Renforcer la sécurité de l’information à la Confédération : le Conseil fédéral lance la révision de la loi
Berne, 06.05.2026 — Le Conseil fédéral veut développer la loi sur la sécurité de l’information. Les dispositions ayant conduit à des incertitudes d’application devront être précisées. Il s’agira également de tenir compte des nouveaux besoins, par exemple en ce qui concerne la classification et les listes des fonctions. Le Conseil fédéral a donc chargé le DDPS, lors de sa séance du 6 mai 2026, d’élaborer un projet de révision de la loi destiné à la consultation.
La récente loi sur la sécurité de l’information (LSI), entrée en vigueur le 1er janvier 2024, régit la protection de l’information et la cybersécurité des autorités fédérales. Elle fixe des exigences contraignantes concernant l’utilisation sûre des informations et des systèmes d’information et vise à empêcher les risques que constituent les cyberattaques, l’espionnage, le sabotage et les pertes non intentionnelles d’informations. Une sécurité de l’information efficace protège les données par exemple en cas de cyberattaques dirigées contre des services fédéraux ou des entreprises travaillant avec des données de la Confédération. La LSI contribue de manière essentielle à la capacité d’action numérique et opérative de la Confédération et à la sécurité intérieure et extérieure de la Suisse.
La LSI a permis de lancer de nombreuses mesures pour renforcer systématiquement et durablement la sécurité de l’information de la Confédération. La réforme du droit fédéral, encore récent, sur la sécurité de l’information n’est toutefois pas encore terminée. Certaines dispositions se sont révélées difficiles à mettre en œuvre, parfois avant même l’entrée en vigueur de la loi le 1er janvier 2024. De plus, de nouveaux besoins ont été identifiés, par exemple en ce qui concerne le traitement des données lors des contrôles de sécurité relatifs aux personnes. La LSI doit donc être remaniée ponctuellement et être modifiée à la lumière de son application concrète.
Préciser le champ d’application
La LSI s’applique aussi expressément aux cantons qui accèdent aux informations classifiées de la Confédération ou à ses moyens informatiques. Il s’agira de régler clairement que la LSI est également valable pour les communes et les organisations de droit cantonal lorsqu’elles accèdent par exemple à des données de la Confédération dans le cadre du contrôle des habitants ou des services de migration et de police. Cette intégration permet de prendre en compte la sécurité de l’information tout au long des compétences fédérales.
Simplifier la mise à jour des listes des fonctions
La révision permettra d’adapter plus rapidement et plus facilement les listes des fonctions utiles aux contrôles de sécurité relatifs aux personnes en cas de changements structurels. Il s’agit notamment d’examiner si, au lieu du Conseil fédéral, les départements, voire les offices fédéraux, pourraient établir et adapter les listes des fonctions. Il serait ainsi possible de procéder plus rapidement et efficacement aux mises à jour nécessaires.
Revoir les classifications
La LSI a repris les éléments (INTERNE, CONFIDENTIEL et SECRET) de l’ancien système de classification. L’expérience a montré que la protection des informations qui sont aujourd’hui classifiées INTERNE devait être améliorée. En outre, d’importants partenaires étrangers attribuent aujourd’hui plus souvent l’échelon de classification SECRET que CONFIDENTIEL à leurs informations. Des exigences de sécurité plus strictes compliquent la coopération internationale et provoquent des coûts supplémentaires considérables pour la Suisse.
Dans ce contexte, le mandat de révision prévoit de reconsidérer le système fédéral de classification. Les désignations des échelons de classification et leur compatibilité au niveau international seront examinées pour aboutir à un système uniforme pour toute la Confédération. Le Conseil fédéral décidera ensuite des différentes options possibles.
Examiner la protection pénale des informations classifiées
La LSI avait donné lieu à une adaptation des critères de classification des informations. Les définitions du nouveau droit s’écartent toutefois partiellement des dispositions en vigueur qui garantissent la protection pénale des informations classifiées. Dans la foulée des travaux de révision, l’opportunité d’harmoniser ces dispositions pénales avec la LSI sera considérée en vue d’éviter de créer une lacune sur le plan pénal.
La cyberrésilience est traitée séparément
La LSI régit également les principales tâches de la Confédération visant à augmenter la cybersécurité de la Suisse, dont l’obligation de signaler les cyberattaques ciblant les infrastructures critiques, obligation qui relève du domaine de compétence de l’Office fédéral de la cybersécurité (OFCS). Le Conseil fédéral a décidé en été 2025 de renforcer la cyberrésilience des produits numériques. Il a chargé l’OFCS d’élaborer un projet de loi en collaboration avec l’Office fédéral de la communication et le Secrétariat d’État à l’économie d’ici l’automne 2026. Les thèmes concernés par le projet législatif sur la cyberrésilience ne sont pas l’objet de la présente révision de la LSI.
Procédure et calendrier
La révision de la LSI sera préparée par un groupe de travail dirigé par le SEPOS et avec la participation de la Chancellerie fédérale et des départements. D’autres autorités fédérales et des cantons seront associés aux travaux. La procédure de consultation de la révision de la LSI est prévue pour l’été 2027.
- Communiqué de presse du Conseil fédéral du 8 novembre 2023: Le Conseil fédéral fixe l’entrée en vigueur de la loi sur la sécurité de l’information
- Communiqué de presse du Conseil fédéral du 20 août 2025: Le Conseil fédéral souhaite renforcer la cyberrésilience des produits numériques
- Communiqué de presse du Conseil fédéral du 3 septembre 2025: Sécurité de l’information au sein de l’administration fédérale : pas d’incidents graves en 2024