Face à la numérisation croissante, la sécurité de l’information et la cybersécurité jouent un rôle toujours plus important. Dans le même temps, la cybercriminalité augmente et les systèmes informatiques sont exposés à d’innombrables attaques à tous les niveaux. Jusqu’ici, la réglementation légale en matière de sécurité de l’information et de cybersécurité dans l’administration n’était que très parcellaire. La nouvelle loi sur la sécurité de l’information et la cybersécurité (LSIC) vient combler ces lacunes. Parmi ses principales nouveautés figurent des règles sur la gestion des risques, la classification des informations et d’outils TIC ainsi que le contrôle de sécurité relatif aux personnes. Le canton de Berne entend ainsi garantir un niveau de sécurité de l’information équivalent à celui de la Confédération et fait figure de pionnier parmi les cantons dans ce domaine.
La Commission des institutions politiques et des relations extérieures (CIRE) a examiné la LSIC en vue de la première lecture de cette affaire au Grand Conseil, prévue pour la session d’hiver 2024. Elle reconnaît l’importance de la sécurité de l’information et de la cybersécurité et salue la volonté d’établir une réglementation légale uniforme. Elle émet toutefois quelques réserves sur le projet de loi.
Des répercussions importantes sur les communes
En principe, la loi ne s’applique aux communes que lorsque celles-ci traitent des informations ou utilisent des systèmes informatiques de la Confédération ou du canton. Elle estime toutefois que les répercussions sur les communes sont lourdes, car toutes les autorités cantonales et communales utilisent des outils informatiques interconnectés. La CIRE redoute que les petites communes ne disposent pas des capacités nécessaires pour mettre en œuvre les exigences légales par leurs propres moyens. Elle demande donc que le canton mette à disposition des communes des offres de formation et de conseil adaptées, si nécessaire à titre payant.
Une réglementation insuffisante des contrôles de sécurité relatifs aux personnes
Les contrôles de sécurité relatifs aux personnes doivent notamment permettre aux autorités de constater si une personne a des antécédents judiciaires entachant sa probité ou si elle a des dettes qui en font une cible de chantage. D’après la proposition du Conseil-exécutif, il incombe à chaque autorité de désigner, sur la base de son évaluation des risques, les personnes qu’elle veut soumettre à un contrôle de sécurité relatif aux personnes ainsi que de déterminer la fréquence des contrôles et les données qu’elle souhaite recueillir à cette fin. La commission estime que des prescriptions légales concrètes supplémentaires devraient être édictées sur les autorités chargées des contrôles, sur les personnes à contrôler et sur la fréquence des contrôles. Elle propose donc au Grand Conseil de renvoyer la disposition concernée au Conseil-exécutif afin qu’il élabore une réglementation appropriée en vue de la deuxième lecture du projet.
Mettre à disposition les ressources nécessaires
Contrairement au Conseil-exécutif, la CIRE estime que des ressources supplémentaires sont nécessaires à la mise en œuvre de la loi. De son point de vue, la mise en place d’une organisation de sécurité efficace et efficiente ne devrait pas échouer à cause d’un manque de ressources. Elle enjoint donc au Grand Conseil de libérer les moyens nécessaires en temps voulu.
Tenir compte des particularités du parlement
Le Grand Conseil doit lui aussi être soumis à la LSIC. Toutefois, comme le fonctionnement du Grand Conseil se distingue de celui du reste de l’administration cantonale, la CIRE demande l’introduction d’une règle d’exception octroyant au Grand Conseil la possibilité d’adopter, pour lui-même, des dispositions d’exécution dérogatoires. Les particularités du parlement seraient ainsi prises en compte.