Le 18 décembre 2025, une motion 25.4715 a été déposée au Conseil national. Son titre, ambitieux, promet de « renforcer la cybersécurité » tout en « réduisant la bureaucratie » grâce à « des voies de notification harmonisées pour la Suisse numérique ».
Voici l’argumentaire en substance : le 20 août 2025, le Conseil fédéral a chargé le Département fédéral de la défense, de la protection de la population et des sports (DDPS), le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) et le Département fédéral de l’économie, de la formation et de la recherche (DEFR) d’élaborer une base légale pour la cyberrésilience des produits numériques. Cependant, l’Union européenne a, quant à elle, franchi un cap décisif avec le Cyber Resilience Act (CRA) et le projet Digital Omnibus, dont l’un des objectifs affichés est précisément de réduire les charges administratives et de consolider les procédures de notification.
Or, en Suisse, le paysage actuel se caractérise par une certaine fragmentation : obligations de notification à différentes autorités (Préposé fédéral à la protection des données et à la transparence, Office fédéral de la cybersécurité, Autorité fédérale de surveillance des marchés financiers, etc.) avec des délais et des critères variables. La motion invite ainsi le Conseil fédéral à s’inspirer des simplifications du Digital Omnibus en créant un « Single Entry Point » pour les incidents de sécurité.
Dès lors, je m’interroge. Y a-t-il réellement un besoin de simplification et d’harmonisation à ce sujet en Suisse ? Tentons de démêler l’écheveau.
Un mille-feuille réglementaire source de complexité
Le système actuel de notification des cyberincidents en Suisse se caractérise par une multiplicité d’autorités compétentes aux exigences distinctes. Prenons un exemple concret : une entreprise victime d’une cyberattaque avec fuite de données personnelles devrait, en principe, notifier trois autorités différentes en parallèle :
- L’Office fédéral de la cybersécurité (OFCS) ;
- Le Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
- L’Autorité fédérale de surveillance des marchés financiers (FINMA), si l’entreprise relève de sa compétence.
Des délais de notification hétérogènes
Les délais de notification varient considérablement selon l’autorité concernée :
- 24 heures pour l’OFCS et la FINMA ;
- « Dans les meilleurs délais » pour le PFPDT — une formulation volontairement imprécise qui contraste singulièrement avec les 72 heures du Règlement général sur la protection des données (RGPD).
Des critères déclencheurs disparates
Les critères déclenchant l’obligation de notification diffèrent également selon le cadre légal applicable :
- « Risque élevé pour la personnalité » des personnes concernées pour la Loi fédérale sur la protection des données (art. 24 LPD) ;
- « Mise en péril du fonctionnement de l’infrastructure critique concernée » pour la Loi fédérale sur la sécurité de l’information (art. 74d LSI) ;
- « Cyberattaque importante du point de vue de la surveillance » pour la communication FINMA 05/2020 sur l’obligation de signaler les cyberattaques.
La consultation de l’Ordonnance sur la cybersécurité (OCyS) en 2024 avait d’ailleurs mis en lumière une préoccupation majeure : de nombreuses entreprises admettent ne pas savoir si elles doivent déclarer les cyberattaques qui les touchent ni à quelle autorité s’adresser.
Vue d’ensemble des obligations actuelles
Le tableau ci-dessous synthétise les régimes susmentionnés :
| Loi | Destinataires | Délais | Critère principal |
|---|---|---|---|
| Art. 74a ss LSI (+ OCyS) | OFCS | 24 h + 14 jours (rapport complémentaire) | Infrastructure critique compromise |
| Art. 24 LPD (+ OPDo) | PFPDT | « Meilleurs délais » | Risque élevé pour droits fondamentaux |
| Art. 24 LPD (+ OPDo) | Personnes concernées | Pas de délai légal | Si nécessaire à leur protection |
| Art. 29 LFINMA (+ Communication 05/2020) | FINMA | 24 h (annonce) + 72 h (premier rapport) | Importance substantielle du point de vue de la surveillance |
Les obligations sectorielles s’ajoutent au socle commun
Cette complexité se double d’obligations sectorielles spécifiques, par exemple :
- Le transport ferroviaire relève de la directive CySec-Rail de l’Office fédéral des transports ;
- Les incidents liés aux dispositifs médicaux doivent être signalés en vertu de l’art. 59 de la Loi sur les produits thérapeutiques (LPTh) ;
- Les entités actives sur le marché de l’électricité sont soumises à l’art. 5a de l’Ordonnance sur l’approvisionnement en électricité (OApEl) et aux normes minimales pour les TIC de l’OFCS.
L’expertise sectorielle : un atout à préserver ?
Le système décentralisé actuel n’est pas dénué d’avantages. En effet, chaque autorité dispose d’une expertise pointue de son domaine de compétence.
La FINMA, par exemple, possède une connaissance approfondie du secteur financier, avec des critères de matérialité calibrés pour évaluer le risque systémique. La création du Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) illustre d’ailleurs cette spécialisation sectorielle.
Le PFPDT apporte quant à lui une compétence distincte sur les droits des personnes concernées, articulant l’évaluation des risques avec les obligations d’information aux individus. L’échange d’informations entre infrastructures critiques et la Confédération via MELANI/OFCS fonctionne depuis 2004 — un dispositif rodé, donc.
Economiesuisse soulignait d’ailleurs que « les systèmes décentralisés et hétérogènes sont plus résistants que les systèmes centralisés ». La subsidiarité permettrait ainsi une adaptation aux spécificités de chaque secteur : en effet, les exigences bancaires internationales (Digital Operational Resilience Act — DORA, recommandations de la Banque des règlements internationaux) ne sont manifestement pas transposables telles quelles aux hôpitaux ou aux fournisseurs d’électricité.
Quid de la charge pesant sur les entreprises ?
Les inconvénients du système fragmenté pèsent néanmoins particulièrement sur les petites et moyennes entreprises (PME). Selon l’OFCS, une PME suisse sur trois a déjà été victime d’une cyberattaque — un chiffre qui interroge.
Le rapport explicatif relatif à la modification de la LSI du Conseil fédéral reconnaissait d’ailleurs explicitement la problématique : « L’introduction d’une obligation de signaler les cyberattaques affecte des obligations de déclaration déjà en vigueur » (p. 5). Certes, l’art. 12 OCyS prévoit des exemptions à l’obligation de signaler, notamment pour les entreprises de moins de 50 employés avec un chiffre d’affaires inférieur à 10 millions de francs. Cependant, cette dispense ne couvre pas toutes les situations et laisse subsister des zones grises.
L’insécurité juridique constitue un frein majeur pour les entreprises : critères de matérialité subjectifs (« risque élevé », « importance substantielle »), délais variables, formulaires distincts, autorités différentes. Economiesuisse critiquait en juin 2025 des obligations « trop élevées » pour les grandes entreprises et appelait à davantage protéger les PME.
Le diagnostic semble partagé : le système actuel génère une charge administrative considérable sans garantie proportionnelle de sécurité accrue.
Le formulaire OFCS : une harmonisation partielle
Face à ces critiques, le Conseil fédéral a adopté une approche pragmatique via le formulaire électronique de l’OFCS, opérationnel depuis le 1er avril 2025.
Ce formulaire intègre des cases à cocher permettant la transmission simultanée aux autres autorités compétentes, en l’espèce le PFPDT et la FINMA. Cette solution répond ainsi à la principale préoccupation exprimée lors de la consultation de 2024 : simplifier le processus de dépôt initial. Toutefois, comme des experts le soulignent, « l’harmonisation permise par le formulaire de l’OFCS est partielle ». En effet, après cette annonce initiale, le traitement ultérieur du dossier est effectué séparément par chaque autorité compétente et par des canaux de communication différents.
Dès lors, si le formulaire unique facilite le dépôt initial, il ne résout pas la problématique de fond : l’entreprise doit ensuite jongler avec plusieurs interlocuteurs, plusieurs exigences, plusieurs temporalités, plusieurs canaux ou systèmes de communication. L’harmonisation s’arrête au portail, pourrait-on dire.
L’Europe montre-t-elle la voie ?
L’Union européenne a identifié le problème des notifications multiples et développe une réponse structurée qui mérite l’attention.
Le Cyber Resilience Act (CRA), entré en vigueur le 11 décembre 2024, impose des notifications via une plateforme unique (CRA-SRP) gérée par l’Agence de l’Union européenne pour la cybersécurité (ENISA) avec un processus harmonisé :
- 24 heures pour l’alerte précoce ;
- 72 heures pour la notification complète ;
- 14 jours à un mois pour le rapport final.
Le Digital Omnibus, proposé le 19 novembre 2025, constitue une avancée majeure. Son principe « report once, share many » prévoit un guichet unique européen couvrant les notifications issues de multiples textes : directive NIS2, RGPD, règlement DORA, directive CER (Critical Entities Resilience) et règlement eIDAS (electronic IDentification, Authentication and trust Services).
Le tableau ci-dessous illustre l’effort de convergence européenne :
| Texte | Type d’incident | Délais actuels | Délais prévus (Digital Omnibus) |
|---|---|---|---|
| RGPD | Violations de données personnelles | • 72 h à l’autorité de contrôle • Pour tous risques • Dans les meilleurs délais aux personnes concernées (si risques élevés) | • 96 h à l’autorité de contrôle • Uniquement pour risques élevés • Via guichet unique |
| NIS2 | Incidents de cybersécurité | • 24 h (alerte initiale) • 72 h (rapport intermédiaire) • 1 mois (rapport final) | Harmonisation via guichet unique |
| DORA | Incidents TIC majeurs (secteur financier) | • 4 h après classification ou 24 h après détection • 72 h (rapport intermédiaire) • 1 mois (rapport final) | Harmonisation via guichet unique |
| CRA | Vulnérabilités activement exploitées | • 24 h (notification initiale) • 72 h (premières mesures correctives) • 14 jours (rapport final) | Harmonisation via guichet unique |
| CER | Incidents perturbant des services essentiels | • 24 h (notification initiale) • 1 mois (rapport détaillé) | Harmonisation via guichet unique |
| eIDAS | Atteintes sécurité/perte intégrité (prestataires services de confiance) | • 24 h à l’organe de contrôle | Harmonisation via guichet unique |
Cette approche européenne vise explicitement à réduire la charge administrative tout en maintenant un niveau élevé de protection. La question se pose naturellement : la Suisse peut-elle rester à l’écart de cette dynamique ?
Le mandat du 20 août 2025 : une fenêtre d’opportunité
Le Conseil fédéral a confié le 20 août 2025 au DDPS, en collaboration avec le DETEC et le DEFR, l’élaboration d’un projet de loi à soumettre en consultation d’ici l’automne 2026.
Les objectifs de la future législation
Cette nouvelle législation, répondant à la motion 24.3810 adoptée par les deux Chambres, vise notamment à :
- Fixer des exigences de cybersécurité pour les produits à composants numériques ;
- Définir des règles de surveillance du marché ;
- Établir les bases permettant d’interdire l’importation d’appareils non sécurisés.
L’objectif affiché est un alignement avec le CRA européen tout en minimisant la charge administrative pour les entreprises suisses — un exercice d’équilibriste.
Une occasion d’intégrer l’harmonisation des notifications
La question de l’harmonisation des voies de notification (souhaitée par la motion 25.4715) pourrait naturellement s’intégrer à cette réforme plus large. En effet, il serait cohérent de profiter de cette révision législative pour créer un cadre unifié de cybersécurité suisse couvrant à la fois les exigences produits et les procédures de notification.
Une harmonisation complète, aussi séduisante soit-elle sur le papier, présenterait des risques significatifs qu’il convient d’évaluer lucidement, et dont la perte d’expertise sectorielle constitue la préoccupation principale pour les raisons suivantes :
- Dilution des compétences spécialisées développées au fil des années par chaque autorité ;
- Inadaptation aux spécificités de chaque domaine (finance, santé, infrastructures critiques) ;
- Création d’un point de défaillance unique potentiel, tant du point de vue opérationnel que de la sécurité.
Des pistes d’amélioration à court, moyen et long terme
L’approche suisse actuelle — formulaire OFCS avec transmission multiple — représente certes un compromis pragmatique. Cependant, des améliorations significatives demeurent possibles, à différents horizons temporels :
Court terme
- Clarification des guides pratiques pour réduire l’insécurité juridique sur les critères d’application ;
- Amélioration du formulaire OFCS avec champs automatisés et préremplis selon le type d’incident ;
- Communication coordonnée entre autorités sur les cas limites et zones grises.
Moyen terme
- Harmonisation des délais vers un standard unifié (par exemple : 24 h + 72 h + rapport final) ;
- Mécanisme de guichet unique effectif avec transmission automatique interautorités ;
- Exemptions consolidées pour différentes catégories d’entités (taille, secteur, chiffre d’affaires).
Long terme
- Évaluation d’une réforme législative transversale inspirée de NIS2 et du Digital Omnibus ;
- Réévaluation de l’équilibre entre centralisation administrative et maintien d’expertises sectorielles.
Conclusion : une réforme nécessaire, mais à calibrer avec précaution
Le constat me semble clair : le système actuel de notifications multiples génère une complexité certaine pour les entreprises suisses, particulièrement les PME qui ne disposent pas nécessairement des ressources juridiques et techniques pour naviguer dans ce dédale.
L’harmonisation partielle via le formulaire OFCS constitue un progrès significatif, mais insuffisant — elle reste, de l’aveu même des experts juridiques, « partielle ». L’entreprise ne gagne qu’au moment du dépôt initial, mais se retrouve ensuite confrontée à des interlocuteurs multiples et des exigences divergentes.
L’évolution européenne vers un guichet unique crée une pression supplémentaire sur la Suisse pour maintenir sa compétitivité et éviter aux entreprises actives internationalement de jongler avec des exigences divergentes entre Suisse et Union européenne. Le mandat du 20 août 2025 au DDPS offre une fenêtre d’opportunité pour intégrer cette réflexion dans une réforme plus ambitieuse du cadre suisse de cybersécurité.
L’enjeu réside dans l’identification du point d’équilibre entre simplification administrative — réclamée unanimement par le tissu économique — et préservation des expertises sectorielles qui font actuellement la force du système suisse. Une centralisation excessive nous exposerait à de nouveaux risques, mais une fragmentation prolongée maintiendrait une charge difficile à supporter pour les PME, qui représentent pourtant l’essentiel du tissu économique helvétique.
La voie médiane passe probablement par un véritable guichet unique de dépôt couplé à une distribution intelligente vers les autorités spécialisées, le tout accompagné d’un système de communication unique entre ces autorités et les assujettis. Ainsi, l’entreprise ne déposerait qu’une seule fois via un formulaire standardisé, le système se chargeant de router l’information vers les autorités compétentes, qui maintiendraient leur expertise sectorielle tout en communiquant avec l’entreprise via un canal unifié.
Cette approche, si elle était mise en œuvre, permettrait de concilier les impératifs apparemment contradictoires de simplification administrative et de spécialisation technique. Reste à savoir si le Conseil fédéral saura saisir cette opportunité dans le cadre de la révision législative à venir. À suivre donc, d’ici l’automne 2026.