Le Centre national de cybersécurité (NCSC) recueille des chiffres sur les cyberattaques signalées par les particuliers et les entreprises. Il convient de préciser que l'enquête ne porte pas uniquement sur les cyberattaques ayant causé des dommages, mais également sur celles qui ont pu être contrées avec succès. Étant donné que seules les cyberattaques signalées sont recensées, il faut partir du principe que le nombre de cas non déclarés est élevé. La question se pose de savoir s'il existe en Suisse une obligation de déclaration après une cyberattaque.
Le Parlement européen, conjointement avec le Conseil, a adopté le RGPD sur proposition de la Commission. Ce règlement apporte un progrès considérable dans le droit européen de la protection des données. L'objectif et la garantie du droit fondamental de la protection des données à caractère personnel sont visés par le fait que les entreprises qui traitent des données à caractère personnel sont réglementées en leur imposant une obligation de transparence, notamment par le biais d'obligations d'information, de notification et de renseignement. Les règlements sont directement applicables dans les États membres de l'UE sans acte de transposition national. Bien que la Suisse ne soit pas membre de l'UE, ce règlement peut être pertinent pour les entreprises en Suisse. Il convient de distinguer trois cas de figure différents. Sont concernées :
Si une entreprise suisse tombe dans le champ d'application du RGPD, elle doit, à la suite d'un vol de données, d'un cryptage de données et d'un accès illégal à des données, en bref, après une cyberattaque, notifier l'incident à la personne concernée et à l'autorité de protection des données compétente.
Le législateur suisse a également édicté une obligation de notification identique au niveau de la loi avec la révision de la LPD 2023, qui entrera en vigueur le 1er septembre 2023. Tant les personnes concernées que le PFPDT doivent être informés. En outre, la LFINMA prévoit une obligation de déclaration et d'information en cas de cyberattaque pour les entreprises soumises à la surveillance de la FINMA. Cette obligation est relativisée par le fait que seuls les incidents "d'importance majeure" pour l'activité de surveillance de la FINMA doivent être annoncés (cf. art. 29 al. 2 LFINMA).
Les entreprises en Suisse peuvent donc, dans certaines circonstances, être soumises à une obligation de déclaration dès aujourd'hui si elles entrent dans le champ d'application du RGPD ou, sous réserve d'une certaine intensité, si elles sont soumises à la surveillance de la FINMA. Au plus tard lors de l'entrée en vigueur de la LPD révisée 2023 le 1er septembre 2023, toutes les entreprises en Suisse seront soumises à une obligation de déclaration.