Pas de liberté sans responsabilité : quel rapport entre la protection des données des entreprises et la vaccination contre la COVID-19 ?

27/07/2021 - 3 min. de lecture

Pas de liberté sans responsabilité : quel rapport entre la protection des données des entreprises et la vaccination contre la COVID-19  ? - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

Le Général (2s) Marc Betton est Général de gendarmerie (2S) & Directeur de la sécurité de Réseau de Transport d'Électricité (RTE).

---

L’entreprise est un groupe humain formé autour d’une raison d’être, plus ou moins explicitement formulée. Qu’elle soit de statut privé ou public, elle doit développer son chiffre d’affaires en France comme à l’étranger. Dans ce but, l’entreprise est libre de commercer avec les clients ou les fournisseurs que lui indiquent ses intérêts.

Pour illustrer le propos dans la posture d’achat de fournitures ou de services, l’entreprise peut faire le choix de composer avec certaines recommandations ou normes internationales, européennes ou nationales, en minorant ses exigences afin de conclure rapidement et à un coût compétitif.

Prenons l’exemple de l’application du règlement général sur la protection des données (RGPD) à caractère personnel dans les marchés de services informatiques, où les offres sont de plus en plus basées sur des systèmes d’information en nuage, osons l’anglicisme cloud. En juillet l’an dernier, la Cour de justice de l’Union européenne a invalidé l’accord d’équivalence UE – USA, dit "privacy shield", portant sur les garanties de protection des données personnelles apportées par le RGPD, d’une part, la législation américaine, d’autre part. En effet, les autorités américaines disposent d’outils d’ingérence très puissants sous la forme de lois à portée extraterritoriale très invasives, notamment le Cloud Act (clarifying lawfull overseas use of data act) et le FISA (foreign intelligence surveillance act). La première impose aux opérateurs américains de services informatiques, sur réquisition judiciaire, de communiquer les données placées sous leur contrôle indépendamment du lieu où elles sont stockées et de la nationalité de leurs clients. La seconde permet aux agences gouvernementales de demander aux fournisseurs de services, à des fins de renseignement de sécurité nationale, l’accès aux données de ressortissants ou personnes morales non américains se trouvant à l’étranger, sans obligation ni de disposer d’un mandat, ni de notifier la mesure aux intéressés.    

Depuis l’invalidation du "privacy shield", lorsqu’elles souhaitent confier le traitement de leurs données à un opérateur américain du cloud, les entreprises européennes ne peuvent donc compter que sur elles-mêmes pour imposer des exigences contractuelles de protection des informations. Or, dans le monde occidental (confier ses données à un opérateur chinois ou russe relève d’un autre paradigme…), les opérateurs américains dominent largement le marché des services dans le cloud, ce qui renvoi à l’absence de cloud souverain pour la protection des données sensibles, qu’elles soient personnelles, scientifiques, industrielles ou commerciales.

Les entreprises françaises sont donc libres de formuler leurs exigences de protection des données personnelles ou non personnelles dans leurs appels d’offres, au niveau de sécurité qu’elles estiment opportun. Elles peuvent tout à fait se contenter des clauses standards proposées par les opérateurs dominants du cloud, qui ne protègent que des cyber-attaques. Elles assument par là même les risques de violation des données personnelles de leurs clients ou salariés et d’ingérence portant sur les données industrielles et commerciales, en pariant sur le fait que ça n’arrivera pas.

La liberté d’entreprendre, en prenant des risques par rapport à certaines exigences dans la passation de marchés, a comme corollaire la responsabilité de l’entreprise, dont la traduction en termes d’impact potentiel financier, commercial, juridique et de réputation, peut s’avérer être exorbitant. 

De même, le risque de contracter la Covid-19 et de contaminer son entourage est le corollaire de la liberté de refuser de se faire vacciner.

Certes, chacun est libre de disposer de son corps et a le droit d’interpeller les laboratoires et les autorités sanitaires sur l’innocuité de vaccins produits dans des délais record. Sur ce point, le manque de recul dans le temps semble largement compensé par le volume impressionnant de données épidémiologiques récoltées auprès de très larges populations vaccinées sur tous les continents.

La liberté individuelle s’arrête là où commence l’intérêt public, comme l’affirme l’article 4 de la Déclaration des droits de l’homme et du citoyen de 1789 : "la liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui…".

Quel militant anti-vaccin peut affirmer, la main sur le cœur, que son abstention ne regarde que lui-même, à part un ermite reclus au fond de sa grotte ?

La responsabilité morale de l’anti-vaccin est d’autant plus importante qu’il ne prend guère de risque pour lui-même (il sera soigné quoi qu’il arrive), et qu’a contrario, il fait courir le risque à ses compatriotes de devoir subir un nouveau confinement, dont tout le monde s’accorde à estimer que notre société et notre économie s’en remettraient difficilement.

En résumé, l’entreprise qui exerce sa liberté de négliger la protection de ses données prend de gros risques pour elle-même, quand l’individu qui exerce sa liberté de refuser le vaccin contre la Covid-19 fait courir de gros risques à la collectivité qui prendra soin de lui quoi qu’il arrive.

Général (2s) Marc Betton

27/07/2021

Dernières publications