Il me faut moins de 15 secondes pour appuyer sur « J’accepte » les termes et conditions standard chaque fois que je télécharge une application. Que je sois impatient ou simplement inconscient de la valeur des données que je donne, je ne suis pas seul dans cet acte. Partout dans le monde, des milliards de consommateurs et d’entreprises font de même : donner leurs données pour qu’elles soient utilisées par d’autres agents à des fins non prévues. Je me rends compte maintenant que le consentement préalable donne mes données pour de bon. Mais dois-je m’en soucier ? La société doit-elle s’en préoccuper ?
La réponse est un oui retentissant. Dans les démocraties, nos idées, nos croyances et nos valeurs forment l’architecture du fonctionnement de notre système. Ce système, à son tour, façonne nos vies. Dans le domaine de la gouvernance des données, le système existant n’a pas fonctionné et n’est pas conforme à nos valeurs en tant que société. Ainsi, l’architecture doit changer.
Quel est le problème?
Les développements technologiques des deux dernières décennies ont conduit à une explosion de la disponibilité des données et de leur traitement. Elle a également permis de collecter de grandes quantités de données sur les consommateurs, souvent appelées « mégadonnées », et de les transformer en un bien précieux. Dans un tel contexte, il est important de savoir clairement qui contrôle les données des consommateurs et des entreprises, où ces données sont stockées, avec qui et dans quelles conditions elles sont partagées, et quel système de gouvernance des données sous-tend tout cela. Dans la plupart des pays, une loi sur la protection de la vie privée décrit un ensemble de principes qui définissent la manière dont les données personnelles sont collectées, partagées et traitées. Cependant, malgré ces mesures légales, les consommateurs ne peuvent généralement pas accéder à leurs données, les trouvant plutôt stockées dans des silos propriétaires inaccessibles et dans des formats incompatibles.
Cependant, malgré ces mesures légales, les consommateurs ne peuvent généralement pas accéder à leurs données, les trouvant plutôt stockées dans des silos propriétaires inaccessibles et dans des formats incompatibles.
Quelle est la solution?
Afin de donner aux individus un moyen de reprendre le contrôle de leurs données, les régulateurs doivent remplacer le consentement initial large et étendu par un consentement granulaire. Dans un article récent, mes co-auteurs et moi avons développé un ensemble de principes de gouvernance des données qui permettront aux consommateurs de prendre le contrôle de leurs données. Compte tenu de la grande quantité de données impliquées, ainsi que du besoin de sécurité et de faibles coûts de transaction, nous avons également soutenu que le système devait être numérique.
L’Inde est à l’avant-garde d’une telle approche pour renvoyer les données aux consommateurs. Les leçons tirées de leur incursion dans une réglementation plus stricte des données peuvent être utiles à tous les législateurs, qu’ils soient dans les pays avancés, émergents ou en développement.
Dans le secteur financier, le système de gouvernance des données fonctionne comme suit. Quatre parties sont impliquées dans ce cadre :
- Personnes concernées : Consommateurs et entreprises dont les traces numériques créent des données.
- Fournisseurs de données: Entités où les données des consommateurs/entreprises sont stockées. Ceux-ci peuvent inclure des fournisseurs d’informations financières, des plates-formes fiscales et des fournisseurs d’assurance, entre autres.
- Utilisateurs de données: Entités pouvant fournir des services aux Personnes Concernées dès lors qu’elles ont accès à leurs données. Ceux-ci peuvent inclure des parties telles que des prêteurs, des compagnies d’assurance et des gestionnaires de finances personnelles.
- Gestionnaires de consentement (CM) : Entités qui peuvent garantir que le partage de données se déroule conformément aux règles.
La figure ci-dessous illustre le rôle et le calendrier de la contribution de chaque partie :
- La personne concernée doit d’abord s’inscrire auprès d’un gestionnaire de consentement (CM) et, ce faisant, fournir une liste de fournisseurs de données approuvés au CM.
- La personne concernée sollicite un service auprès d’un utilisateur de données.
- L’utilisateur de données soumet une demande de transfert de données au CM.
- Le CM transmet la demande à la personne concernée et obtient son consentement pour le partage des données.
- Le CM soumet cette demande au fournisseur de données.
- Après avoir vérifié la demande, le fournisseur de données transfère les données via un flux chiffré de bout en bout au CM.
- Le CM partage des données cryptées avec l’utilisateur de données.
Graphique 1. Inde : système de partage des données du secteur financier
Source : figure fournie par l’auteur.
Cette architecture de système de partage de données permet des niveaux élevés de sécurité des données. Bien que le CM connaisse l’identité des utilisateurs de données et des fournisseurs de données dans la série de transactions décrites ci-dessus, il est aveugle au contenu des données qu’il transfère. En revanche, les Utilisateurs de Données connaissent le contenu des données mais ignorent l’identité du Fournisseur de Données. De même, les fournisseurs de données sont conscients du contenu des données, mais aveugles à l’identité de l’utilisateur de données. Grâce au CM, les flux de données sont séparés des flux de consentement, garantissant un transfert efficace des données tout en respectant les préoccupations de confidentialité.
Des infrastructures publiques numériques soigneusement conçues, développées et mises en œuvre en tant que partenariats public-privé dans lesquels le secteur public définit les garde-fous réglementaires tandis que le secteur privé libère les forces de l’innovation, sont des approches éprouvées pour stimuler la croissance à l’échelle de l’économie. Le système numérique évoqué ci-dessus, qui permet aux individus d’opérationnaliser efficacement leurs droits sur les données, offre un haut niveau de sécurité et fonctionne à de faibles coûts de transaction malgré les quantités massives de données impliquées. Au cours des 11 mois qui ont suivi la mise en service de ce système en Inde, les comptes de quelque 1,1 milliard d’individus ont été activés afin qu’ils puissent tirer parti de la valeur de leurs données. L’expérience indienne a démontré le potentiel de rendre le contrôle des données aux individus de manière sécurisée et rentable.
Un tel succès ne peut être tenu pour acquis. Dans le développement et la mise en œuvre du système indien de gouvernance des données, les législateurs, les technologues et les professionnels du droit ont tous joué un rôle central. Différents pays peuvent souhaiter adopter différents modèles, en partie en raison de points de départ législatifs différents. Pourtant, quelles que soient les particularités du système de gouvernance des données adopté, les principes qui sous-tendent le système de gouvernance des données en Inde restent cruciaux pour construire un cadre mondial sécurisé pour les données des utilisateurs.
