Vos données face à la loi sur la sécurité de l’information suisse
La protection de vos données personnelles par les autorités locales prend un nouveau tournant avec la révision de la loi sur la sécurité de l’information suisse. Si vous avez récemment déposé une déclaration fiscale, transmis un certificat médical à une administration ou sollicité un permis de construire, vous vous interrogez certainement sur la manière dont ces documents sont stockés et protégés. Face à la multiplication des cyberattaques ciblant les administrations publiques, le traitement sécurisé de vos informations par les communes et les cantons devient une priorité absolue. Le Conseil fédéral a constaté des lacunes majeures dans l’application du texte initial, entré en vigueur au début de l’année 2024. Il a donc ouvert, le 6 mai 2026, une consultation pour proposer des correctifs rapides. Comprendre ces changements vous aide à mieux maîtriser votre sphère privée face aux autorités et à savoir comment réagir en cas de faille de sécurité touchant vos données.
Ce que prévoit la révision de la loi sur la sécurité de l’information suisse
La loi fédérale sur la sécurité de l’information (LSI, RS 128) a pour objectif de fixer des standards de sécurité uniformes pour les autorités. Cependant, depuis son application début 2024, de nombreuses communes romandes rencontrent des difficultés pour interpréter son champ d’application. L’article 2 de la LSI précise les entités soumises à cette législation, mais les administrations cantonales peinent à savoir quelles normes techniques adopter lorsqu’elles exécutent des tâches déléguées par la Confédération. La révision de mai 2026 vise à clarifier précisément ces obligations. Elle imposera des directives strictes concernant le stockage, le cryptage et la transmission des données des citoyens. Les autorités devront obligatoirement classer les informations qu’elles traitent selon leur niveau de sensibilité, conformément à l’article 11 de la LSI. Une simple communication par email non sécurisé pour un document fiscal ne sera plus tolérée. Cette mise à jour législative renforce la responsabilité des entités publiques et harmonise les pratiques sécuritaires sur l’ensemble du territoire suisse.
L’article 24 de la LSI oblige les autorités à signaler immédiatement toute cyberattaque ou fuite de données au Centre national pour la cybersécurité (NCSC). La révision de 2026 précisera les délais exacts accordés aux cantons pour informer les citoyens touchés par un vol de données.
Le contexte de la loi sur la sécurité de l’information suisse
Pour bien saisir les enjeux de cette réforme, il faut regarder l’évolution récente du droit suisse. En septembre 2023, la nouvelle loi fédérale sur la protection des données (LPD) est entrée en vigueur, augmentant considérablement les exigences pour les entreprises privées et les organes fédéraux. La LSI agit comme un complément technique à la LPD. Alors que la LPD se concentre sur vos droits fondamentaux liés à la sphère privée, la loi sur la sécurité de l’information suisse dicte les mesures informatiques et organisationnelles pour empêcher les piratages. Avant cette loi, chaque canton, voire chaque commune, appliquait ses propres standards de cybersécurité. Cette fragmentation a montré ses limites lors des attaques par rançongiciel ayant frappé plusieurs communes romandes ces dernières années. Le vol de registres d’habitants ou de données de naturalisation a mis en évidence le manque de préparation des petites administrations. Le Conseil fédéral a donc compris que le déploiement de la loi sur la sécurité de l’information suisse nécessite des règles plus claires pour accompagner les cantons, sans quoi la loi reste une coquille vide difficile à financer pour les autorités locales.
La LSI (RS 128) définit l’architecture de sécurité de l’État, tandis que la LPD (RS 235.1) garantit vos droits d’accès et de rectification. La révision de 2026 vise à supprimer les contradictions entre ces deux textes majeurs lors de leur application par les communes.
L’impact de la loi sur la sécurité de l’information suisse au quotidien
Les modifications apportées par le Conseil fédéral vont transformer vos interactions avec l’administration. Voici plusieurs situations concrètes en Suisse romande qui illustrent comment la gestion de vos dossiers sera impactée par le durcissement des règles de sécurité informatique :
Permis de construire dans le canton de Vaud
Lorsque vous déposez des plans via une plateforme cantonale, vos données financières et architecturales transiteront désormais par des serveurs répondant aux standards fédéraux stricts, empêchant tout accès non autorisé par des tiers.
Déclaration fiscale à Genève
Les correspondances avec l’administration fiscale ne pourront plus se faire par des canaux non sécurisés. L’envoi de vos certificats de salaire exigera une authentification forte imposée par la nouvelle révision.
Inscription scolaire à Fribourg
Les données médicales et familiales de vos enfants récoltées par les écoles devront être classifiées et cryptées. Les directions d’établissement auront des protocoles d’accès très limités.
Registre des habitants en Valais
En cas de changement d’adresse, votre commune utilisera un réseau sécurisé audité annuellement, réduisant drastiquement le risque d’usurpation d’identité lors des transferts de dossiers entre communes.
Vos droits, vos démarches et l’intervention d’un avocat
Face aux exigences de la loi sur la sécurité de l’information suisse, vous disposez de leviers juridiques puissants si vous estimez que vos données sont mal protégées ou si vous êtes victime d’une fuite. En vertu de l’article 25 de la LPD, vous avez le droit de demander à n’importe quelle autorité communale ou cantonale quelles données elle détient sur vous et comment celles-ci sont sécurisées. Cette demande de renseignement est généralement gratuite. Si l’administration refuse de vous répondre de manière transparente ou si elle commet une faute grave dans la protection de votre dossier, vous pouvez exiger une décision formelle de refus.
Dès réception de cette décision, la procédure administrative s’ouvre. Il est souvent judicieux de se faire accompagner pour contester les pratiques d’une administration récalcitrante. Vous pouvez facilement créer un dossier sur JuriUp pour être mis en relation avec un expert qui analysera les failles légales de la commune. Par ailleurs, si vous êtes un professionnel du droit souhaitant accompagner des citoyens dans ces démarches complexes, vous avez la possibilité de devenir partenaire JuriUp. Si vous constatez un préjudice direct lié à un vol de données non cryptées, l’action en responsabilité de l’État peut être envisagée. N’hésitez pas à nous écrire via notre page contact pour toute question sur la plateforme.
Conformément à l’article 50 de la loi fédérale sur la procédure administrative (PA), vous disposez d’un délai strict de 30 jours pour déposer un recours contre une décision d’une autorité refusant l’accès à vos données ou rejetant votre demande de sécurisation. Ce délai ne peut pas être prolongé.
L’avis de la rédaction JuriUp
L’exigence accrue de sécurité numérique pose un défi de taille pour les petites communes romandes qui manquent régulièrement de ressources informatiques dédiées. Si cette révision législative offre une garantie supérieure pour le citoyen face aux cybermenaces, elle risque de ralentir certaines démarches administratives locales le temps que les infrastructures soient mises en conformité. Le législateur devra veiller à ce que les communes soient financièrement soutenues pour ne pas bloquer l’appareil étatique.
Ce que retient la rédaction : La révision clarifie de manière stricte les obligations de sécurité des autorités, mais son succès sur le terrain dépendra directement des moyens techniques alloués aux communes pour protéger vos dossiers personnels.
Jurisprudence et erreurs fréquentes des administrations
Bien que le Tribunal fédéral n’ait pas encore rendu d’arrêt de principe sur la version 2024 de la LSI en raison de sa nouveauté, les autorités cantonales de protection des données observent des erreurs fréquentes et répétées. La faute la plus courante des communes consiste à externaliser la gestion informatique de leurs registres sans imposer de cahier des charges sécuritaire à leurs prestataires privés. Les préposés cantonaux rappellent régulièrement que l’administration reste seule responsable des fuites. Une autre erreur classique est l’envoi de décisions fiscales contenant des données sensibles par de simples courriels au lieu d’utiliser des plateformes sécurisées. Ces pratiques, régulièrement sanctionnées par des recommandations fermes des préposés romands, démontrent le besoin urgent de la révision de 2026 pour imposer des normes inviolables aux niveaux local et cantonal.
Questions fréquentes sur la réforme
Quand la révision entrera-t-elle en vigueur ?
Le Conseil fédéral a ouvert la procédure de consultation le 6 mai 2026. Une fois les avis récoltés et les ajustements de la loi sur la sécurité de l’information suisse validés par le Parlement, l’entrée en vigueur est généralement prévue dans un délai de 12 à 18 mois, probablement courant 2027 ou début 2028. Les cantons auront ensuite un délai transitoire pour adapter leurs systèmes.
Ma commune peut-elle encore m’envoyer des documents sensibles par email ?
Non, si ces documents contiennent des données personnelles sensibles ou des profils de la personnalité. La loi exige un niveau de classification adéquat. Les autorités doivent utiliser des canaux cryptés ou des portails en ligne officiels nécessitant une authentification sécurisée pour vous transmettre vos informations fiscales ou médicales.
Que faire si mes données fuitent suite à une cyberattaque communale ?
L’autorité a l’obligation légale de vous informer rapidement si la violation présente un risque élevé pour vos droits. Vous pouvez ensuite demander des mesures de protection, comme le blocage de vos données dans les registres. Si vous subissez un dommage financier, vous avez la possibilité de déposer une réclamation en responsabilité contre la collectivité publique concernée.
Les cantons peuvent-ils appliquer leurs propres règles de sécurité ?
C’est tout l’enjeu de la révision. Pour les tâches purement cantonales, ils conservent leur autonomie. En revanche, lorsqu’ils traitent des données pour le compte de la Confédération (comme l’AVS ou les impôts fédéraux), ils devront impérativement respecter les standards techniques minimaux définis par le droit fédéral, sans possibilité d’y déroger.
Cette loi concerne-t-elle les entreprises privées ?
En principe, la loi sur la sécurité de l’information suisse s’adresse aux autorités fédérales, cantonales et communales. Toutefois, les entreprises privées qui exécutent des mandats pour l’État ou gèrent des infrastructures informatiques publiques sont soumises à ces mêmes règles strictes par le biais de leurs contrats de sous-traitance avec l’administration.
Vous rencontrez des difficultés d’accès à vos données ?
Si une administration bloque votre demande d’accès ou ne respecte pas les normes de sécurité en vigueur, ne restez pas sans réponse. Des recours administratifs permettent de faire valoir vos droits rapidement, mais les délais sont stricts et les procédures cantonales varient. Une intervention ciblée permet souvent de débloquer la situation.