Obligation de signalement en cas de cyberattaque en Suisse : nLPD, BACS et le plan d'urgence en 10 étapes
Obligations de signalement en cas de cyberattaque en Suisse — un aperçu
La Suisse a considérablement renforcé son cadre juridique ces dernières années. Deux réglementations centrales déterminent ce que les entreprises doivent signaler :
- La nouvelle loi sur la protection des données (nLPD) — en vigueur depuis le 1er septembre 2023 — obligation de signalement au PFPDT dans les 72 heures.
- L’obligation de signalement BACS — en vigueur depuis le 1er avril 2025 — obligation pour les exploitants d’infrastructures critiques de signaler au BACS dans les 24 heures.
En cas de violation, des amendes jusqu’à CHF 250 000 (responsabilité personnelle !) sont encourues.
Les délais clés
| Obligation | À qui ? | Délai | Depuis quand ? | Qui est concerné ? |
|---|---|---|---|---|
| nLPD art. 24 | PFPDT | 72 heures | 1.9.2023 | Toutes les entreprises avec données personnelles |
| Obligation BACS | BACS | 24 heures | 1.4.2025 | Exploitants d’infrastructures critiques |
| FINMA | FINMA | Sans délai | Depuis 2008 | Banques, assurances |
| Plainte pénale | Police cantonale | Pas de délai fixe | — | Recommandé pour tous |
La nLPD — obligation de signalement depuis le 1.9.2023
Quand faut-il signaler ?
Lorsqu’il y a une violation de la sécurité des données qui entraîne vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
À qui signaler ?
1. Au PFPDT :
- Délai : 72 heures après prise de connaissance
- Formulaire : portail databreach.edoeb.admin.ch
- Contenu : type de violation, catégories de données, nombre estimé de personnes concernées, mesures prises
2. Aux personnes concernées :
- Lorsque c’est nécessaire pour leur protection ou que le PFPDT l’ordonne
Amendes selon la nLPD
| Violation | Amende maximale |
|---|---|
| Violation du devoir d’information | CHF 250 000 |
| Violation du devoir de diligence (incl. signalement) | CHF 250 000 |
| Non-respect des décisions du PFPDT | CHF 250 000 |
| Entreprises (subsidiairement) | CHF 50 000 |
Important : les amendes visent les personnes physiques (CEO, CTO, CISO), pas l’entreprise.
Depuis septembre 2023, plus de 1 800 violations ont été signalées au PFPDT, dont 35 % liées à des cyberattaques. Le délai moyen de signalement est de 4,2 jours — de nombreuses entreprises ne respectent pas le délai de 72 heures.
L’obligation de signalement BACS — depuis le 1.4.2025
Qui est concerné ?
Les exploitants d’infrastructures critiques dans les secteurs : énergie, eau, transports, santé, finances, télécommunications, autorités, approvisionnement alimentaire, hautes écoles, prestataires IT.
Le délai de 24 heures
| Phase | Délai | Contenu |
|---|---|---|
| Signalement initial | 24 heures | Informations de base |
| Signalement complémentaire | 14 jours | Informations détaillées |
| Rapport final | Après résolution | Rapport complet |
Amende en cas de non-signalement : jusqu’à CHF 100 000.
Que faire après une cyberattaque ? — Le plan d’urgence en 10 étapes
Étape 1 : Garder son calme et activer la cellule de crise (Minute 0–15)
- Appeler la hotline 24/7 de la cyberassurance
- Documenter chaque action
Étape 2 : Isoler les systèmes, NE PAS les éteindre (Minute 15–60)
- Déconnecter du réseau, NE PAS éteindre (données volatiles en RAM nécessaires pour la forensique)
Étape 3 : Évaluer l’étendue et documenter (Heure 1–4)
- Quels systèmes sont affectés ? Des données personnelles sont-elles concernées ?
Étape 4 : Lancer la forensique IT (Heure 2–6)
- Coûts typiques : CHF 5 000–300 000+ selon la gravité
Étape 5 : Vérifier et respecter les obligations de signalement (Heure 4–24)
| Signalement | Délai | Critère |
|---|---|---|
| PFPDT | 72 heures | Données personnelles + risque élevé |
| BACS | 24 heures | Infrastructure critique |
| FINMA | Sans délai | Institution financière |
| Personnes concernées | Dès que possible | Si nécessaire pour leur protection |
| Plainte pénale | Pas de délai fixe | Toujours recommandé |
Étape 6 : Déposer une plainte pénale (Heure 6–48)
Étape 7 : Lancer la communication de crise (Heure 6–48)
- Informer les employés, clients, partenaires. La cyberassurance couvre les conseillers RP (CHF 10 000–60 000).
Étape 8 : Restaurer les systèmes (Jour 2–30+)
- Uniquement après feu vert des forensiciens
Étape 9 : Notifier les personnes concernées (Semaine 1–4)
- Coûts par personne : CHF 8–15
Étape 10 : Lessons Learned et améliorations (Semaine 4–12)
Comment une cyberassurance aide en cas d’obligations de signalement
Conseil juridique immédiat (24/7)
La cyberassurance met à disposition dans les 2–4 heures des avocats spécialisés en protection des données qui vérifient les obligations, rédigent les signalements dans les délais et vous représentent devant les autorités.
Prise en charge des coûts de conformité
| Poste de coûts | Montant typique | Cyberassurance ? |
|---|---|---|
| Avocats spécialisés | CHF 15 000–80 000 | Oui |
| Notification des personnes concernées | CHF 8–15/personne | Oui |
| Centre d’appels | CHF 10 000–50 000 | Oui |
| Total conformité typique | CHF 50 000–500 000 | Majoritairement couvert |
Responsabilité personnelle — un risque souvent sous-estimé
La nLPD vise principalement les personnes physiques. CEO, CTO, CISO peuvent être personnellement sanctionnés — jusqu’à CHF 250 000 sur leur propre patrimoine. C’est une différence fondamentale avec le RGPD européen.
FAQ
Dois-je signaler chaque cyberattaque au PFPDT ?
Non. L’obligation ne s’applique que lorsque des données personnelles sont concernées ET qu’il y a un risque élevé pour les personnes.
Que se passe-t-il si je dépasse le délai de 72 heures ?
Signalez quand même dès que possible et justifiez le retard. Un signalement tardif vaut toujours mieux qu’aucun signalement.
Ma petite PME est-elle soumise à l’obligation BACS ?
Uniquement si vous exploitez une infrastructure critique ou êtes prestataire IT pour des exploitants d’infrastructures critiques.
La cyberassurance couvre-t-elle les amendes ?
La possibilité d’assurer les amendes varie selon les cantons. En tout cas, les frais de défense sont couverts.
Conclusion : la préparation est la meilleure protection
- nLPD : 72 heures — signalement au PFPDT
- BACS : 24 heures — signalement pour les infrastructures critiques
- Amendes jusqu’à CHF 250 000 — responsabilité personnelle
- Le plan d’urgence en 10 étapes vous donne une marche à suivre claire
- Une cyberassurance est l’allié le plus important
Votre prochaine étape : contactez BTAG Versicherungsbroker AG pour une analyse gratuite de votre couverture d’assurance. Demander un conseil