En Inde, la démarche en matière de gouvernance des données ne favorise ni une intervention excessive de l’État ni un laissez-faire absolu, mais encourage l’innovation

Les innovations opérées dans l’écosystème numérique de l’infrastructure publique indienne ont non seulement amélioré les fonctions de base de la société, mais ont aussi permis de démocratiser les données et de redonner aux individus le pouvoir de contrôler leurs propres données.

Pendant des siècles, les services publics et privés se sont appuyés sur des processus papier et manuels. Ces processus englobaient la prestation de services et la vérification du respect des lois et des règlements en vigueur. La numérisation substitue un code aux personnes et au support papier, ce qui permet de gagner en efficacité. Opérationnelle 24 heures sur 24 et peu coûteuse, l’infrastructure numérique peut être mise à l’échelle pour atteindre un grand nombre de personnes, ce qui permet de réaliser en quelques années des gains qui, autrement, auraient pris plusieurs décennies. De même, l’infrastructure publique numérique assure la prestation de services collectifs à l’ensemble de la population, y compris aux communautés marginalisées.

L’avènement de l’ère numérique a aussi provoqué une explosion du volume des données, accru leur disponibilité et transformé la manière dont elles sont traitées. Au niveau mondial, un petit groupe de fournisseurs de services, tels que Facebook, Google et Apple, contrôlent des volumes gigantesques de données de grande valeur sur les consommateurs, données qu’ils agrègent et exploitent à leur profit. Cet accès asymétrique aux données entrave la capacité des individus à exploiter leurs données personnelles dans leur propre intérêt.

Cette question est d’autant plus pertinente que l’infrastructure publique numérique peut considérablement améliorer l’accès au financement basé sur les données. Partout dans le monde, il est établi qu’en l’absence de garanties tangibles, la grande majorité de la population adulte ne peut pas obtenir de prêts auprès du système financier. Les informations recueillies à partir des activités en ligne quotidiennes des individus produisent un « capital informationnel » qui réduit les coûts de transaction, l’asymétrie d’information entre les emprunteurs et les prêteurs, et la dépendance à l’égard de garanties matérielles. Lorsque les individus ont accès à leurs données et peuvent en assurer le contrôle, ils sont en mesure de générer du capital informationnel.

Plusieurs organismes de réglementation ont tenté de résoudre le problème de la thésaurisation des données par les entreprises privées, en adoptant des politiques visant à limiter l’usage abusif des données, mais ces politiques ont également entravé l’utilisation de ces données, en particulier au profit de la population en général.

Cependant, dans la structure financière numérique de l’Inde, les mesures de protection de la vie privée sont intégrées dans la conception technique, plutôt qu’imposées de l’extérieur par des lois et des réglementations. Les avantages des données sont disponibles pour tous, sans porter atteinte aux droits individuels. Cette stratégie de gouvernance des données ne favorise ni une intervention excessive de l’État ni un laissez-faire absolu. Une telle association de fonctionnalités privées et publiques renforce la réglementation et l’innovation.

Le numérique en premier lieu

Depuis 2009, l’infrastructure publique numérique de l’Inde a connu un essor rapide, qui tient à trois raisons principales. Premièrement, la vision stratégique a été de concevoir cette infrastructure publique numérique comme un système de rails, chaque rail répondant à un besoin spécifique. Deuxièmement, l’innovation technologique appliquée à plusieurs de ces rails a donné jour à une combinaison intégrée et performante d’applications, souvent appelée « India Stack », qui peut être mise à l’échelle au service d’une population très diverse (plus d’un milliard de personnes réparties dans 29 États et parlant 22 langues). Troisièmement, l’infrastructure publique numérique a été déployée dans de nombreux secteurs.

Contrairement à d’autres pays, où l’infrastructure numérique a été développée en grande partie par des entreprises privées, l’Inde a mis en place un modèle unique, conçu et contrôlé par l’État, mais mis en œuvre par le secteur privé.

Cette approche permet au secteur public de se décharger de la responsabilité d’une prestation de bout en bout, par exemple dans les secteurs des paiements, de l’éducation et de la santé. Grâce à l’essor de la numérisation en Inde, la pénétration du numérique s’est intensifiée, et les plateformes des différents services publics ont pu être harmonisées. Dans le cadre des partenariats public–privé, le secteur public se concentre sur le cadre réglementaire, tandis que le secteur privé prend en charge l’interface avec les consommateurs et la prestation de services. Cette stratégie a également permis de réduire les écarts en matière d’inclusion.

L’infrastructure publique numérique de l’Inde, mise en place dans le cadre du système réglementaire, a permis aux citoyens d’accéder à l’économie formelle grâce à une identité numérique vérifiable, de participer au marché national grâce à un système de paiement rapide et de réaliser des gains de prospérité en matière de finances, de santé et de commerce grâce à la maîtrise et au partage des données.

Identité vérifiable : une identité vérifiable, ou une pièce d’identité certifiant que « je suis qui je suis », est un élément clé de toute économie et du niveau d’inclusion financière. En 2008, seul un Indien sur huit avait une identité vérifiable. En 2009, l’Inde a mis en place un système d’identification vérifiable, largement connu sous le nom d’Aadhaar, dans le cadre de son infrastructure publique numérique. Cette carte a été délivrée à plus d’un milliard de personnes, y compris celles qui ne savent ni lire ni écrire.

Cette identité numérique a stimulé l’inclusion financière. En moins de 10 ans, la proportion d’adultes possédant un compte bancaire est passée de 25 % à plus de 80 %. Sachant que l’inclusion financière va de pair avec le développement économique et la croissance du PIB par habitant, selon une estimation approximative, si l’Inde avait uniquement misé sur les modes de croissance économique traditionnels, il lui aurait fallu près de 50 ans pour progresser autant en matière d’inclusion.

Un système de paiement rapide : pour les consommateurs, un système de paiement rapide (un autre élément de l’infrastructure publique numérique) est un moyen sûr et pratique de transférer de l’argent et de payer les factures. Pour les entreprises, ce système permet de gérer efficacement les ventes et les stocks, et de réduire les frais généraux. Le gouvernement dispose quant à lui d’un système sans failles pour le versement des aides sociales et autres aux citoyens, y compris aux groupes cibles difficiles à atteindre.

Un système de paiement efficace réduit la dépendance à l’égard de l’économie monétaire et soutient la croissance économique. La plateforme de paiement rapide de l’Inde, l’interface de paiement unifiée (United Payments Interface, UPI), gérée par la National Payments Corporation of India, un organisme sans but lucratif, illustre la manière dont le régulateur (par exemple, la banque centrale) et le régulé (par exemple, les banques commerciales) peuvent gérer ensemble un système de paiement sous la forme d’une infrastructure publique numérique volontaire fonctionnant 24 heures sur 24. Le système UPI est interopérable, en ce sens qu’il permet aux services de paiement en ligne, tels que PhonePe, Paytm et Google Pay, de se connecter à son service. Le coût de fonctionnement du rail de paiement est supporté par les banques commerciales participantes.

Il offre tous les avantages de réseau des grands systèmes technologiques, tels que les transferts instantanés et les frais quasi nuls, sans les inconvénients d’un monopole. À la fin de 2022, l’UPI traitait près de huit milliards de transactions par mois, soit environ 70 % de plus que l’année précédente. Dans les faits, les rails du commerce dématérialisé, complétés par des systèmes de paiement numériques, ont atténué les pires conséquences des confinements liés à la COVID-19 dans le pays.

Une large applicabilité : la pandémie a révélé le potentiel des infrastructures publiques numériques, qui dépasse le domaine de la finance. Parmi les solutions systémiques concluantes, on peut citer la mise au point et la distribution de vaccins, qui ont sauvé des vies ; les rails du commerce électronique, qui ont protégé les emplois et les moyens de subsistance ; et l’enseignement par voie numérique, qui a permis de réduire au maximum la déperdition scolaire.

Ainsi, dans le secteur des soins de santé, les rails numériques permettent un partage des données dans l’ensemble de l’écosystème médical afin que les hôpitaux, les laboratoires de diagnostic et les instituts de recherche puissent bénéficier d’un échange de données en temps réel, avec le consentement et dans l’intérêt des patients. Des dossiers complets, qui incluent les symptômes, les antécédents médicaux et d’autres points de données, sont facilement accessibles et permettent aux médecins d’établir des diagnostics et des traitements plus précis.

Dans le secteur spécialisé, les rails de l’infrastructure publique numérique permettent d’échanger et de trouver en toute confiance et en tout lieu des justificatifs de compétences. Dans un monde où la mobilité ne cesse de croître, la possibilité de certifier ses propres compétences peut se traduire par une autonomisation importante.

Dans le secteur de l’éducation, les rails numériques complètent les pratiques existantes et offrent des outils qui permettent aux enseignants, aux étudiants et aux établissements d’atteindre les objectifs d’apprentissage à l’échelle nationale. Ils facilitent les nouveaux moyens d’apprentissage et d’évaluation qui peuvent être diffusés pour obtenir des résultats personnalisés.

Renforcement du contrôle des données

Les infrastructures numériques contiennent une grande masse de données. Même si la loi limite la quantité de données pouvant être recueillies, leur usage et la durée de leur conservation, les consommateurs ne peuvent souvent pas accéder à leurs données, car elles sont stockées dans des silos exclusifs et dans des formats incompatibles. Compte tenu du volume de données concernées, de la nécessité de les sécuriser et de limiter les coûts de transaction, tout système qui redonne le contrôle aux consommateurs et aux entreprises doit être numérique.

Le cadre Data Empowerment and Protection Architecture (DEPA) de l’Inde offre une solution technico-juridique qui permet aux individus de faire valoir leurs droits en matière de données, grâce à un système de partage des données fondé sur le consentement. Ce système propose un niveau de sécurité élevé et des coûts de transaction faibles (environ 0,07 dollar par extraction de données), qui sont supportés par les consommateurs qui font appel à ce service. Cette architecture allie l’infrastructure publique numérique et l’innovation pilotée par le marché privé. Le partage des données ne se fait que sur la base d’un consentement détaillé qui indique les données sollicitées, la durée de leur conservation et les responsables de leur traitement. Les protocoles donnent également aux individus et aux entreprises, ou aux personnes concernées, la possibilité de révoquer leur consentement, de vérifier les transactions de partage des données et d’imposer à cet égard certaines exigences en matière de sécurité des données.

Voici comment fonctionne en pratique un rail de partage des données basé sur le consentement dans le secteur financier. Le graphique montre comment l’infrastructure publique numérique permet de fournir des services de crédit, d’assurance et de gestion de patrimoine, grâce à un partage autorisé des données au sein d’un système conforme à des principes de confidentialité bien établis.

Dans cette série de transactions, le gestionnaire de consentement connaît l’identité des utilisateurs ou des fournisseurs de données, mais ignore le contenu des données qu’ils transfèrent. Les utilisateurs (fournisseurs) de données, quant à eux, connaissent le contenu des données, mais ignorent l’identité du fournisseur (utilisateur). Par l’intermédiaire du gestionnaire de consentement, les flux de données sont séparés des flux de consentement, ce qui garantit un transfert efficace des données tout en respectant les impératifs de confidentialité. Par exemple, même si, en réponse à la demande d’un client, une banque peut partager des données sur l’historique des dépenses de ce client dans le cadre d’une demande de crédit, elle ignore l’objet de la demande et l’identité de l’entité qui reçoit les données.

Depuis que ce système a été mis en place dans le secteur financier indien l’année dernière, quelque 1,1 milliard de comptes individuels qui en bénéficient peuvent désormais tirer parti de la valeur de leurs données. Les expériences de chacun montrent que le système a considérablement réduit le temps nécessaire pour accéder au crédit, qui est passé de plusieurs mois à quelques jours. À titre d’exemple, une petite entreprise qui a dû faire face à de graves problèmes de trésorerie quand ses projets d’expansion sont devenus irréalisables après le début de la pandémie de COVID-19 a pu obtenir un financement et éviter la faillite grâce à la possibilité de partage de ses données financières.

Toutefois, l’Inde a connu des difficultés de parcours. En l’absence d’une loi nationale sur la protection des données, le cadre de consentement des données du pays a été élaboré sous la supervision réglementaire de la banque centrale, plutôt que d’un régulateur spécialisé dans la protection des données. Le nouveau projet de loi de l’Inde fait spécifiquement référence au mandat technique et réglementaire du gestionnaire de consentement, qui est au cœur du cadre DEPA. Une fois adoptée, cette loi jouera un rôle essentiel dans l’élaboration des bases de réglementation et de surveillance du DEPA.

Gouvernance des données

Les enseignements tirés de l’expérience indienne, et plus généralement de celle de plusieurs territoires dans le monde — l’Australie, le Royaume-Uni, Singapour et l’Union européenne, pour n’en citer que quelques-uns —, ont démontré le rôle central des données pour garantir des avantages équitables et tangibles aux citoyens. Une caractéristique essentielle de l’infrastructure publique numérique est qu’elle peut être conçue pour permettre aux particuliers et aux entreprises d’utiliser leurs données dans leur propre intérêt.

À en juger par l’expérience de l’Inde, les principes suivants pourraient s’avérer utiles à d’autres pays désireux d’adopter une infrastructure publique numérique :

• Les citoyens doivent avoir le droit d’accéder à leurs données et de les utiliser, où qu’elles se trouvent, dans leur propre intérêt.
• Les règles liées à l’accès aux données et à leur utilisation doivent être pratiques et claires, et permettre aux utilisateurs d’accéder à leurs données et de les partager avec leur consentement, à un coût raisonnable, et dans le respect de leur vie privée et de leur sécurité.
• Un tel système doit être numérique, et les principes de protection des données doivent être intégrés dans la technologie, étant donné le volume de données concernées et la nécessité de les stocker en toute sécurité moyennant des coûts de transaction réduits.

Récemment, les dirigeants de l’Australie, de la France, de l’Inde, du Japon, du Rwanda, de la Banque des règlements internationaux et de la Commission européenne ont discuté des approches permettant la reprise du contrôle des données et ont affirmé l’importance de renforcer le double objectif de protection de la vie privée et d’innovation axée sur les données, au moyen de protocoles techniques ouverts et interopérables. La gouvernance des données est également devenue un élément clé de certaines nouvelles initiatives commerciales régionales en Asie et dans le Pacifique. L’accord de partenariat sur l’économie numérique entre le Chili, la Nouvelle-Zélande et Singapour et le cadre économique indopacifique pour la prospérité en sont deux exemples récents.

Les infrastructures publiques numériques et la maîtrise des données seront les thèmes centraux de la présidence indienne du G20 en 2023. Afin de réaliser des avancées dans le monde entier, un mécanisme de gouvernance mondial sera requis pour appuyer les normes technologiques ouvertes, la coordination réglementaire entre les nombreuses parties prenantes et une accréditation interopérable. En outre, la coordination internationale est essentielle pour garantir une gouvernance adéquate des transactions transfrontalières. Il est trop tôt pour évoquer des normes communes en matière de gouvernance des données, mais des discussions informelles et au sein des institutions internationales sur les critères généraux de telles normes ont déjà commencé.

Dans une perspective future, la communauté mondiale doit encourager cette réflexion, en incitant les pays aux vues similaires à partager leurs expériences et à repousser les limites des meilleures pratiques en matière de gouvernance des données. L’absence persistante d’institutions chargées de représenter les intérêts globaux dans le domaine du numérique constitue une lacune majeure de l’architecture internationale actuelle.

Les opinions exprimées dans la revue n’engagent que leurs auteurs et ne reflètent pas nécessairement la politique du FMI.