lorsque les autorités et organisations soumises à la présente loi collaborent avec des tiers, elles veillent à ce que les exigences et mesures prévues par la présente loi soient reprises dans les accords et les contrats qu'elles concluent à cet effet.
1
Elles veillent à ce que la mise en oeuvre des mesures soit contrôlée de manière adéquate.
2
Art. 10
Procédure en cas de violation de la sécurité de l'information
Les autorités et organisations soumises à la présente loi veillent à ce que les violations de la sécurité de l'information soient décelées rapidement, leurs causes clarifiées et leurs conséquences limitées au maximum.
1
Les autorités soumises à la présente loi veillent à établir des plans d'action dans l'éventualité de graves violations de la sécurité de l'information susceptibles de menacer l'accomplissement de tâches indispensables de la Confédération; elles organisent des exercices à cet effet.
2
9668
L sur la sécurité de l'information
Section 2
Classification des informations
Art. 11
Principes régissant la classification
FF 2020
Les autorités et organisations soumises à la présente loi veillent à ce que les informations qui remplissent les critères définis à l'art. 13 soient classifiées.
1
2
La classification doit se limiter au strict nécessaire et être si possible temporaire.
Art. 12
Compétences
Les autorités soumises à la présente loi désignent les personnes et services compétents pour classifier les informations (auteurs de la classification).
1
Seuls l'auteur de la classification ou le service auquel il est subordonné peuvent modifier ou supprimer une classification.
2
3
Le Conseil fédéral règle la déclassification des archives.
Art. 13
Échelons de classification
Les informations susceptibles de nuire aux intérêts définis à l'art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d'une personne non autorisée sont classifiées «interne».
1
Les informations susceptibles de nuire considérablement aux intérêts définis à l'art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d'une personne non autorisée sont classifiées «confidentiel».
2
Les informations susceptibles de nuire gravement aux intérêts définis à l'art. 1, al. 2, let. a à d, si elles sont portées à la connaissance d'une personne non autorisée sont classifiées «secret».
3
Art. 14
Accès aux informations classifiées
Seules peuvent accéder aux informations classifiées les personnes qui offrent toutes les garanties qu'elles les traiteront correctement et qui remplissent l'une des conditions suivantes: 1
2
a.
elles ont besoin des informations en question pour accomplir une tâche légale;
b.
elles disposent d'une autorisation d'accès qui leur a été conférée contractuellement et ont besoin des informations en question pour accomplir les tâches qui leur ont été confiées.
L'accès aux archives classifiées est réglé par la législation sur l'archivage.
Les limitations d'accès prévues dans des traités internationaux au sens de l'art. 87 sont réservées.
3
9669
L sur la sécurité de l'information
Art. 15
FF 2020
Accès à des informations classifiées dans le cadre de procédures spéciales
L'accès à des informations classifiées relevant de l'Assemblée fédérale, des Services du Parlement, des tribunaux et des ministères publics est régi par le droit de procédure applicable.
1
Avant toute décision donnant accès à une information au sens de l'al. 1, l'organe parlementaire ou le tribunal compétent peut consulter l'auteur de la classification.
2
Section 3
Sécurité des moyens informatiques
Art. 16
Procédure de sécurité
Pour garantir la sécurité de l'information lors de l'utilisation de moyens informatiques, les autorités soumises à la présente loi élaborent une procédure de sécurité.
1
2
La procédure de sécurité définit en particulier: a.
les critères permettant d'évaluer le besoin de protection des informations avant la mise en service des moyens informatiques;
b.
les modalités de mise en oeuvre des mesures de sécurité et leur contrôle;
c.
la compétence d'autoriser les moyens informatiques;
d.
la procédure à suivre en cas de modification des risques.
L'exécution de la procédure de sécurité incombe aux autorités et organisations soumises à la présente loi qui décident de l'utilisation de moyens informatiques.
3
Art. 17
Catégories de sécurité
Les moyens informatiques relèvent de la catégorie de sécurité «protection de base», à moins qu'ils relèvent d'une catégorie de sécurité supérieure.
1
2
Ils relèvent de la catégorie de sécurité «protection élevée» dans les cas suivants: a.
une violation de la confidentialité, de la disponibilité, de l'intégrité ou de la traçabilité des informations qu'ils traitent risque de nuire considérablement aux intérêts définis à l'art. 1, al. 2;
b.
leur utilisation abusive ou leur perturbation sont susceptibles de nuire considérablement aux intérêts définis à l'art. 1, al. 2.
Ils relèvent de la catégorie de sécurité «protection très élevée» dans les cas suivants: 3
a.
une violation de la confidentialité, de la disponibilité, de l'intégrité ou de la traçabilité des informations qu'ils traitent risque de nuire gravement aux intérêts définis à l'art. 1, al. 2;
b.
leur utilisation abusive ou leur perturbation sont susceptibles de nuire gravement aux intérêts définis à l'art. 1, al. 2.
9670
L sur la sécurité de l'information
Art. 18
FF 2020
Mesures de sécurité
Les autorités soumises à la présente loi fixent les exigences de sécurité minimales applicables aux catégories de sécurité définies à l'art. 17.
1
Tous les moyens informatiques doivent satisfaire aux exigences minimales de la catégorie de sécurité «protection de base».
2
L'efficacité des mesures applicables aux moyens informatiques de la catégorie de sécurité «protection très élevée» doit faire l'objet de contrôles périodiques.
3
Art. 19
Sécurité de l'exploitation
Les autorités et organisations soumises à la présente loi garantissent la sécurité des moyens informatiques qu'elles exploitent pour elles-mêmes ou sur mandat d'une autre autorité ou organisation.
1
Les art. 57i à 57q LOGA5 s'appliquent par analogie au traitement des données personnelles dans le cadre de la surveillance des réseaux.
2
Section 4
Mesures relatives aux personnes
Art. 20
Conditions d'accès aux informations et aux moyens informatiques de la Confédération
Les autorités et organisations soumises à la présente loi veillent à ce que les personnes qui accèdent à des informations, des moyens informatiques, des locaux et d'autres infrastructures de la Confédération: 1
a.
soient choisies avec soin;
b.
soient identifiées en fonction de la sensibilité de l'activité concernée;
c.
reçoivent une formation et une formation continue adaptées à leur niveau de responsabilité;
d.
soient le cas échéant tenues au maintien du secret.
Elles peuvent recourir à des méthodes biométriques de vérification pour identifier les personnes, si la sensibilité de l'activité concernée le requiert. Les données biométriques sont détruites à l'échéance de l'autorisation d'accès.
2
Elles peuvent en outre utiliser systématiquement le numéro AVS au sens de l'art. 50c de la loi fédérale du 20 décembre 1946 sur l'assurance-vieillesse et survivants6 comme identificateur de personnes.
3
5 6
RS 172.010 RS 831.10
9671
L sur la sécurité de l'information
Art. 21
FF 2020
Délivrance restrictive des autorisations
Les autorités et organisations soumises à la présente loi veillent à ce que des autorisations d'accès à des informations, des moyens informatiques, des locaux ou d'autres infrastructures de la Confédération ne soient délivrées qu'aux personnes qui en ont besoin pour accomplir leurs tâches.
1
Les autorisations sont retirées à la fin de l'engagement ou du contrat ou dès que la tâche concernée a été exécutée. Elles peuvent être bloquées ou retirées sans préavis lorsque des indices concrets donnent à penser que la sécurité est menacée.
2
Section 5
Protection physique
Art. 22
Principe
Les autorités et organisations soumises à la présente loi veillent à assurer une protection physique adéquate des informations et moyens informatiques dont elles sont responsables contre les utilisations abusives et les perturbations.
Art. 23
Zones de sécurité
Les autorités et organisations soumises à la présente loi peuvent instituer des zones de sécurité dans des locaux ou des espaces dans lesquels: 1
2
a.
des informations classifiées «confidentiel» ou «secret» sont fréquemment traitées, ou
b.
des moyens informatiques des catégories de sécurité «protection élevée» ou «protection très élevée» sont exploités.
Elles peuvent prendre les mesures suivantes: a.
interdire certains objets, en particulier les appareils de prises de vue et de son;
b.
surveiller les secteurs sensibles avec des appareils de prises de vue et de son;
c.
procéder à des fouilles;
d.
procéder à des contrôles des locaux inopinés, même en l'absence des employés.
Elles peuvent exploiter, conformément à l'art. 34, al. 1ter, de la loi du 30 avril 1997 sur les télécommunications7, une installation perturbatrice dans les zones de sécurité où des informations classifiées «secret» sont fréquemment traitées ou des moyens informatiques de la catégorie de sécurité «protection très élevée» sont exploités.
3
Les dispositions particulières relatives aux zones de sécurité établies en vertu des traités internationaux au sens de l'art. 87 et les dispositions applicables aux zones de protection des ouvrages au sens de la législation sur la protection des ouvrages militaires sont réservées.
4
7
RS 784.10
9672
L sur la sécurité de l'information
FF 2020
Section 6
Systèmes de gestion des données d'identification
Art. 24
Exploitation de systèmes de gestion des données d'identification
Les autorités soumises à la présente loi peuvent exploiter des systèmes permettant une gestion centralisée des données servant à identifier les personnes qui ont accès aux informations, aux moyens informatiques, aux locaux et à d'autres infrastructures (systèmes de gestion des données d'identification).
1
Les systèmes de gestion des données d'identification vérifient l'identité et les profils d'accès des personne, des machines et des systèmes. Ils transmettent le résultat aux systèmes d'information raccordés pour la vérification des autorisations.
2
Les autorités soumises à la présente loi désignent un service responsable pour chaque système de gestion des données d'identification.
3
Art. 25
Échange et harmonisation des données
Les systèmes de gestion des données d'identification permettent d'échanger des données et de les harmoniser avec les systèmes d'information raccordés, avec les répertoires de personnes et d'utilisateurs et avec d'autres systèmes de gestion des données d'identification exploités par des autorités soumises à la présente loi.
1
L'échange et l'harmonisation sont limités aux données dont le traitement est autorisé dans le système concerné.
2
Art. 26
Dispositions d'exécution
Les autorités soumises à la présente loi édictent des dispositions d'exécution notamment dans les domaines suivants: a.
la protection et la sécurité des données;
b.
les données personnelles traitées;
c.
l'échange et l'harmonisation des données avec d'autres systèmes;
d.
la journalisation et la transmission des données de journalisation aux systèmes d'information raccordés;
e.
le contrôle périodique, réalisé par un organe externe, du traitement des données personnelles.
Chapitre 3 Section 1
Contrôle de sécurité relatif aux personnes Dispositions générales
Art. 27
But et objet du contrôle
Le contrôle de sécurité relatif aux personnes vise à déterminer si l'exercice d'une activité sensible par une personne dans le cadre de sa fonction ou d'un mandat présente un risque pour la sécurité de l'information.
1
9673
L sur la sécurité de l'information
FF 2020
À cette fin, les services compétents collectent les données pertinentes pour la sécurité touchant au mode de vie de la personne concernée, notamment à ses relations personnelles étroites et familiales, à sa situation financière et à ses rapports avec l'étranger.
2
Les données sur l'exercice des droits constitutionnels ne peuvent être traitées que s'il existe un soupçon concret que la personne soumise au contrôle exerce ces droits pour préparer ou accomplir des actes susceptibles de nuire considérablement aux intérêts définis à l'art. 1, al. 2.
3
Art. 28
Liste des fonctions
Les autorités soumises à la présente loi édictent, chacune dans son domaine de compétence, une liste des fonctions qui impliquent l'exercice d'une activité sensible.
1
Elles contrôlent périodiquement l'exactitude de la liste et y apportent les corrections nécessaires.
2
Art. 29 1
Personnes soumises au contrôle
Sont soumis à un contrôle de sécurité: a.
les employés de la Confédération, les collaborateurs externes et les militaires qui exercent une fonction figurant sur l'une des listes visées à l'art. 28;
b.
les employés cantonaux qui exercent une activité sensible;
c.
les tiers qui exécutent pour une autorité ou une organisation soumise à la présente loi un mandat qui implique l'exercice d'une activité sensible;
d.
les personnes soumises à un contrôle de sécurité en vertu d'un traité international au sens de l'art. 87.
Toute personne appelée à exercer une activité sensible pour le compte d'une autorité étrangère ou d'une organisation internationale est soumise à un contrôle de sécurité pour autant que la Suisse ait conclu un traité international au sens de l'art. 87 avec l'État ou l'organisation internationale en question.
2
Les personnes qui exercent une fonction qui ne figure pas encore sur l'une des listes visées à l'art. 28 peuvent exceptionnellement, sur approbation de l'autorité concernée, être soumises à un contrôle de sécurité. La liste des fonctions doit être complétée dès que possible.
3
4
Les candidats aux fonctions suivantes ne sont pas soumis à un contrôle de sécurité: a.
membre de l'Assemblée fédérale;
b.
membre du Conseil fédéral et chancelier de la Confédération;
c.
juge auprès d'un tribunal de la Confédération;
d.
procureur général de la Confédération;
e.
membre de l'Autorité de surveillance du Ministère public de la Confédération;
f.
général;
9674
L sur la sécurité de l'information
g.
FF 2020
magistrat cantonal élu par le peuple ou par le parlement du canton concerné.
Art. 30
Degrés de contrôle
Les autorités soumises à la présente loi attribuent les degrés de contrôle suivants aux activités sensibles définies ci-après: a.
contrôle de sécurité de base: activités sensibles dont l'exercice inadéquat ou contraire aux prescriptions est susceptible de nuire considérablement aux intérêts définis à l'art. 1, al. 2;
b.
contrôle de sécurité élargi: activités sensibles dont l'exercice inadéquat ou contraire aux prescriptions est susceptible de nuire gravement aux intérêts définis à l'art. 1, al. 2.
Section 2
Procédure
Art. 31
Services compétents
Les autorités soumises à la présente loi et les cantons désignent les services qui ont les compétences suivantes: 1
a.
ouvrir la procédure du contrôle de sécurité (services qui demandent le contrôle);
b.
décider de confier l'activité sensible (instances décisionnelles).
Le Conseil fédéral désigne un ou plusieurs services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes (services spécialisés CSP). Ces services réalisent l'évaluation sans aucune instruction.
2
Art. 32
Consentement et collaboration
Aucun contrôle de sécurité ne peut être réalisé sans le consentement de la personne soumise au contrôle.
1
Les conscrits, les militaires et les membres de la protection civile peuvent être soumis à un contrôle de sécurité sans leur consentement.
2
3
La personne soumise au contrôle est tenue de collaborer à l'établissement des faits.
Art. 33
Moment du contrôle
Pour les personnes visées à l'art. 29, al. 1, let. a et b, la procédure de contrôle de sécurité doit être ouverte avant l'attribution de la fonction.
1
Pour les personnes visées à l'art. 29, al. 1, let. a, qui doivent être nommées par le Conseil fédéral, le contrôle de sécurité doit être achevé avant le dépôt de la proposition de nomination.
2
Pour les personnes visées à l'art. 29, al. 1, let. c, le contrôle de sécurité doit être achevé avant que l'activité sensible ne leur soit confiée.
3
9675
L sur la sécurité de l'information
FF 2020
Pour les personnes visées à l'art. 29, al. 1, let. d, le contrôle de sécurité a lieu au moment prévu par le traité applicable.
4
Art. 34
Collecte des données
Les services spécialisés CSP peuvent collecter les données suivantes relatives à une personne pour réaliser un contrôle de sécurité de base: 1
a.
données du casier judiciaire;
b.
données sur des procédures pénales en cours, classées ou suspendues, en demandant des renseignements ou des dossiers auprès des autorités pénales;
c.
données nécessaires à l'évaluation du risque, auprès des organes de sécurité de la Confédération, du Service de renseignement de la Confédération (SRC), des organes de l'armée et d'autres organes de la Confédération;
d.
données des registres et dossiers des organes de sécurité des cantons et des organes de police;
e.
données des registres des offices des poursuites et des faillites;
f.
données des dossiers établis lors de contrôles de sécurité antérieurs;
g.
données de sources d'information publiques.
Ils peuvent au surplus collecter les données suivantes relatives à une personne pour réaliser un contrôle de sécurité élargi: 2
a.
données détenues par les autorités fiscales fédérales et cantonales;
b.
données du registre du contrôle des habitants;
c.
données détenues par les établissements financiers et banques entretenant des relations d'affaires avec la personne concernée;
d.
données fournies par la personne concernée au cours d'une audition.
Lorsque des indices concrets fondés sur les données collectées donnent à penser qu'il existe un risque pour la sécurité ou lorsque les données collectées sont insuffisantes ou ne s'étendent pas sur une période suffisante pour réaliser le contrôle, les services spécialisés CSP peuvent auditionner la personne concernée. Ils peuvent également interroger des tiers moyennant le consentement de la personne soumise au contrôle de sécurité; ils indiquent aux tiers concernés qu'ils sont libres de donner des renseignements ou non.
3
Les données relatives à des tiers qui sont indissociables des données relatives à la personne soumise au contrôle de sécurité peuvent être traitées si elles sont indispensables pour réaliser le contrôle. Les services spécialisés CSP informent les tiers concernés du traitement de leurs données.
4
Art. 35
Assistance administrative
L'autorité ou l'organisation concernée au sens de l'art. 34 collecte les données détenues par une autorité étrangère ou une organisation internationale.
1
9676
L sur la sécurité de l'information
FF 2020
Lorsque les données collectées fournissent des indices concrets de crime organisé ou de criminalité internationale, le service spécialisé CSP consulte les offices centraux de police criminelle de la Confédération. Les offices centraux ne communiquent au service spécialisé CSP que les données personnelles pertinentes pour la sécurité.
2
Art. 36
Prise en charge des coûts
Les autorités et organisations de droit public auprès desquelles les services spécialisés CSP peuvent collecter des données ou qui sont tenues de participer à la procédure prêtent leur concours gratuitement.
1
Les tiers auxquels la procédure occasionne une charge considérable sont indemnisés.
2
La Confédération supporte les coûts du contrôle pour les employés cantonaux visés à l'art. 29, al. 1, let. b.
3
Art. 37
Classement de la procédure
Les services spécialisés CSP classent la procédure lorsque la personne concernée revient sur son consentement ou qu'elle n'entre plus en considération pour exercer la fonction prévue ou pour exécuter le mandat.
1
Ils communiquent le classement de la procédure à la personne concernée et au service qui a demandé son ouverture. La personne concernée est réputée ne pas avoir été contrôlée.
2
Section 3
Évaluation du risque pour la sécurité
Art. 38
Risque pour la sécurité
Il existe un risque pour la sécurité lorsque des indices concrets fondés sur les données collectées laissent supposer avec une probabilité élevée que la personne contrôlée exécutera l'activité sensible de manière inadéquate ou contraire aux prescriptions.
1
La probabilité d'un exercice inadéquat ou contraire aux prescriptions d'une activité sensible peut notamment être jugée élevée lorsque des indices concrets donnent à penser que la personne présente l'une des caractéristiques suivantes: 2
a.
elle manque d'intégrité ou de loyauté;
b.
elle est susceptible de céder au chantage ou à la corruption;
c.
elle ne dispose pas d'une pleine capacité de jugement ou de décision.
L'évaluation doit se fonder sur des faits concernant la situation personnelle de la personne soumise au contrôle, indépendamment de toute faute commise.
3
9677
L sur la sécurité de l'information
Art. 39
FF 2020
Résultat de l'évaluation
Les services spécialisés CSP rendent l'une des déclarations suivantes, qui a la signification indiquée ci-après: 1
a.
déclaration de sécurité: il n'existe aucun risque pour la sécurité;
b.
déclaration de sécurité sous réserve: il existe un risque pour la sécurité, mais celui-ci peut être ramené à un niveau acceptable en respectant certaines conditions; les services spécialisés CSP recommandent les conditions à fixer;
c.
déclaration de risque: il existe un risque pour la sécurité;
d.
constatation: les données sont insuffisantes ou ne s'étendent pas sur une période suffisante pour évaluer le risque pour la sécurité.
Dans les cas visés à l'al. 1, let. b à d, ils donnent au préalable la possibilité à la personne soumise au contrôle de donner son avis.
2
Art. 40
Communication
Les services spécialisés CSP communiquent par écrit à la personne concernée et à l'instance décisionnelle la déclaration qu'ils ont rendue.
1
Pour les nominations par le Conseil fédéral, les services spécialisés CSP communiquent leur déclaration au département qui propose la nomination.
2
Ils peuvent communiquer la déclaration à une autre instance décisionnelle dans les cas suivants: 3
a.
la personne soumise au contrôle est appelée à exercer une autre activité sensible au sens de la présente loi qui requiert un contrôle de sécurité;
b.
la personne est soumise à un contrôle de loyauté en vertu d'une autre loi fédérale;
c.
la personne est soumise à une évaluation en vertu de l'art. 113 de la loi du 3 février 1995 sur l'armée8.
Si les services spécialisés CSP disposent, avant la clôture de l'évaluation, d'indices concrets d'un risque pour la sécurité, ils peuvent communiquer leurs constatations intermédiaires par écrit aux autorités et instances visées aux al. 1 à 3 et à la personne contrôlée.
4
Section 4
Conséquences de la déclaration
Art. 41
Exercice de l'activité sensible
1
Les déclarations des services spécialisés CSP ont valeur de recommandation.
Le service visé à l'art. 31, al. 1, let. b décide, après avoir pris connaissance de la déclaration, si la personne contrôlée peut exercer l'activité sensible en question.
2
8
RS 510.10
9678
L sur la sécurité de l'information
3
Il peut fixer des conditions à l'exercice de l'activité.
4
Il communique sa décision au service spécialisé CSP.
Art. 42
FF 2020
Utilisation de la déclaration pour d'autres activités sensibles
Il n'est pas nécessaire de réaliser un nouveau contrôle de sécurité lorsque la personne concernée a déjà obtenu une déclaration pour un degré de contrôle au moins équivalent: a.
en vue d'une autre activité sensible au sens de la présente loi;
b.
dans le cadre d'un contrôle de loyauté en vertu d'une autre loi fédérale.
Art. 43 1
Répétition du contrôle
Le contrôle de sécurité relatif aux personnes est répété comme suit: a.
contrôle de sécurité de base: au plus tôt après cinq ans, au plus tard après dix ans;
b.
contrôle de sécurité élargi: au plus tôt après trois ans, au plus tard après cinq ans.
Le Conseil fédéral peut prévoir qu'il n'est pas nécessaire de répéter le contrôle de sécurité de base pour les personnes exerçant certaines fonctions au sein de l'armée ou de la protection civile.
2
Lorsque le service qui demande le contrôle ou l'instance décisionnelle ont des raisons de penser que de nouveaux risques sont apparus depuis le dernier contrôle, ils peuvent demander la répétition du contrôle de sécurité au service spécialisé CSP; ils motivent leur demande par écrit.
3
Art. 44
Voies de droit
La personne contrôlée dispose d'un délai de 30 jours à compter de la réception d'une déclaration au sens de l'art. 39, al. 1, pour: 1
a.
consulter le dossier du contrôle;
b.
demander la rectification des données erronées ou la destruction des données obsolètes;
c.
demander que l'on ajoute à une donnée la mention de son caractère litigieux.
Les restrictions à la communication de renseignements sont régies par l'art. 9 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)9.
2
La déclaration constitue un acte matériel au sens de l'art. 25a de la loi fédérale du 20 décembre 1968 sur la procédure administrative10. La personne contrôlée peut recourir contre une déclaration au sens de l'art. 39, al. 1, let. b à d, auprès du Tribunal administratif fédéral dans un délai de 30 jours à compter de sa réception.
3
9 10
RS 235.1 RS 172.021
9679
L sur la sécurité de l'information
FF 2020
Si l'instance décisionnelle est le Tribunal fédéral ou le Tribunal administratif fédéral, l'art. 36, al. 2 et 4, de la loi du 24 mars 2000 sur le personnel de la Confédération11 s'applique par analogie.
4
La procédure de recours est régie au surplus par les dispositions générales de la procédure fédérale.
5
Section 5
Traitement des données personnelles
Art. 45
Système d'information sur le contrôle de sécurité relatif aux personnes
Les services spécialisés CSP exploitent un système d'information pour réaliser les contrôles de sécurité relatifs aux personnes.
1
Chaque service spécialisé CSP est responsable de la licéité du traitement des données personnelles qu'il effectue dans le système d'information.
2
Les données sensibles et les profils de la personnalité au sens de l'art. 3, let. c et d, LPD12 peuvent être traités dans le système d'information dans la mesure où ils sont nécessaires à l'évaluation du risque pour la sécurité.
3
4
Le système d'information contient les données suivantes: a.
les données d'identité des personnes à contrôler ou des personnes qui ont été contrôlées, y compris le numéro AVS et le numéro de passeport;
b.
les données visées aux art. 34 et 35;
c.
les données relatives à l'évaluation du risque pour la sécurité;
d.
le résultat de l'évaluation visé à l'art. 39, al. 1;
e.
la décision de l'instance décisionnelle;
f.
les données et les dossiers relatifs aux procédures de recours;
g.
des listes et statistiques contenant les données visées aux let. a à f.
Le traitement des données visées à l'al. 4 en dehors du système d'information doit être mentionné dans le système.
5
Les données visées à l'al. 4 peuvent être collectées automatiquement et systématiquement en ligne dans les systèmes d'information suivants: 6
11 12 13 14
a.
casier judiciaire informatisé au sens des art. 365 à 371a du code pénal13;
b.
index national de police au sens de l'art. 17 de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération14;
RS 172.220.1 RS 235.1 RS 311.0 RS 361
9680
L sur la sécurité de l'information
c.
FF 2020
système d'indexation des données du SRC au sens de l'art. 51 de la loi fédérale du 25 septembre 2015 sur le renseignement15.
Art. 46
Consultation et communication des données
Les organes suivants peuvent consulter en ligne les données ci-après contenues dans le système d'information: 1
a.
les services qui demandent le contrôle: les données visées à l'art. 45, al. 4, let. b, qu'ils ont saisies eux-mêmes lors de l'ouverture de la procédure de contrôle, ainsi que les données visées à l'art. 45, al. 4, let. a, d et e;
b.
les instances décisionnelles: les données visées à l'art. 45, al. 4, let. a, d et e;
c.
les préposés à la sécurité de l'information au sens de l'art. 81, pour l'exécution de leurs tâches de contrôle: les données visées à l'art. 45, al. 4, let. a, d et e;
d.
les services de la Confédération et des cantons auprès desquels les données visées à l'art. 37 sont collectées: les données visées à l'art. 45, al. 4, let. a.
Les organes suivants peuvent consulter les données ci-après contenues dans le système d'information: 2
15 16
a.
le service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE) au sens de l'art. 51, al. 2, par une interface liée au système d'information visé à l'art. 70, pour mener la procédure de sécurité relative aux entreprises au sens des art. 49 à 73: les données visées à l'art. 45, al. 4, let. a, d et e;
b.
le Groupement Défense: 1. par une interface liée au système d'information visé à l'art. 12 de la loi fédérale du 3 octobre 2008 sur les systèmes d'information de l'armée (LSIA)16, dans les buts définis à l'art. 13 LSIA: les données visées à l'art. 45, al. 4, let. a, d et e, 2. par une interface liée au système d'information visé à l'art. 18 LSIA, dans les buts définis à l'art. 19 LSIA: les données visées à l'art. 45, al. 4, let. a et e; 3. par une interface liée au système d'information visé à l'art. 156 LSIA, dans le but visé à l'art. 157 LSIA: les données visées à l'art. 45, al. 4, let. a et e, 4. par une interface liée au système d'information visé à l'art. 162 LSIA, dans le but visé à l'art. 163 LSIA: les données visées à l'art. 45, al. 4, let. a et e;
c.
le service compétent pour délivrer des certificats internationaux de sécurité au sens de l'art. 48, let. c, par une interface: les données visées à l'art. 45, al. 4, let. a, d et e.
RS 121 RS 510.91
9681
L sur la sécurité de l'information
FF 2020
Les services spécialisés CSP peuvent au surplus communiquer électroniquement les données visées à l'art. 45, al. 4, let. a et e, à d'autres services de la Confédération dans la mesure où ces données sont nécessaires pour contrôler l'accès aux zones de sécurité.
3
Ils peuvent communiquer aux autorités et organisations soumises à la présente loi les listes et statistiques visées à l'art. 45, al. 1, let. g, dans la mesure où elles en ont besoin pour exécuter les tâches de contrôle prévues par la présente loi.
4
Art. 47
Conservation, archivage et destruction des données
Les services spécialisés CSP peuvent enregistrer les auditions visées à l'art. 34, al. 2, let. d, et 3, et conserver les enregistrements sur des supports.
1
Ils conservent les données aussi longtemps que la personne concernée exerce l'activité sensible, mais dix ans au plus.
2
L'archivage des données est régi par les dispositions de la législation relative à l'archivage.
3
Lorsque la procédure est classée ou que les services spécialisés CSP apprennent qu'une personne contrôlée n'occupe pas la fonction prévue ou a refusé d'exécuter le mandat prévu, ces services détruisent l'ensemble des données et dossiers relatifs à la procédure dans les trois mois.
4
Section 6
Dispositions édictées par le Conseil fédéral
Art. 48 Le Conseil fédéral règle: a.
les modalités de la procédure du contrôle de sécurité relatif aux personnes;
b.
l'organisation des services spécialisés CSP;
c.
les modalités de délivrance des certificats internationaux de sécurité;
d.
les responsabilités en matière de protection des données traitées dans le système d'information visé à l'art. 45 et la sécurité des données;
e.
les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.
Chapitre 4 Section 1
Procédure de sécurité relative aux entreprises Dispositions générales
Art. 49
But de la procédure
La procédure de sécurité relative aux entreprises vise à préserver la sécurité de l'information lors de l'exécution de mandats publics par des entreprises, des parties
9682
L sur la sécurité de l'information
FF 2020
d'entre elles ou des sous-contractants (entreprises), dans la mesure où ces mandats impliquent l'exercice d'une activité sensible (mandats sensibles).
Art. 50 1
Entreprises concernées
Les entreprises suivantes peuvent être soumises à la procédure de sécurité: a.
entreprises appelées à exécuter un mandat sensible pour le compte d'une autorité ou d'une organisation soumise à la présente loi;
b.
entreprises dont le siège est en Suisse et qui soumissionnent pour des mandats dont l'exécution requiert un certificat international de sécurité au sens de l'art. 66.
2
La procédure ne peut être menée sans le consentement de l'entreprise concernée.
3
Les entreprises visées à l'al. 1, let. b, supportent les coûts de la procédure.
Art. 51 1
Classement de la procédure
La procédure de sécurité est classée dans les cas suivants: a.
l'entreprise concernée revient sur son consentement ou ne collabore pas à la procédure;
b.
l'entreprise concernée retire son offre;
c.
l'entreprise concernée n'entre plus en considération pour l'exécution du mandat.
Le service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE) communique le classement de la procédure à l'entreprise et à l'autorité ou l'organisation qui attribue le mandat (adjudicateur).
2
Section 2
Ouverture de la procédure
Art. 52
Demande d'ouverture de la procédure
Lorsque les autorités et organisations soumises à la présente loi envisagent d'attribuer un mandat sensible, elles adressent au service spécialisé PSE une demande d'ouverture de la procédure.
1
Les autorités soumises à la présente loi désignent les services compétents pour demander l'ouverture de la procédure.
2
Les autorités étrangères ou organisations internationales doivent déposer ellesmêmes une demande pour les entreprises visées à l'art. 50, al. 1, let. b.
3
Art. 53 1
Examen de la demande
Le service spécialisé PSE examine la demande et ouvre la procédure.
9683
L sur la sécurité de l'information
FF 2020
Il peut renoncer, en accord avec l'adjudicateur, à ouvrir une procédure lorsque d'autres mesures permettent de ramener le risque pour la sécurité à un niveau acceptable. Il recommande les mesures à prendre.
2
Art. 54
Définition des exigences en matière de sécurité
Le service spécialisé PSE fixe, en accord avec l'adjudicateur, les exigences en matière de sécurité de l'information pour la procédure d'adjudication et la phase d'exécution du mandat.
Section 3
Évaluation des entreprises
Art. 55
Qualification
L'adjudicateur indique au service spécialisé PSE quelles entreprises entrent en considération pour l'exécution du mandat sensible.
1
Le service spécialisé PSE évalue si les entreprises concernées présentent les qualifications requises sous l'angle de la sécurité pour exécuter le mandat sensible ou s'il existe un risque pour la sécurité.
2
3
Il réalise l'évaluation sans aucune instruction.
Art. 56
Collecte des données
Pour évaluer la qualification d'une entreprise, le service spécialisé PSE peut collecter des données auprès des sources suivantes: 1
a.
l'entreprise concernée;
b.
le SRC;
c.
toute source d'information publique.
Il peut demander à des services étrangers ou internationaux de lui transmettre des données. La demande est adressée par l'intermédiaire du SRC.
2
Art. 57
Évaluation du risque pour la sécurité
Il existe un risque pour la sécurité lorsque des indices concrets fondés sur les données collectées laissent supposer avec une probabilité élevée que l'entreprise exécutera le mandat sensible de manière inadéquate ou contraire aux prescriptions.
1
La probabilité d'une exécution inadéquate ou contraire aux prescriptions du mandat sensible peut être jugée élevée dans les cas suivants notamment: 2
a.
l'entreprise manque d'intégrité ou de loyauté;
b.
l'entreprise est contrôlée par des États étrangers ou des organisations étrangères de droit public ou privé ou se trouve sous leur influence, lorsque ce contrôle ou cette influence sont incompatibles avec les intérêts définis à l'art. 1, al. 2;
9684
L sur la sécurité de l'information
c.
FF 2020
un service spécialisé CSP a rendu une déclaration de risque pour un membre du personnel de l'entreprise et cette personne est indispensable pour l'exécution du mandat.
L'évaluation doit se fonder sur des faits concernant la situation de l'entreprise, indépendamment de toute faute commise.
3
Art. 58
Notification de l'évaluation et exclusion de la procédure d'adjudication
Le service spécialisé PSE communique son évaluation à l'adjudicateur et la notifie formellement à l'entreprise.
1
Si le service spécialisé PSE conclut que l'exécution du mandat sensible par l'entreprise concernée pose un risque pour la sécurité, l'adjudicateur exclut l'entreprise de la procédure d'adjudication.
2
Si toutes les entreprises qui entrent en considération posent un risque pour la sécurité, l'adjudicateur peut néanmoins confier le mandat à l'une d'entre elles. Le service spécialisé PSE classe la procédure. L'adjudicateur applique par analogie les mesures visées aux art. 59, 60, 63 et 64.
3
Section 4
Plan de sécurité
Art. 59
Adjudication et plan de sécurité
L'adjudicateur indique au service spécialisé PSE quelle est l'entreprise adjudicataire.
1
L'entreprise établit un plan de sécurité en suivant les directives du service spécialisé PSE.
2
Le plan de sécurité est soumis au contrôle du service spécialisé PSE. Ce dernier peut collecter les données nécessaires par écrit ou inspecter les locaux de l'entreprise.
3
Art. 60
Contrôles de sécurité relatifs aux personnes
Les collaborateurs de l'entreprise qui sont appelés à exercer une activité sensible sont soumis à un contrôle de sécurité.
1
Le service spécialisé PSE est compétent pour la décision au sens de l'art. 41, al. 2.
Si la procédure de sécurité relative aux entreprises est classée conformément à l'art. 58, al. 3, parce qu'aucune entreprise ne présente les qualifications requises pour exécuter le mandat, l'adjudicateur prend la décision.
2
9685
L sur la sécurité de l'information
FF 2020
Section 5
Déclaration de sécurité relative aux entreprises
Art. 61
Établissement de la déclaration de sécurité relative aux entreprises
Le service spécialisé PSE rend formellement une déclaration de sécurité lorsque l'entreprise apporte la preuve qu'elle a mis en oeuvre le plan de sécurité.
1
Il refuse à l'entreprise la déclaration de sécurité et classe la procédure si l'entreprise ne met pas en oeuvre le plan de sécurité. Il rend formellement une décision en conséquence.
2
3
Les décisions visées aux al. 1 et 2 sont communiquées à l'adjudicateur.
L'adjudicateur est lié par la décision du service spécialisé PSE, sous réserve de l'art. 58, al. 3.
4
5
La déclaration de sécurité est valable cinq ans.
Art. 62
Exécution d'un mandat sensible
L'adjudicateur ne peut laisser une entreprise exécuter un mandat sensible qu'une fois que celle-ci a obtenu une déclaration de sécurité.
Art. 63
Obligations de l'entreprise
Les entreprises qui ont obtenu une déclaration de sécurité doivent constamment appliquer les mesures prévues par le plan de sécurité.
1
Elles informent immédiatement le service spécialisé PSE et l'adjudicateur de tout changement et de tout incident dans le domaine de la sécurité.
2
Art. 64 1
Contrôles et mesures de protection
Le service spécialisé PSE peut: a.
inspecter inopinément les secteurs où le mandat sensible est exécuté;
b.
consulter les documents relatifs au mandat.
Lorsque des indices concrets donnent à penser que la sécurité de l'information est menacée dans une entreprise, le service spécialisé PSE peut prendre immédiatement les mesures de protection qui s'imposent, notamment mettre les documents et le matériel en lieu sûr.
2
Art. 65
Procédure simplifiée en cas d'adjudication d'autres mandats sensibles
Les entreprises qui ont obtenu une déclaration de sécurité sont réputées qualifiées en cas d'adjudication d'autres mandats sensibles. Le service spécialisé PSE examine la nécessité d'adapter le plan de sécurité.
9686
L sur la sécurité de l'information
Art. 66
FF 2020
Certificat international de sécurité
Le service spécialisé PSE établit à la demande de l'entreprise un certificat international de sécurité.
Art. 67 1
2
Révocation de la déclaration de sécurité
Le service spécialisé PSE révoque la déclaration de sécurité dans les cas suivants: a.
l'entreprise n'a pas rempli ses obligations au sens de l'art. 63;
b.
une répétition de la procédure a permis d'identifier un risque pour la sécurité.
Il notifie sa décision à l'entreprise et à l'adjudicateur.
En cas de révocation de la déclaration de sécurité, l'adjudicateur retire immédiatement le mandat à l'entreprise, sous réserve de l'art. 58, al. 3. L'entreprise n'a droit à aucune indemnisation.
3
Section 6
Répétition de la procédure et voies de droit
Art. 68
Répétition de la procédure
La procédure de sécurité est répétée dans les cas suivants: a.
la déclaration de sécurité de l'entreprise échoit alors que l'entreprise exécute un mandat sensible;
b.
des changements importants sont intervenus au sein de l'entreprise et des indices concrets donnent à penser que ces changements ont fait apparaître de nouveaux risques pour la sécurité.
Art. 69
Voies de droit
L'entreprise a 30 jours à compter de la notification de la décision du service spécialisé PSE pour: 1
a.
consulter le dossier du contrôle;
b.
demander la rectification des données erronées ou la destruction des données obsolètes;
c.
demander que l'on ajoute à une donnée la mention de son caractère litigieux;
d.
faire recours devant le Tribunal administratif fédéral.
Les restrictions à la communication de renseignements sont régies par l'art. 9 LPD17.
2
17
RS 235.1
9687
L sur la sécurité de l'information
Section 7
Traitement des données personnelles
Art. 70
Système d'information sur la procédure de sécurité relative aux entreprises
FF 2020
Le service spécialisé PSE exploite un système d'information pour réaliser et gérer les procédures de sécurité relatives aux entreprises.
1
Les données sensibles et les profils de la personnalité au sens de l'art. 3, let. c et d, LPD18 peuvent être traités dans le système d'information dans la mesure où ils sont nécessaires à l'exécution de la procédure.
2
3
Le système d'information contient les données suivantes: a.
les données visées aux art. 56 et 59, al. 3;
b.
le résultat de l'évaluation visée à l'art. 55, al. 2;
c.
le résultat des contrôles de sécurité relatifs aux personnes visés à l'art. 60, al. 1;
d.
la décision du service spécialisé PSE visée à l'art. 60, al. 2;
e.
la raison sociale des entreprises qui ont obtenu une déclaration de sécurité;
f.
les mesures de protection visées à l'art. 64;
g.
les données et les dossiers relatifs aux procédures de recours.
Le service spécialisé PSE est responsable de la sécurité du système d'information et de la licéité du traitement des données personnelles.
4
Art. 71 1
Consultation et communication des données
Les organes suivants peuvent consulter en ligne les données ci-après: a.
les adjudicateurs: les données visées à l'art. 70, al. 3, let. b et d à g;
b.
les entreprises qui sont habilitées par le Conseil fédéral, en vertu de l'art. 31, al. 1, let. a, à ouvrir des procédures de contrôle de sécurité relatifs aux personnes dans leur domaine de compétence: les données visées à l'art. 70, al. 3, let. d.
Le service spécialisé PSE peut au surplus communiquer les données visées à l'art. 70, al. 3, let. b à d, à d'autres services de la Confédération dans la mesure où ces données sont nécessaires à la sécurité de l'information.
2
Art. 72
Conservation, archivage et destruction des données
Le service spécialisé PSE conserve les données aussi longtemps que l'entreprise concernée dispose d'une déclaration de sécurité, mais dix ans au plus.
1
L'archivage des données est régi par les dispositions de la législation relative à l'archivage.
2
18
RS 235.1
9688
L sur la sécurité de l'information
FF 2020
Lorsque la procédure est classée, le service spécialisé PSE détruit l'ensemble des données et dossiers relatifs à la procédure dans les trois mois.
3
Section 8
Dispositions édictées par le Conseil fédéral
Art. 73 Le Conseil fédéral règle: a.
les modalités de la procédure de sécurité relative aux entreprises;
b.
l'application aux sous-contractants de la procédure de sécurité relative aux entreprises;
c.
l'organisation du service spécialisé PSE;
d.
les mesures nécessaires pour garantir la sécurité des données du système visé à l'art. 70;
e.
les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.
Chapitre 5
Infrastructures critiques
Art. 74
Tâches de la Confédération
La Confédération apporte un soutien aux exploitants d'infrastructures critiques pour garantir que les interruptions de réseau et de système et que les utilisations abusives soient rares, de courte durée, maîtrisables et peu dommageables.
1
Le soutien apporté par la Confédération en matière de sécurité de l'information prend les formes suivantes: 2
a.
identification et évaluation précoces des menaces, dangers, vulnérabilités et failles de sécurité;
b.
identification des incidents;
c.
maintien et rétablissement de la sécurité de l'information après un incident;
d.
suivi des incidents.
La Confédération gère un service national d'alerte et un service d'assistance pour la mise en place de mesures techniques de sécurité à titre préventif ou après un incident.
3
Elle veille à ce que les exploitants d'infrastructures critiques puissent échanger des informations en toute sécurité, entre elles et avec les services compétents de la Confédération.
4
5
Le Conseil fédéral désigne les services fédéraux chargés d'accomplir ces tâches.
9689
L sur la sécurité de l'information
Art. 75
FF 2020
Traitement des données personnelles
Les services visés à l'art. 74, al. 5, peuvent traiter des ressources d'adressage au sens de l'art. 3, let. f, de la loi du 30 avril 1997 sur les télécommunications19 et les données personnelles qui s'y rapportent dans la mesure où elles en ont besoin pour accomplir leurs tâches.
1
Ils peuvent également traiter les données visées à l'al. 1 lorsque ces dernières comportent des informations concernant: 2
3
a.
des opinions religieuses, philosophiques ou politiques; le traitement des données n'est admissible que dans la mesure où elles sont nécessaires à l'évaluation de menaces et dangers concrets en matière de sécurité de l'information;
b.
des poursuites ou sanctions pénales ou administratives.
Les données personnelles peuvent être traitées à l'insu de la personne concernée.
En cas de soupçon fondé d'usurpation d'identité ou d'utilisation abusive de ressources d'adressage, les services visés à l'art. 74, al. 5, informent la personne concernée. Les art. 18a, al. 4, let. b, et 18b, LPD20 sont réservés.
4
Art. 76
Coopération sur le plan national
Les services visés à l'art. 74, al. 5, peuvent communiquer aux exploitants d'infrastructures critiques des données personnelles au sens de l'art 75 dans la mesure où elles sont utiles à la sécurité de l'information.
1
Ils peuvent communiquer aux fournisseurs et exploitants de services informatiques et de communication des données personnelles au sens de l'art. 75 dans la mesure où elles sont nécessaires à la sécurité de l'information d'infrastructures critiques.
2
Les exploitants d'infrastructures critiques de même que les fournisseurs et les exploitants de services informatiques et de communication peuvent communiquer aux services visés à l'art. 74, al. 5, des données liées à des incidents, y compris des données personnelles. Les services visés à l'art. 74, al. 5, ne peuvent transmettre ces données à des fins de poursuite pénale qu'avec l'autorisation expresse du fournisseur des données.
3
Art. 77
Coopération internationale
Les services visés à l'art. 74, al. 5, peuvent échanger avec des services étrangers ou internationaux chargés de la protection d'infrastructures critiques des données au sens de l'art. 75 lorsqu'elles sont nécessaires pour accomplir des tâches correspondant à celles définies à l'art. 74.
1
L'échange de données au sens de l'al. 1 n'est autorisé que si les services étrangers ou internationaux garantissent que les données seront utilisées exclusivement aux fins prévues à l'al. 1.
2
19 20
RS 784.10 RS 235.1
9690
L sur la sécurité de l'information
FF 2020
Si les données sont nécessaires à l'exécution d'une procédure à l'étranger, les dispositions régissant l'assistance administrative et l'entraide judiciaire sont applicables.
3
Art. 78
Système d'information pour le soutien aux infrastructures critiques
Les services visés à l'art. 74, al. 5, exploitent un système d'information permettant d'échanger en toute sécurité des informations avec les exploitants des infrastructures critiques.
1
2
Le système contient les informations suivantes: a.
description et évaluation des menaces et dangers;
b.
consignes sur l'identification et la résolution techniques des incidents;
c.
analyses des incidents et recommandations pour la sécurité;
d.
analyses des vulnérabilités que présentent les moyens informatiques;
e.
correspondance.
Les informations visées à l'al. 2 peuvent contenir des données personnelles au sens de l'art. 75.
3
Art. 79
Conservation et archivage des données
Les services visés à l'art. 74, al. 5, conservent les données personnelles aussi longtemps que celles-ci sont utiles pour prévenir des dangers ou pour identifier des incidents, mais cinq ans au plus.
1
L'archivage des données est régi par les dispositions de la législation relative à l'archivage.
2
Art. 80
Dispositions édictées par le Conseil fédéral
Le Conseil fédéral règle: a.
la répartition des tâches, la collaboration et les échanges entre les services visés à l'art. 74, al. 5, et le SRC;
b.
les modalités de la communication d'informations aux exploitants d'infrastructures critiques, à des tiers et aux services étrangers et internationaux;
c.
les responsabilités en matière de protection des données traitées dans le système d'information visé à l'art. 78 et la sécurité des données;
d.
les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles dans le système d'information visé à l'art. 78.
9691
L sur la sécurité de l'information
Chapitre 6 Section 1
Organisation et exécution Organisation
Art. 81
Préposés à la sécurité de l'information
FF 2020
Les autorités et organisations suivantes désignent, chacune dans son domaine de compétence, un préposé à la sécurité de l'information et un suppléant: 1
2
a.
le Conseil fédéral;
b.
la Délégation administrative de l'Assemblée fédérale;
c.
les tribunaux de la Confédération;
d.
le Ministère public de la Confédération;
e.
la Banque nationale suisse;
f.
les départements et la Chancellerie fédérale.
Les préposés à la sécurité de l'information accomplissent les tâches suivantes: a.
conseiller et aider dans leur domaine les services compétents dans l'accomplissement des tâches et l'exécution des obligations qui leur incombent en vertu de la présente loi;
b.
diriger, sur mandat de l'autorité ou de l'organisation à laquelle ils sont subordonnés, l'organisation spécialisée chargée de la sécurité de l'information et la gestion des risques;
c.
vérifier, sur mandat de l'autorité ou de l'organisation à laquelle ils sont subordonnés, le respect des prescriptions relatives à la sécurité de l'information, en rendre compte et proposer les mesures qui s'imposent;
d.
signaler, sur une base volontaire, les incidents dans le domaine de la sécurité de l'information au service spécialisé de la Confédération pour la sécurité de l'information et aux services visés à l'art. 74, al. 5.
Aucune tâche susceptible d'entrer en conflit avec l'une des tâches visées à l'al. 2 ne peut être confiée aux préposés à la sécurité de l'information.
3
Art. 82
Conférence des préposés à la sécurité de l'information
La Conférence des préposés à la sécurité de l'information se compose des préposés à la sécurité de l'information au sens de l'art. 81, al. 1, de deux représentants des cantons et du Préposé fédéral à la protection des données et à la transparence.
1
2
Elle accomplit les tâches suivantes: a.
promouvoir l'exécution uniforme de la présente loi;
b.
contribuer à la normalisation des exigences et mesures visées à l'art. 85;
c.
conseiller le service spécialisé de la Confédération pour la sécurité de l'information sur tous les aspects de la coordination de l'exécution et sur tous les points d'importance stratégique;
9692
L sur la sécurité de l'information
3
d.
veiller à l'échange d'informations, notamment sur la gestion des risques et sur les problèmes et les incidents dans le domaine de la sécurité de l'information;
e.
assurer la coordination avec les autres services qui accomplissent des tâches dans le domaine de la sécurité de l'information.
Elle édicte son règlement interne.
Art. 83 1
FF 2020
Service spécialisé de la Confédération pour la sécurité de l'information
Le service spécialisé de la Confédération pour la sécurité de l'information: a.
conseille et soutient les autorités soumises à la présente loi, leurs préposés à la sécurité de l'information et les cantons dans l'exécution de la présente loi;
b.
peut recommander des mesures si la sécurité de l'information de la Confédération est menacée;
c.
peut mener des contrôles à la demande des autorités soumises à la présente loi;
d.
peut évaluer, à la demande des autorités soumises à la présente loi, les risques liés à l'utilisation de nouvelles technologies;
e.
peut examiner, à la demande des autorités et organisations soumises à la présente loi, l'adéquation de leurs processus, moyens, installations, objets et prestations par rapport aux exigences en matière de sécurité de l'information;
f.
peut gérer et coordonner, à la demande des autorités soumises à la présente loi, les questions liées à la sécurité de l'information lorsque des projets importants impliquent plusieurs autorités;
g.
sert d'interlocuteur pour les contacts spécialisés avec des services nationaux, étrangers ou internationaux;
h.
rend compte chaque année au Conseil fédéral de la situation en matière de sécurité de l'information au sein de la Confédération.
Le préposé du Conseil fédéral à la sécurité de l'information dirige le service spécialisé de la Confédération pour la sécurité de l'information.
2
Le Conseil fédéral règle l'organisation du service spécialisé de la Confédération pour la sécurité de l'information. Il peut le charger d'autres tâches pour le compte de l'administration fédérale ou de l'armée.
3
9693
L sur la sécurité de l'information
Section 2
Exécution
Art. 84
Dispositions d'exécution
FF 2020
Les autorités soumises à la présente loi édictent les dispositions d'exécution. Le Conseil fédéral peut charger la Chancellerie fédérale d'édicter des dispositions d'exécution pour les affaires du Conseil fédéral.
1
Les compétences que la présente loi donne aux autorités soumises à la présente loi sont exercées, pour l'Assemblée fédérale, par la Délégation administrative de l'Assemblée fédérale.
2
Les dispositions d'exécution du Conseil fédéral s'appliquent par analogie aux autorités soumises à la présente loi si elles n'édictent pas leurs propres dispositions d'exécution.
3
Art. 85
Exigences et mesures standard
Le Conseil fédéral fixe des exigences standard en matière de sécurité et définit des mesures standard en matière d'organisation, de personnel et de construction, de même que sur le plan technique, pour assurer la sécurité de l'information; il suit à cet effet l'avancement des connaissances et de la technique.
1
2
Il peut déléguer cette tâche.
Les exigences et mesures standard du Conseil fédéral ont valeur de recommandations, sauf si les autorités soumises à la présente loi les déclarent obligatoires.
3
Art. 86
Cantons
Les cantons veillent au contrôle périodique de la mise en oeuvre et de l'efficacité de la sécurité de l'information visée à l'art. 3.
1
Ils informent le service spécialisé de la Confédération pour la sécurité de l'information des résultats des contrôles visés à l'al. 1.
2
Ils désignent le service qui est l'interlocuteur des autorités soumises à la présente loi en matière de sécurité de l'information.
3
Le Conseil fédéral définit les cas dans lesquels les cantons peuvent recourir aux prestations des services spécialisés visés par la présente loi afin d'assurer leur propre sécurité de l'information. Ces prestations sont soumises à des émoluments. Leur montant est fixé par le Conseil fédéral.
4
Art. 87
Traités internationaux
Le Conseil fédéral peut conclure des traités internationaux en matière de sécurité de l'information portant sur les objets suivants: a.
l'échange d'informations sur des menaces, des vulnérabilités et des incidents dans le domaine de la sécurité de l'information, en particulier dans les infrastructures critiques;
b.
l'échange d'informations classifiées;
9694
L sur la sécurité de l'information
FF 2020
c.
l'exécution des contrôles de sécurité relatifs aux personnes et des procédures de sécurité relatives aux entreprises;
d.
la reconnaissance des déclarations de sécurité;
e.
l'exécution de contrôles.
Art. 88
Évaluation
Le Conseil fédéral veille à ce que l'exécution, l'adéquation, l'efficacité et l'économicité de la présente loi soient contrôlés périodiquement par un service indépendant, en particulier par le Contrôle fédéral des finances.
1
Il en rend compte régulièrement aux commissions compétentes de l'Assemblée fédérale.
2
Chapitre 7
Dispositions finales
Art. 89
Modification d'autres actes
La modification d'autres actes est réglée en annexe 1.
Art. 90
Dispositions transitoires
Les informations classifiées selon l'ancien droit sont adaptées aux règles de classification du nouveau droit dès leur premier traitement faisant suite à l'entrée en vigueur de la présente loi.
1
Les moyens informatiques doivent être classés dans un délai de deux ans à compter de l'entrée en vigueur de la présente loi. Les mesures techniques visant à assurer la sécurité de l'information doivent être mises en place dans un délai de six ans à compter de l'entrée en vigueur de la présente loi.
2
Les déclarations relatives à la sécurité des personnes et les déclarations relatives à la sécurité des entreprises rendues selon l'ancien droit sont valables cinq ans à compter de leur établissement.
3
Art. 91
Dispositions de coordination
La coordination de la présente loi avec d'autres actes est réglée dans l'annexe 2.
9695
L sur la sécurité de l'information
Art. 92
FF 2020
Référendum et entrée en vigueur
1
La présente loi est sujette au référendum.
2
Le Conseil fédéral fixe la date de l'entrée en vigueur.
Conseil des Etats, 18 décembre 2020
Conseil national, 18 décembre 2020
Le président: Alex Kuprecht La secrétaire: Martina Buol
Le président: Andreas Aebi Le secrétaire: Pierre-Hervé Freléchoz
Date de publication: 31 décembre 202021 Délai référendaire: 10 avril 2021
21
FF 2020 9665
9696
L sur la sécurité de l'information
FF 2020
Annexe 1 (art. 89)
Modification d'autres actes Les actes mentionnés ci-après sont modifiés comme suit:
1. Loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure22 Art. 2, al. 2, let. a Abrogée Section 4 (art. 19 à 21) Abrogée Art. 24a, al. 7, 1re phrase Le système d'information peut être consulté en ligne par les services de fedpol chargés de l'exécution de la présente loi, par les autorités de police des cantons, par l'Observatoire suisse du hooliganisme (observatoire), par les autorités douanières et par les services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information23. ...
7
2. Loi fédérale du 25 septembre 2015 sur le renseignement24 Art. 6, al. 1, let. a, chiff. 4 1
Le SRC recherche et traite des informations dans les buts suivants: a.
22 23 24
déceler à temps et prévenir les menaces que représentent pour la sûreté intérieure ou extérieure: 4. les attaques contre l'approvisionnement en eau potable et en énergie, les infrastructures d'information, de communication, et de transports ainsi que d'autres installations, processus et systèmes essentiels au fonctionnement de l'économie et au bien-être de la population (infrastructures critiques),
RS 120 RS 126 RS 121
9697
L sur la sécurité de l'information
FF 2020
Art. 51, al. 4, let. d 4
Les personnes suivantes ont accès en ligne aux données ci-après du système: d.
les collaborateurs des services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information25: les données visées à l'al. 3, let. a, en vue d'exécuter les contrôles de sécurité relatif aux personnes, les contrôles de loyauté et l'évaluation du potentiel de violence.
3. Loi du 26 juin 1998 sur l'asile (LAsi)26 Art. 29a
Contrôle de loyauté
Le SEM peut faire contrôler la loyauté des interprètes et des traducteurs avant ou durant les rapports de travail.
1
Les services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)27 réalisent les contrôles de loyauté. Les dispositions de la LSI relatives au contrôle de sécurité de base s'appliquent par analogie.
2
Lorsque les interprètes et les traducteurs sont soumis simultanément à un contrôle de sécurité au sens de la LSI, les deux procédures sont combinées.
3
4
Les coûts des contrôles de loyauté sont à la charge du SEM.
Art. 29b Ex- Art. 29a
4. Loi fédérale du 24 mars 2000 sur le personnel de la Confédération28 Art. 20a
Extrait du casier judiciaire et du registre des poursuites
L'employeur peut exiger des candidats à un poste et de ses employés qu'ils produisent un extrait de leur casier judiciaire et du registre des poursuites, si cela est nécessaire pour préserver ses intérêts.
25 26 27 28
RS 126 RS 142.31 RS 126 RS 172.220.1
9698
L sur la sécurité de l'information
Art. 20b
FF 2020
Contrôle de loyauté
Les employeurs au sens de l'art. 3, al. 1, let. a, b, et e à g, et al. 3, peuvent faire contrôler la loyauté des candidats à un poste et de leurs employés dans les cas suivants: 1
2
a.
les personnes concernées sont régulièrement appelées à représenter la Suisse à l'étranger dans le cadre de leur fonction et pourraient porter à ce titre une atteinte considérable à l'image de la Confédération;
b.
les personnes concernées sont appelées à exercer dans le cadre de leur fonction des compétences décisionnelles ou des tâches de surveillance dans d'importantes affaires financières ou fiscales et pourraient porter à ce titre une atteinte considérable aux intérêts financiers de la Confédération.
c.
les personnes concernées sont appelées à exercer, dans le cadre de leurs fonctions, des tâches relevant de la poursuite pénale ou des tâches policières et pourraient porter à ce titre une atteinte considérable à l'intérêt public de la Confédération, en particulier à la sécurité de l'administration fédérale.
Ils limitent le contrôle au strict nécessaire.
Les services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)29 réalisent le contrôle. Les dispositions de la LSI relatives au contrôle de sécurité s'appliquent par analogie.
3
Lorsque les candidats à un poste et les employés sont soumis simultanément à un contrôle de sécurité au sens de la LSI, les deux procédures sont combinées.
4
5. Code de procédure civile30 Art. 166, al. 1, let. c 1
Tout tiers peut refuser de collaborer: c.
29 30
à l'établissement de faits qui lui ont été confiés en sa qualité officielle de fonctionnaire au sens de l'art. 110, al. 3, CP ou de membre d'une autorité, ou dont il a eu connaissance dans l'exercice de ses fonctions ou de son activité auxiliaire pour un fonctionnaire ou une autorité; il doit collaborer s'il est soumis à une obligation de dénoncer ou si l'autorité dont il relève l'y a habilité;
RS 126 RS 272
9699
L sur la sécurité de l'information
FF 2020
6. Loi fédérale du 4 décembre 1947 de procédure civile fédérale31 Art. 42, al. 3 Les fonctionnaires et leurs auxiliaires ne sont tenus de témoigner sur des faits dont ils ont eu connaissance dans l'exercice de leurs fonctions ou de leur activité auxiliaire que dans les limites du droit administratif fédéral ou cantonal.
3
7. Code pénal32 Art. 320 Violation du secret de fonction
1. Quiconque révèle un secret à lui confié en sa qualité de membre d'une autorité ou de fonctionnaire, ou dont il a eu connaissance à raison de sa charge ou de son emploi ou en tant qu'auxiliaire d'une autorité ou d'un fonctionnaire, est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
La révélation demeure punissable alors même que la charge ou l'emploi ou l'activité auxiliaire a pris fin.
2. La révélation n'est pas punissable si elle est faite avec le consentement écrit de l'autorité supérieure.
Art. 365, al. 2, let. d Le casier sert les autorités fédérales et cantonales dans l'accomplissement des tâches suivantes: 2
d.
évaluation du risque pour la sécurité dans le cadre des contrôles de sécurité relatifs aux personnes au sens de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)33 et des contrôles de loyauté au sens de la législation spéciale;
Art. 367, al. 2, let. i, 2bis, let. b, et 4 Les données personnelles relatives aux jugements visés à l'art. 366, al. 1, 2 et 3, let. a et b, peuvent être consultées en ligne par les autorités suivantes: 2
i.
31 32 33 34
RS 273 RS 311.0 RS 126 RS 126
9700
les services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, LSI34 (services spécialisés CSP);
L sur la sécurité de l'information
FF 2020
Les données personnelles relatives aux jugements visés à l'art. 366, al. 3, let. c, peuvent aussi être consultées en ligne par les autorités suivantes: 2bis
b.
les services spécialisés CSP;
Les données personnelles relatives aux procédures en cours ne peuvent être traitées que par les autorités visées à l'al. 2, let. a à e, i, j, l et m.
4
8. Code de procédure pénale35 Art. 170, al. 1 Les fonctionnaires au sens de l'art. 110, al. 3, CP36 ainsi que leurs auxiliaires et les membres des autorités ainsi que leurs auxiliaires peuvent refuser de témoigner sur les secrets qui leur ont été confiés en leur qualité officielle ou dont ils ont eu connaissance dans l'exercice de leur fonction, de leur charge ou de leur activité auxiliaire.
1
9. Code pénal militaire du 13 juin 192737 Art. 77 Violation du secret de service
1. Quiconque révèle un secret à lui confié en sa qualité de militaire ou de fonctionnaire, ou dont il a eu connaissance à raison de sa situation militaire ou de sa fonction ou en tant qu'auxiliaire d'un tel détenteur de secret, est puni d'une peine privative de liberté de trois ans au plus ou d'une peine pécuniaire.
L'infraction est punie disciplinairement si elle est de peu de gravité.
2. La révélation demeure punissable alors même que la situation militaire ou la fonction ou l'activité auxiliaire a pris fin.
10. Procédure pénale militaire du 23 mars 197938 Art. 77, al. 2 Les fonctionnaires et leurs auxiliaires ne peuvent être entendus comme témoins sur un secret de fonction (art. 320 CP39) ou astreints à produire des documents officiels 2
35 36 37 38 39
RS 312.0 RS 311.0 RS 321.0 RS 322.1 RS 311.0
9701
L sur la sécurité de l'information
FF 2020
qu'avec le consentement de l'autorité supérieure. Au surplus, les prescriptions du droit administratif fédéral et cantonal sont applicables.
11. Loi fédérale du 13 juin 2008 sur les systèmes d'information de la police de la Confédération40 Art. 15, al. 4, let. f Abrogée Art. 17, al. 4, phrase introductive et let. l 4
Ont accès en ligne à ces données: l.
les services spécialisés chargés des contrôles de sécurité relatifs à des personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)41, afin d'évaluer le risque pour la sécurité dans le cadre d'un contrôle de sécurité relatif aux personnes, d'un contrôle de loyauté ou d'une évaluation du potentiel de violence.
12. Loi du 3 février 1995 sur l'armée42 Art. 1, al. 2, let c Lorsque les moyens des autorités civiles en Suisse ne suffisent plus, elle leur apporte son appui aux fins suivantes: 2
c.
assurer la protection de personnes ou la protection de biens particulièrement dignes de protection, en particulier l'approvisionnement en eau potable et en énergie, les infrastructures d'information, de communication et de transports ainsi que d'autres installations, processus et systèmes essentiels au fonctionnement de l'économie et au bien-être de la population (infrastructures critiques);
Art. 14 1
Contrôle de loyauté
La loyauté des militaires peut être contrôlée dans les cas suivants:
40 41 42
a.
ils sont régulièrement appelés à représenter la Suisse à l'étranger dans le cadre de leur fonction et pourraient porter à ce titre une atteinte considérable à l'image de la Confédération;
b.
ils sont appelés à exercer, dans le cadre de leur fonction, des compétences décisionnelles ou des tâches de surveillance dans d'importantes affaires fi-
RS 361 RS 126 RS 510.10
9702
L sur la sécurité de l'information
FF 2020
nancières ou fiscales et pourraient porter à ce titre une atteinte considérable aux intérêts financiers de la Confédération.
Le Conseil fédéral désigne les fonctions soumises au contrôle. Il s'en tient au strict nécessaire.
2
Les services spécialisés chargés des contrôles de sécurité relatifs à des personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)43 réalisent le contrôle de loyauté. La procédure est régie par les dispositions de la LSI relatives au contrôle de sécurité, qui s'appliquent par analogie.
3
Lorsque les militaires sont soumis simultanément à un contrôle de sécurité au sens de la LSI, les deux procédures sont combinées.
4
Art. 113, al. 6 La procédure est régie par les dispositions relatives au contrôle de sécurité de base au sens de l'art. 30, let. a, LSI44, qui s'appliquent par analogie. Si un contrôle de sécurité de base doit être réalisé simultanément pour d'autres motifs, les deux procédures sont combinées.
6
Art. 150, al. 4 Abrogé
13. Loi fédérale du 3 octobre 2008 sur les systèmes d'information de l'armée45 Art. 14, al. 1, let. gbis et m Le SIPA contient les données ci-après sur les conscrits, les personnes astreintes au service militaire, ainsi que les civils pris en charge par la troupe ou qui participent à un engagement de l'armée de durée déterminée: 1
gbis. les données relatives au contrôle de loyauté au sens de l'art. 14 de la loi du 3 février 1995 sur l'armée (LAAM)46, y compris la décision.
m. les données sur les procédures pénales menées contre des militaires ou des conscrits et les annonces visées à l'art. 113, al. 7 et 8, de la LAAM si des signes ou des indices sérieux laissent présumer que la personne concernée pourrait utiliser son arme personnelle de manière dangereuse, pour ellemême ou pour un tiers.
Chapitre 5, sections 1 et 2 (art. 144 à 155) Abrogées 43 44 45 46
RS 126 RS 126 RS 510.91 RS 510.10
9703
L sur la sécurité de l'information
FF 2020
14. Loi du 21 mars 2003 sur l'énergie nucléaire47 Art. 5, al. 3 et 3bis Des mesures de sûreté doivent être prises pour empêcher des tiers d'attenter à la sécurité des installations et des matières nucléaires et pour empêcher que des matières nucléaires puissent être dérobées.
3
La classification et le traitement des informations sont régis par les dispositions de la législation sur la sécurité de l'information au sein de la Confédération.
3bis
15. Loi du 23 mars 2007 sur l'approvisionnement en électricité48 Art. 20a
Contrôle de loyauté
Les personnes auxquelles la société nationale du réseau de transport attribue des fonctions critiques ou extrêmement critiques sont périodiquement soumises à un contrôle de loyauté visant à évaluer le risque pour la sécurité.
1
Le Conseil fédéral désigne les groupes de personnes soumises au contrôle. Il s'en tient au strict nécessaire.
2
Les services spécialisés chargés des contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information49 réalisent le contrôle. La procédure est régie par les dispositions de cette loi relatives au contrôle de sécurité, qui s'appliquent par analogie.
3
La société nationale du réseau de transport demande que le contrôle soit effectué.
Le résultat du contrôle lui est communiqué et brièvement motivé.
4
16. Loi du 17 juin 2016 sur le casier judiciaire50 Art. 46, let. e Les autorités raccordées suivantes peuvent consulter en ligne toutes les données figurant sur l'extrait 2 destiné aux autorités (art. 38), lorsqu'elles leur sont nécessaires pour accomplir les tâches mentionnées ci-après: e.
47 48 49 50 51
les services spécialisés qui mènent les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information (LSI)51: 1. pour évaluer le risque dans le cadre de contrôles de sécurité relatifs aux personnes au sens de la LSI, RS 732.1 RS 734.7 RS 126 RS 330; FF 2016 4703 RS 126
9704
L sur la sécurité de l'information
2.
3.
FF 2020
pour évaluer le potentiel d'abus ou de dangerosité au sens de la loi du 3 février 1995 sur l'armée52, pour évaluer le risque dans le cadre d'autres contrôles prévus dans la législation spéciale;
Art. 51, let. f Abrogée Art. 59 Communication au Groupement Défense 1 Le Service du casier judiciaire communique sans délai au Groupement Défense, aux fins énumérées à l'al. 2, les données suivantes concernant des conscrits et des militaires, dès leur saisie dans VOSTRA:
2
a.
les jugements suisses pour crime ou délit;
b.
les jugements étrangers;
c.
les mesures entraînant une privation de liberté;
d.
les décisions relatives à l'échec de la mise à l'épreuve.
Le Groupement Défense peut utiliser les données communiquées: a.
pour prendre les décisions de non-recrutement, d'admission au recrutement, d'exclusion de l'armée ou de réintégration dans l'armée, de dégradation, et pour examiner l'aptitude à une promotion ou une nomination, en application de la LAAM53;
b.
pour examiner les motifs empêchant la remise de l'arme personnelle, en application de la LAAM.
La communication a lieu par une interface électronique entre le système d'information sur le personnel de l'armée et de la protection civile (SIPA) et VOSTRA. Les données visées à l'al. 1 sont sélectionnées et transmises de manière automatisée sur la base du numéro AVS de la personne concernée.
3
52 53
RS 510.10 RS 510.10
9705
L sur la sécurité de l'information
FF 2020
Annexe 2 (art. 91)
Dispositions de coordination
1. Loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI) Quel que soit l'ordre dans lequel la présente modification de la LMSI54 (annexe 1, ch. 1) et la modification de la LMSI dans le cadre de la loi fédérale du 25 septembre 2020 sur les mesures policières de lutte contre le terrorisme55 (ch. I 1) entrent en vigueur, à l'entrée en vigueur du second de ces actes ou à leur entrée en vigueur simultanée, la disposition ci-après aura la teneur suivante: Art. 24a, al. 7, 1re phrase Le système d'information peut être consulté en ligne par les services de fedpol chargés de l'exécution de la présente loi, par les autorités de police des cantons, par l'AFD et par les services spécialisés chargés de réaliser les contrôles de sécurité relatifs aux personnes au sens de l'art. 31, al. 2, de la loi du 18 décembre 2020 sur la sécurité de l'information56. ...
7
2. Loi du 24 mars 2000 sur le personnel de la Confédération (LPers) Quel que soit l'ordre dans lequel la présente modification de la LPers57 (annexe 1, ch. 4) et la modification de la LPers dans le cadre de la loi du 17 juin 2016 sur le casier judiciaire58 (annexe 1, ch. 1) entrent en vigueur, à l'entrée en vigueur du second de ces actes ou à leur entrée en vigueur simultanée, la disposition ci-après aura la teneur suivante: Art. 20a
Extrait du casier judiciaire et du registre des poursuites
L'employeur peut exiger des candidats à un poste et de ses employés qu'ils produisent un extrait de leur casier judiciaire et du registre des poursuites, si cela est nécessaire pour préserver ses intérêts.
54 55 56 57 58
RS 120 FF 2020 7499 RS 126 RS 172.220.1 RS 330; FF 2016 4703
9706
L sur la sécurité de l'information
FF 2020
3. Code pénal (CP) A l'entrée en vigueur de la loi du 17 juin 2016 sur le casier judiciaire59, les dispositions ci-après du CP (annexe 1, ch. 7)60 auront la teneur suivante: Art. 365, al. 2, let. d Sans objet ou abrogés Art. 367, al. 2, let. i et 2bis, let. b ainsi que 4 Sans objet ou abrogés
4. Loi du 17 juin 2016 sur le casier judiciaire (LCJ) A l'entrée en vigueur de LCJ61, la disposition suivante de la loi du 18 décembre 2020 sur la sécurité de l'information62 aura la teneur suivante: Art. 45, al. 6, let. a Les données visées à l'al. 4 peuvent être collectées automatiquement et systématiquement en ligne dans les systèmes d'information suivants: 6
a.
casier judiciaire informatique au sens de la loi du 17 juin 2016 sur le casier judiciaire63;
5. Loi du 25 septembre 2020 sur la protection des données (LPD) A l'entrée en vigueur de la LPD64, les dispositions ci-après de la loi du 18 décembre 2020 sur la sécurité de l'information65 auront la teneur suivante: Art. 44, al. 2 Les restrictions à la communication de renseignements sont régies par l'art. 26 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD)66.
2
59 60 61 62 63 64 65 66
RS 330; FF 2016 4703 RS 311.11 RS 330; FF 2016 4703 RS 126 RS 330 RS 235.1; FF 2020 7397 RS 126 RS 235.1; FF 2020 7397
9707
L sur la sécurité de l'information
FF 2020
Art. 45, al. 3 Les données sensibles au sens de l'art. 5, let. c, LPD67 peuvent être traités dans le système d'information dans la mesure où elles sont nécessaires à l'évaluation du risque pour la sécurité.
3
Art. 69, al. 2 Les restrictions à la communication de renseignements sont régies par l'art. 26 LPD68.
2
Art. 70, al. 2 Les données sensibles et au sens de l'art. 5, let. c, LPD69 peuvent être traitées dans le système d'information dans la mesure où elles sont nécessaires à l'exécution de la procédure.
2
Art. 75, al. 4, deuxième phrase 4 ...
L'art. 20 LPD70 est réservé.
6. Loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP) Quel que soit l'ordre dans lequel la modification de la LSIP71 (annexe 1, ch. 11) et la modification de la LSIP dans le cadre de l'arrêté fédéral portant approbation et mise en oeuvre des échanges de notes entre la Suisse et l'UE concernant la reprise des bases légales concernant l'établissement, le fonctionnement et l'utilisation du système d'information Schengen(SIS)72 (annexe 1, ch. 5), à l'entrée en vigueur du second de ces actes ou à leur entrée en vigueur simultanée, la disposition ci-après aura la teneur suivante: Art. 15, al. 4, let. f Abrogée
67 68 69 70 71 72
RS 235.1; FF 2020 7397 RS 235.1; FF 2020 7397 RS 235.1; FF 2020 7397 RS 235.1; FF 2020 7397 RS 361 FF 2020...
9708