Lettre de ses­sion de l’ASA, ses­sion d'au­tomne 2023

Le Conseil national a traité cet objet le 16 mars 2023 et étendu l’obligation de signaler les cyberattaques aux vulnérabilités inconnues du public concernant des moyens informatiques essentiels pour l’exploitation. Le 1^er juin 2023, le Conseil des États a rejeté cette extension par 31 voix contre 13. Dans le cadre de l’élimination des divergences, la CPS-N propose, par 14 voix contre 9 et 1 abstention, de maintenir la disposition proposée par le Conseil national et, à titre de compromis, de la restreindre légèrement (exclusion des développements internes des entreprises concernées).

Exposé de la situation

Le Conseil fédéral veut introduire une obligation de signaler les cyberattaques contre les infrastructures critiques dans la loi sur la sécurité de l’information (LSI). La présente révision de la LSI est censée créer les bases légales à cette obligation de signaler et définir les tâches du Centre national pour la cybersécurité (NCSC) en la matière.

Analyse

La nouvelle obligation de signaler inscrite dans la LSI vise la détection à un stade précoce des modes opératoires et l’avertissement en conséquence des victimes potentielles (se reporter à l’art. 74a al. 4 P-LSI). Les compagnies d’assurances sont directement concernées par cette révision puisque, en vertu du projet, elles sont qualifiées d’exploitants d’infrastructures critiques et assujetties à l’obligation de signaler ressortant de la LSI (se reporter à l’art. 74b al. 1 let. e P-LSI).

Avec la numérisation croissante, l'État et les acteurs économiques sont de plus en plus confrontés à des cyberattaques. En conséquence, l'ASA est favorable à l’établissement d'un système d'alerte précoce en la matière, auquel les obligations de signalement peuvent contribuer. Forte de cette conviction, elle a donc également soutenu les obligations de signaler correspondantes édictées, voire adoptées en 2020 seulement, conformément au droit de la surveillance des marchés financiers et à la révision totale de la loi sur la protection des données (se reporter à la communication FINMA sur la surveillance 05/2020 « Obligation de signaler les cyberattaques selon l’art. 29 al. 2 LFINMA » du 7 mai 2020 et à l’art. 24 nLPD du 25 septembre 2020) et peut aussi se rallier à l'obligation prévue dans la LSI en matière de signalement des cyberattaques.

Décidé par le Conseil national, cet élargissement de l’obligation de signaler (art. 73b al.3 s.) va trop loin. Il implique le signalement au NCSC des cyberattaques, mais aussi des vulnérabilités de l’équipement informatique. L’ASA rejette fermement ce durcissement de l’obligation de signaler et soutient la demande de suppression formulée par la minorité de la CPS-N (conformément à l’avis du Conseil fédéral et à celui du Conseil des États).

Les coûts et les bénéfices d'une extension de l'obligation de signaler aux vulnérabilités des moyens informatiques sont disproportionnés. La charge de travail supplémentaire résultant d'une telle extension de l’obligation de signaler serait considérable, tant pour les services assujettis à cette obligation (services publics et entreprises) que pour le NCSC, alors que l’utilité d'un tel élargissement est loin d’être évidente. Au contraire, une collecte et une sauvegarde centralisées de ces données créeraient une surface vulnérable aux attaques et aggraveraient davantage encore l’exposition des vulnérabilités des systèmes informatiques des infrastructures critiques en cas de cyberattaque contre le NCSC – et, dans les cas extrêmes, se traduiraient par de nouvelles attaques. Cela ne saurait être ni dans l'intérêt des exploitants d'infrastructures critiques ni dans celui du législateur.

Le Conseil fédéral a renoncé sciemment à une obligation de signaler les vulnérabilités des équipements informatiques et évoque dans le message (p. 16) de fausses incitations et un effet contre-productif : « Enfin, il a été décidé de ne pas étendre l’obligation de signaler aux vulnérabilités des équipements informatiques. Dans la plupart des cas, les vulnérabilités sont découvertes par des tiers (chercheurs en sécurité). Ceux-ci peuvent être motivés à communiquer les vulnérabilités au moyen d’incitations (par ex. par des programmes de type bug bounty, dits aussi de prime à la faille ou de prime aux bogues) et une obligation de signaler pourrait plutôt avoir un effet dissuasif à cet égard. »

À cela s’ajoute la définition évasive des « vulnérabilités » dans la LSI (se reporter à l’art. 5 let. g P-LSI). Conjuguée au champ d'application très large de l'obligation de signaler et à son délai d’exécution extrêmement court (24 heures après l'incident), cette obligation de signaler les vulnérabilités entraînerait une charge de travail disproportionnée pour les acteurs économiques.

Le compromis proposé par la CPS-N (exemption des développements internes de cette déclaration obligatoire) ne parvient pas non plus à atténuer ces réserves.

Pour le reste, nous renvoyons à la prise de position commune des exploitants d’infrastructures critiques que nous soutenons. Ce document détaillé vous est adressé séparément.

Retour à la vue d'ensemble

L’initiative parlementaire 22.444 réclame la modification des normes qui régissent les fondations collectives de prévoyance professionnelle. Lors de sa réunion des 3 et 4 juillet 2023, la CSS-N a demandé à son conseil, par 17 voix contre 8, de ne pas donner suite à cette initiative parlementaire.

Exposé de la situation

Cette initiative parlementaire réclame que les dispositions relatives aux fondations collectives de prévoyance professionnelle soient modifiées comme suit, « afin que :

• toutes et tous les assuré.e.s soumis.e.s à la prévoyance professionnelle obligatoire au sein d'une fondation collective ou d'une fondation commune ne forment qu'une seule communauté de risque, sans égard à la diversité des employeur.euse.s. L'allégement des primes de risque résultant du plus grand nombre d'assuré.e.s profitera de manière égale à toutes et tous les employeur.euse.s ;
• tout rabais accordé par une compagnie d'assurances à un collectif d'assuré.e.s d'une fondation collective doit être accordé, en pourcentage de la prime individuelle, en mesure égale à tous les autres collectifs d'assuré.e.s de la fondation ;
• les parts d'excédents (art. 37 al. 3 LSA et 153 al. 2 OS) seront distribuées compte tenu de la seule réserve mathématique, à l'exclusion de la sinistralité et des dépenses de gestion. »

Analyse

L’ASA considère que les arguments avancés par l’initiative parlementaire ne sont pas probants.

• Les cotisations plus élevées des entreprises aux effectifs plus âgés et les inconvénients rencontrés par les travailleurs âgés sur le marché du travail ne résultent pas de cotisations de risque plus élevées, mais de taux de bonification de vieillesse plus élevés et de salaires plus élevés. La réforme actuelle de la LPP aplanie l’échelonnement des taux des bonifications de vieillesse (désormais 9/9/14/14 pour cent au lieu de 7/10/15/18 pour cent jusqu'à présent) et améliore ainsi la situation des travailleurs des tranches d’âge supérieures sur le marché du travail.
• Il arrive effectivement que des entreprises aux effectifs âgés ne reçoivent pas d'offre d'affiliation à une fondation collective et qu'elles n’ont alors pas d’autre choix que de s’affilier à la Fondation institution supplétive. Cela n'a toutefois rien à voir avec les cotisations en général ou les cotisations de risque en particulier, mais est dû au niveau excessif du taux de conversion LPP et aux pertes de conversion en rentes qui en découlent. La baisse du taux de conversion LPP prévue dans le cadre de la réforme actuelle de la LPP réduit ces pertes et permet ainsi de proposer des offres aux entreprises employant des effectifs plus âgés.

Les modifications réclamées par l'iv. pa. Iv. 22.444 n’exerceraient donc aucune influence sur la situation des travailleurs âgés sur le marché du travail ou sur les possibilités d'affiliation des effectifs âgés, mais produiraient en revanche divers effets négatifs :

• En réaction à une « uniformisation » des cotisations, les fondations collectives devraient renoncer aux nouvelles affiliations dont les cotisations correctes seraient supérieures aux « cotisations uniformes », afin de protéger les intérêts des clients existants. Le phénomène décrit dans le développement de l'iv. Pa., à savoir la « délégation » des affiliations à l'institution supplétive, ne serait pas endigué par des « cotisations uniformes », mais renforcé !
• Des cotisations de risque uniformes conduiraient à ce que les jeunes travailleurs aux revenus (ou prestations) plus bas subventionnent de manière croisée les travailleurs plus âgés aux revenus (ou prestations) plus élevés.
• Couplées à une renonciation aux excédents liés à la sinistralité, des cotisations de risque forfaitaires conduiraient en outre les entreprises qui s'occupent de la santé des membres de leur personnel (par ex. en proposant des offres correspondantes soutenues financièrement par l'employeur) à réduire ces engagements.
• Des contributions aux coûts uniformes qui ne tiendraient pas compte de la taille ni de la charge administrative désavantageraient les grandes entreprises et / ou celles dont l'administration est professionnelle.

Retour à la vue d'ensemble

Par cette motion, le Conseil fédéral est chargé d'élaborer un train de mesures visant à combattre la pénurie de main-d'œuvre par une adaptation du règlement sur l'AVS (RAVS). Celui-ci comprendra les mesures suivantes :

• La franchise pour les personnes exerçant une activité lucrative dépendante ou indépendante après avoir atteint l'âge de référence doit être relevée de 16 800 à 36 000 francs par an (art. 6^quater RAVS).
• Le taux d'augmentation de la rente (art. 55^ter RAVS) doit être relevé sensiblement de manière à inciter les gens à continuer de travailler après l'âge de la retraite. La valeur cible sera de 40 pour cent pour un ajournement de cinq ans, contre 31,5 pour cent actuellement.
• Il faut renoncer à rendre la retraite anticipée plus attrayante, comme l'a promis le Conseil fédéral dans le cadre de l'AVS-21, en adaptant le taux de réduction, qui est actuellement de 6,8 pour cent par an (art. 56 RAVS). Au lieu de cela, il faut examiner l'opportunité de majorer le taux de réduction à 8 pour cent.

Exposé de la situation

La franchise applicable sur les revenus de l’activité lucrative générés après avoir atteint l’âge de la retraite, les suppléments (= taux d’augmentation) en cas d’ajournement de la perception de la rente et les taux de réduction en cas de perception anticipée de cette dernière étaient déjà prévus dans la réforme AVS 21 :

• Concernant la franchise, le Conseil fédéral a renoncé à toute modification par rapport à la situation actuelle. Certes, pendant les délibérations, les Chambres ont discuté de propositions visant l’augmentation de la franchise jusqu'à une fois et demie le montant minimum de la rente de vieillesse (22 050 francs par an) ou jusqu'à 24 000 francs par an, afin rendre plus attrayante la poursuite volontaire du travail même au delà de l'âge de la retraite. Mais c'est finalement la proposition du Conseil fédéral qui l'a emporté.
• Dans le cadre de la flexibilisation du départ à la retraite, le Conseil fédéral a proposé de réduire les taux d'augmentation en cas d'ajournement de la perception de la rente et les taux de réduction en cas de retraite anticipée. Ainsi, le taux d'augmentation devrait passer de 5,2 pour cent actuellement à 4,3 pour cent en cas de report du départ à la retraite d'une année et le taux de réduction de 6,8 pour cent à 4,0 pour cent en cas de départ un an plus tôt à la retraite. Dans le rapport explicatif relatif à la procédure de consultation sur les modifications de l'ordonnance, le Conseil fédéral a toutefois précisé que les taux d'augmentation et de réduction de l'ajournement et de l'anticipation de la rente de vieillesse devaient demeurer inchangés.

Analyse

Lors de la procédure de consultation relative à la réforme AVS 21, l’ASA s’est déclarée favorable à un relèvement de la franchise applicable sur les revenus de l’activité lucrative générés après avoir atteint l’âge de la retraite et défavorable à toute réduction des taux d’augmentation et de réduction en cas d’ajournement ou d’anticipation de la rente de vieillesse. Dans ce contexte, la recommandation de l’ASA portant sur l’adoption de la motion 23.3596 doit être interprétée en ce sens

• qu’il convient de soutenir les propositions visant un relèvement approprié de la franchise ;
• qu’elle est favorable à un relèvement des taux d’augmentation en cas d’ajournement de la perception de la rente (pour l’ASA, il était et demeure essentiel qu’une réduction de ces taux ne vienne affaiblir l'incitation à un ajournement du départ à la retraite) ;
• qu’il convient de rejeter toute augmentation des taux de réduction en cas de perception anticipée de la rente de vieillesse (ce rejet est essentiellement motivé par le fait que les taux en vigueur n’apportent aucun avantage financier en cas de perception anticipée de la rente).

Retour à la vue d'ensemble

Le Conseil national a traité cet objet le 16 mars 2023 et étendu l’obligation de signaler les cyberattaques aux vulnérabilités inconnues du public concernant des moyens informatiques essentiels pour l’exploitation. Le 1^er juin 2023, le Conseil des États a rejeté cette extension par 31 voix contre 13. Dans le cadre de l’élimination des divergences, la CPS-N propose, par 14 voix contre 9 et 1 abstention, de maintenir la disposition proposée par le Conseil national et, à titre de compromis, de la restreindre légèrement (exclusion des développements internes des entreprises concernées).

Exposé de la situation

Le Conseil fédéral veut introduire une obligation de signaler les cyberattaques contre les infrastructures critiques dans la loi sur la sécurité de l’information (LSI). La présente révision de la LSI est censée créer les bases légales à cette obligation de signaler et définir les tâches du Centre national pour la cybersécurité (NCSC) en la matière.

Analyse

La nouvelle obligation de signaler inscrite dans la LSI vise la détection à un stade précoce des modes opératoires et l’avertissement en conséquence des victimes potentielles (se reporter à l’art. 74a al. 4 P-LSI). Les compagnies d’assurances sont directement concernées par cette révision puisque, en vertu du projet, elles sont qualifiées d’exploitants d’infrastructures critiques et assujetties à l’obligation de signaler ressortant de la LSI (se reporter à l’art. 74b al. 1 let. e P-LSI).

Avec la numérisation croissante, l'État et les acteurs économiques sont de plus en plus confrontés à des cyberattaques. En conséquence, l'ASA est favorable à l’établissement d'un système d'alerte précoce en la matière, auquel les obligations de signalement peuvent contribuer. Forte de cette conviction, elle a donc également soutenu les obligations de signaler correspondantes édictées, voire adoptées en 2020 seulement, conformément au droit de la surveillance des marchés financiers et à la révision totale de la loi sur la protection des données (se reporter à la communication FINMA sur la surveillance 05/2020 « Obligation de signaler les cyberattaques selon l’art. 29 al. 2 LFINMA » du 7 mai 2020 et à l’art. 24 nLPD du 25 septembre 2020) et peut aussi se rallier à l'obligation prévue dans la LSI en matière de signalement des cyberattaques.

Décidé par le Conseil national, cet élargissement de l’obligation de signaler (art. 73b al.3 s.) va trop loin. Il implique le signalement au NCSC des cyberattaques, mais aussi des vulnérabilités de l’équipement informatique. L’ASA rejette fermement ce durcissement de l’obligation de signaler et soutient la demande de suppression formulée par la minorité de la CPS-N (conformément à l’avis du Conseil fédéral et à celui du Conseil des États).

Les coûts et les bénéfices d'une extension de l'obligation de signaler aux vulnérabilités des moyens informatiques sont disproportionnés. La charge de travail supplémentaire résultant d'une telle extension de l’obligation de signaler serait considérable, tant pour les services assujettis à cette obligation (services publics et entreprises) que pour le NCSC, alors que l’utilité d'un tel élargissement est loin d’être évidente. Au contraire, une collecte et une sauvegarde centralisées de ces données créeraient une surface vulnérable aux attaques et aggraveraient davantage encore l’exposition des vulnérabilités des systèmes informatiques des infrastructures critiques en cas de cyberattaque contre le NCSC – et, dans les cas extrêmes, se traduiraient par de nouvelles attaques. Cela ne saurait être ni dans l'intérêt des exploitants d'infrastructures critiques ni dans celui du législateur.

Le Conseil fédéral a renoncé sciemment à une obligation de signaler les vulnérabilités des équipements informatiques et évoque dans le message (p. 16) de fausses incitations et un effet contre-productif : « Enfin, il a été décidé de ne pas étendre l’obligation de signaler aux vulnérabilités des équipements informatiques. Dans la plupart des cas, les vulnérabilités sont découvertes par des tiers (chercheurs en sécurité). Ceux-ci peuvent être motivés à communiquer les vulnérabilités au moyen d’incitations (par ex. par des programmes de type bug bounty, dits aussi de prime à la faille ou de prime aux bogues) et une obligation de signaler pourrait plutôt avoir un effet dissuasif à cet égard. »

À cela s’ajoute la définition évasive des « vulnérabilités » dans la LSI (se reporter à l’art. 5 let. g P-LSI). Conjuguée au champ d'application très large de l'obligation de signaler et à son délai d’exécution extrêmement court (24 heures après l'incident), cette obligation de signaler les vulnérabilités entraînerait une charge de travail disproportionnée pour les acteurs économiques.

Le compromis proposé par la CPS-N (exemption des développements internes de cette déclaration obligatoire) ne parvient pas non plus à atténuer ces réserves.

Pour le reste, nous renvoyons à la prise de position commune des exploitants d’infrastructures critiques que nous soutenons. Ce document détaillé vous est adressé séparément.

Retour à la vue d'ensemble