Créer un climat de confiance
La COVID-19 nous a tous contraints à porter un autre regard sur les données
La pandémie de COVID-19 a mis en évidence la dépendance du monde à l’égard des données, que ce soit pour lutter contre le virus ou pour les transactions quotidiennes effectuées auparavant en personne et qui sont soudainement passées en ligne. Les mariages, les funérailles, les soins médicaux et les achats à l’épicerie ont été réduits à une expérience sur Internet par ordinateur interposé.
Les pays dotés d’une législation solide en matière de transactions électroniques se sont adaptés plus facilement au commerce électronique et à la fourniture de services publics en ligne que les pays contraints de construire une infrastructure technique et juridique à partir de rien. Non seulement les dysfonctionnements ont mis la patience des gens à rude épreuve, mais le nouveau volume du trafic Internet a également fortement pesé sur l’infrastructure mondiale des communications. Et tout ce trafic est constitué de données.
La quantité de données collectées et traitées — tous types confondus, à savoir données personnelles et non personnelles, fournies activement ou générées passivement — a atteint des niveaux sans précédent. Le volume de données en soit a également fait prendre conscience de leur vulnérabilité aux violations, en particulier les données à caractère personnel.
La confiance dans les données a été mise à mal par la réglementation d’urgence
Une grande partie des données générées et utilisées pour lutter contre la COVID-19 étaient au départ des données à caractère personnel. Ces données ont parfois été anonymisées et, lorsqu’elles ont été combinées à d’autres données de nature privée et publique, elles ont permis de créer de nouveaux moyens puissants de comprendre les tendances, comme le montre le tableau de bord COVID-19 Dashboard géré par l’université Johns Hopkins. Les données sanitaires collectées pendant la pandémie sont également utilisées pour éclairer les réponses politiques et mieux cibler les ressources pour la fourniture de services sociaux.
Recherche des contacts
La recherche numérique des contacts — quelque chose de pratiquement inconnu de la plupart des gens jusqu’en 2020 — est devenue une source de débats animés sur la manière de collecter et d’utiliser efficacement les données à caractère personnel tout en garantissant la confiance. Cela étant, la communication des données devrait-elle être obligatoire ? Quelles mesures de protection devrait-on prendre à l’égard des données collectées ? À quoi ces données devraient-elles servir ? Et pendant combien de temps devrait-on les conserver ?
Les applications de traçage des contacts se sont répandues partout dans le monde pour suivre l’évolution du virus, et les pays ont suivi des approches différentes à cet égard. L’efficacité de certaines de ces applications — mesurée par le nombre de téléchargements et d’utilisations — est liée à la confiance des citoyens dans la sécurité des systèmes et dans la manière dont ces systèmes traitent leurs données.
Pour que l’effort de recherche des contacts fournisse des informations utiles et exploitables sur la façon dont le virus circule aux frontières, il est apparu clairement que les plateformes et systèmes de collecte de données et la façon dont les données étaient traitées devaient fonctionner de manière transparente (être interopérables). En dépit des efforts déployés pour promouvoir cette interopérabilité, notamment par le développement du système d’exploitation conçu conjointement par Apple et Google, et de la « boîte à outils » de l’Union européenne sur les normes techniques communes à ses pays membres, les applications mises au point par les pays du monde entier diffèrent encore suffisamment pour que la réalité soit en deçà des aspirations.
La COVID-19 a révélé les faiblesses des normes mondiales en matière de données
Les premières utilisations de données en réponse à la pandémie de COVID-19 ont soulevé des questions sur la façon dont des normes communes devraient être développées et l’entité qui devrait en avoir la charge, et amené à se demander si l’adoption de normes d’interopérabilité devrait être obligatoire, et si les réponses nationales à la pandémie sont de nature à permettre même l’élaboration de règles et de normes communes sur la façon dont les données doivent être collectées, gérées et échangées entre les pays. Ces questions se sont à nouveau posées avec l’avènement des vaccins, au regard des normes différentes appliquées dans la collecte de données sur les vaccins et des restrictions imposées au transfert de données sanitaires personnelles entre certains pays. Dans ces conditions, il est plus difficile de comparer les données sur l’efficacité des vaccins ou de les regrouper pour procéder à des analyses approfondies.
En cherchant à accroître l’accès aux données pour faire face à ces circonstances inédites, de nombreux gouvernements ont adopté une législation d’urgence pour autoriser l’utilisation des données à caractère personnel ; et d’autres ont suspendu les lois existantes protégeant es données pour permettre leur collecte sans entrave en vue de lutter contre la pandémie. Dans certains cas, ces lois ont été adoptées de manière transparente, conçues pour être explicitement temporaires, et comportaient des dates précises auxquelles elles cesseraient d’être appliquées pour garantir un retour à la normale. D’autres lois n’incluaient pas ces garanties essentielles à une procédure régulière et pour demander des comptes au gouvernement.
L’accès aux vaccins et l’utilisation du passeport vaccinal soulèvent également davantage de préoccupations qui touchent au cœur du contrat social pour les données. Comme pour la recherche des contacts, des préoccupations similaires en matière de protection des données s’appliqueront aux certificats de vaccination. Par exemple, la quantité de données collectées est-elle minimale ? Les données sont-elles recueillies uniquement dans le but limité de relier une personne à l’inoculation ? Quelle sera la durée de validité de ces données ? En outre, des questions plus générales concernant l’équité — ainsi que le risque de parti pris et de discrimination pouvant résulter de l’utilisation des certificats de vaccination, de ces outils et de leurs données sous-jacentes — doivent être examinées.
L’enquête mondiale sur la réglementation des données
Cette enquête repose sur une évaluation détaillée des lois, réglementations et formalités administratives nationales qui rendent compte de l’état de la réglementation dans chaque pays au 1er juin 2020. Les résultats de l’enquête sont résumés dans divers sous-indices qui reprennent différents aspects de l’environnement réglementaire concernant les mesures de protection et de facilitation.
Sécuriser l’utilisation des données
Dans les 80 pays étudiés, environ 40 % des éléments de bonnes pratiques en matière de garanties réglementaires sont en place. Bien que les scores varient considérablement, de moins de 35 % dans les pays à faible revenu à plus de 50 % dans les pays à revenu élevé, les résultats soulignent que même parmi ces derniers, le cadre réglementaire est loin d’être complet.
Score des pays en fonction du degré de protection
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Protéger les données à caractère personnel
Pour mieux répondre aux préoccupations sous-jacentes concernant les rapports de force asymétriques entre les individus (et de plus en plus, les groupes) et les responsables du contrôle ou du traitement des données, le présent rapport préconise une approche fondée sur les droits pour la protection des données à caractère personnel. Ces droits sont à la fois substantiels (y compris le droit de contrôler la manière dont les données seront collectées, utilisées, diffusées à des tiers ou partagées avec ceux-ci) et procéduraux (notamment la garantie que les données seront utilisées de manière transparente, proportionnée et responsable, et que les personnes victimes d’une violation des données seront informées et éventuellement dédommagées par le biais de véritables mécanismes de recours). Ces droits sont généralement assortis d’obligations imposées aux parties qui contrôlent les données collectées, traitées ou utilisées afin d’en garantir le respect.
Les droits fondamentaux des personnes sur leurs données sont protégés pour favoriser leur capacité d’agir et d’exercer un contrôle sur les données qu’elles produisent ou par lesquelles elles sont susceptibles d’être identifiées, pour éviter tout usage abusif, par exemple à des fins de ciblage, de surveillance ou de discrimination.
Score des pays en matière de protection des données à caractère personnel
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
La figure qui suit montre le pourcentage de pays qui, dans chaque groupe de revenus, ont adopté les éléments d’un cadre juridique et réglementaire solide pour la protection des données personnelles (au 1er juin 2020). Elle met en évidence les principaux droits reconnus aux individus sur leurs données, ainsi que les limites imposées aux tiers en ce qui concerne la collecte, le traitement et l’utilisation des données en vue de promouvoir la confiance dans l’utilisation de ces dernières et de respecter le contrat social en la matière.
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Près de 60 % des pays étudiés dans le cadre de ce rapport ont adopté de telles lois, allant de 40 % des pays à faible revenu à près de 80 % des pays à revenu élevé. Bien que de nombreux pays à revenu intermédiaire inférieur aient adopté des lois, leur application est inégale : seuls 30 % des pays à faible revenu et 40 % des pays à revenu intermédiaire inférieur ont créé une autorité de protection des données.
Ces exceptions sont courantes dans tous les pays étudiés qui disposent d’une législation sur la protection des données. La plupart de ces exceptions sont limitées et concernent des utilisations spécifiques des données, par exemple en matière de sécurité nationale (comme au Brésil et en Inde) ou dans le cadre de transactions impliquant des données sanitaires (comme au Gabon). D’autres pays ont adopté des lois prévoyant des exceptions plus générales, notamment l’exemption de l’obligation d’obtenir le consentement des détenteurs de données lorsqu’ils exercent des fonctions gouvernementales légales, comme la prestation de services publics.
Plus d’un tiers des pays à revenu élevé exigent que les exceptions soient justifiées, alors que moins de 10 % des pays à faible revenu étudiés imposent de telles limites à l’action gouvernementale. Cette absence de limites crée d’autres possibilités de surveillance non contrôlée par l’État ou de dérive de la mission, ce qui sape la confiance dans l’utilisation des données.
La protection des données à caractère personnel s’appuie sur l’imposition de limites à la manière dont les données des particuliers (pouvant servir à les identifier) sont recueillies, traitées et utilisées. Seuls 18 % des pays étudiés ont adopté des dispositions imposant des limites rigoureuses à la collecte et à l’utilisation des données, qui sont essentielles à la protection des données à caractère personnel. On trouve des dispositions sur la limitation de la finalité dans 79 % des pays à revenu élevé ; 62 % des pays à revenu intermédiaire supérieur ; 53 % des pays à revenu intermédiaire inférieur; et 40 % des pays à faible revenu countries.
En outre, 18 % des cadres juridiques relatifs à la protection des données dans les pays étudiés prévoient l’obligation de protéger les données dès la conception. On trouve des dispositions à cet effet dans 36 % des pays à revenu élevé ; 14 % des pays à revenu intermédiaire supérieur ; et 23 % des pays à revenu intermédiaire inférieur.
Seuls environ 30 % des pays interrogés ont mis en place des mesures visant à limiter la prise de décision basée sur des données à caractère personnel traitées automatiquement. Parmi ceux-ci, la Côte d’Ivoire a inclus dans sa loi sur la protection des données des dispositions qui interdisent l’utilisation du traitement automatisé de ce type de données dans la prise de décision judiciaire afin d’éviter tout parti pris.
Cybersécurité et cybercriminalité
On peut également créer un climat de confiance en améliorant la cybersécurité et en réduisant la cybercriminalité. La cybercriminalité concerne généralement l’accès non autorisé (parfois appelé piratage) à un système informatique, la surveillance non autorisée, l’altération ou la suppression de données, la perturbation du système, le vol de contenu informatique, l’utilisation abusive de dispositifs et les infractions liées au contenu et au fonctionnement de l’ordinateur.
La cybersécurité englobe les règles de protection des données pour les systèmes techniques utilisés par les responsables du traitement et du contrôle des données, ainsi que la mise en place d’une équipe nationale d’intervention en cas d’atteinte à la sécurité informatique, un groupe d’experts qui s’occupe des atteintes à la sécurité informatique. Outre la lutte contre les comportements criminels évoqués, la cybersécurité permet également de renforcer la confiance en s’attaquant aux violations et divulgations involontaires de données (telles que celles résultant de serveurs mal configurés) et en demandant des comptes aux entreprises.
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
La figure qui suit montre le pourcentage de pays dans chaque groupe de revenu qui ont adopté des politiques publiques, des législations et des réglementations solides sur la cybersécurité et la cybercriminalité (au 1er juin 2020).
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Les pays étudiés diffèrent en termes d’adoption de lois sur la cybercriminalité qui pénalisent l’ensemble des activités non autorisées. Les résultats sont en corrélation avec le niveau de revenu. Alors qu’environ 70 % des pays à revenu intermédiaire supérieur disposent de telles lois sur la cybercriminalité, seuls 60 % des pays à revenu intermédiaire inférieur et moins de la moitié des pays à faible revenu ont adopté des dispositions similaires.
Les équipes d’intervention en cas d’atteinte à la sécurité informatique sont beaucoup plus présentes dans les pays que les autres éléments constitutifs d’un cadre solide pour la cybersécurité/cybercriminalité. On trouve des lois, des règlements ou des politiques de cybersécurité prévoyant la création d’une équipe d’intervention en cas d’atteinte à la sécurité informatique/équipe d’intervention informatique d’urgence dans tous les pays à revenu élevé et dans environ un tiers des pays à faible revenu.
Dans l’ensemble, il ressort de l’enquête que le niveau d’adoption des mesures de cybersécurité est faible. Aucun des pays à faible revenu étudiés n’a imposé légalement une gamme complète d’obligations en matière de sécurité aux responsables du traitement et du contrôle des données. Même parmi les pays à revenu élevé , à peine 40 % des pays visés par l’enquête exigent des responsables du traitement et du contrôle des données qu’ils se conforment à ces règles de sécurité.
Environ un tiers des pays, toutes catégories de revenus confondues, disposent de politiques ou de lois précisant les règles de sécurité applicables au traitement automatisé des données à caractère personnel. Dans le groupe des pays à revenu intermédiaire inférieur , la nouvelle loi kenyane sur la protection des données, qui comprend des règles exhaustives en matière de cybersécurité, constitue un exemple de bonne pratique.
Faciliter l’utilisation des données
Dans les 80 pays étudiés dans le cadre de la préparation du présent rapport, un peu moins de la moitié (47 %) des éléments d’un cadre réglementaire de bonnes pratiques tendant à faciliter l’utilisation et la réutilisation des données sont en place. Les scores varient considérablement, de 30 % pour les pays à faible revenu à 62 % pour les pays à revenu élevé. Bien que l’Estonie et le Royaume-Uni se distinguent parmi les pays à revenu élevé étudiés comme étant les plus avancés dans le domaine de la facilitation, leurs performances sont égalées dans le groupe des pays à revenu intermédiaire par celles du Mexique. Plusieurs autres pays à revenu faible ou intermédiaire comme la Chine, la Colombie, l’Indonésie et le Nigeria progressent également dans la mise en place d’un cadre réglementaire permettant de réutiliser les données.
Scores des pays pour les mesures visant à faciliter l’utilisation, la réutilisation et le partage en toute confiance des données pour le développement
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Faciliter l’utilisation des données à vocation publique
La figure qui suit porte essentiellement sur les pays qui facilitent l’utilisation des données à vocation publique : plus précisément, les données qui sont générées ou contrôlées (ou les deux) par le secteur public (autrement appelées données du secteur public). Jusqu’à présent, sauf cas exceptionnel, les gouvernements ont davantage exercé le contrôle sur l’accès obligatoire aux données du secteur public qu’à celles produites par le secteur privé.
Scores des pays facilitant l’utilisation des données publiques
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
En ce qui concerne les données du secteur public, les gouvernements peuvent utiliser plusieurs moyens d’intervention et outils juridiques pour imposer directement l’accès et le partage des données — en fait, certains le font déjà pour certaines données ayant trait à la santé, aux brevets et même aux passagers des compagnies aériennes. En revanche, la plupart des transactions de données impliquant le secteur privé sont fondées sur des accords contractuels volontaires, le rôle du gouvernement se limitant en grande partie à créer des incitations pour encourager le secteur privé à partager les données.
La figure qui suit montre le pourcentage de pays dans chaque groupe de revenu qui ont adopté les éléments d’un cadre juridique et réglementaire solide destiné à faciliter l’accessibilité, l’utilisation et la réutilisation des données à vocation publique (au 1er juin 2020).
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Les lois sur les données ouvertes sont considérées comme l’approche la plus décisive que les gouvernements peuvent utiliser pour améliorer l’accès aux données du secteur public et faciliter leur réutilisation par des tiers pour créer de la valeur. Environ un tiers des pays étudiés disposent d’une législation sur les données ouvertes. On trouve plus couramment ces lois dans les pays à revenu élevé. revenu élevé.
À mesure que les systèmes de données ouvertes des pays arrivent à maturité, les gouvernements doivent passer de la simple promotion de l’accès aux données à la facilitation de leur utilisation, en veillant à ce que les données et les métadonnées soient « ouvertes par défaut » et que leur publication soit priorisée en fonction des besoins des utilisateurs, qu’elles soient accessibles dans un format ouvert et lisible par machine et qu’elles soient disponibles par téléchargement en vrac ou par des interfaces applicatives (API).
Plus de 70 % des pays étudiés ont adopté une législation sur l’accès à l’information, et ce concernant toutes les catégories de revenu. L’efficacité de cette mesure de facilitation pour les données du secteur public dépend de la formulation ou de l’interprétation des catégories d’exception à la divulgation. Il s’agit là d’une limitation majeure dans la pratique. Près de la moitié des pays étudiés — toutes catégories de revenu confondues — ont imposé des exceptions importantes au droit d’accès aux informations du secteur public.
Un élément fondamental ayant vocation à faciliter la réutilisation des données est une politique de classification des données qui répartit les types de données selon des critères objectifs faciles à mettre en œuvre au cours des différentes étapes du cycle de vie des données. Bien que des politiques de classification des données existent dans plus de la moitié des pays étudiés, leurs effets pratiques sont limités, l’application de politiques de classification des données aux systèmes de gestion des bases de données ou des documents gouvernementaux étant obligatoire dans moins d’un tiers des pays.
Pour que la valeur des données — y compris les données ouvertes — soit pleinement exploitée, la législation doit aller au-delà de la promotion de l’accès aux données et garantir que celles-ci puissent être utilisées plus efficacement en combinant ou en reliant des ensembles de données. Pour ce faire, il faut des dispositions régissant l’interopérabilité des données (et des métadonnées) et leur qualité, ainsi que des modalités de publication de ces données. L’interopérabilité des données et des systèmes peut être possible grâce à l’adoption de normes harmonisées, idéalement des normes ouvertes.
Pour faciliter leur réutilisation, il faut que les données à vocation publique soient également publiées sous une licence ouverte et gratuitement ou à un prix marginal afin de couvrir les coûts de diffusion ou de reproduction. Près de 48 % des pays étudiés ont adopté une forme de régime de licence ouverte pour les données à vocation publique. Tous les pays à revenu élevé visés par l’enquête l’ont fait, contre environ un tiers des pays à faible revenu et à revenu-intermédiaire.
Faciliter le commerce électronique
De nombreuses utilisations ou de nombreux transferts de données se font par le biais de transactions électroniques. Les personnes qui utilisent leurs données pour effectuer des transactions en ligne ont besoin de savoir que ces données sont utilisées de manière sûre et sécurisée. Les lois régissant le commerce électronique et les transactions électroniques offrent un cadre juridique général qui contribue à créer la confiance dans les transactions de données en ligne des secteurs public et privé, ce qui encourage l’utilisation des données en ligne. La législation sur le commerce électronique est donc un élément important de la législation d’habilitation.
Scores des pays en matière de facilitation du commerce électronique
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
La figure suivante montre le pourcentage de pays, dans chaque groupe de revenu, qui ont adopté les éléments constitutifs d’un cadre juridique et réglementaire solide pour assurer des transactions électroniques fiables et sûres (au 1er juin 2020).
Source: Rapport sur le développement dans le monde 2021 — Des données au service d’une vie meilleure, Global Data Regulation Survey.
Plus de 70 des pays étudiés, dont environ 60 % des pays à faible revenudisposent de telles lois, avec peu de variations entre les groupes de revenu des pays.
La législation sur le commerce électronique de la majorité des pays étudiés comporte de telles dispositions — constat peu surprenant étant donné que les lois types sur le commerce électronique ont été adoptées à la fin des années 1990. Par exemple, des dispositions autorisant les transactions électroniques figurent dans la loi marocaine n° 53-05 (2007) et des dispositions relatives aux bonnes pratiques sont intégrées dans les modifications apportées à la loi thaïlandaise sur les transactions électroniques de 2019.
La reconnaissance juridique des signatures électroniques est le seul domaine dans lequel les pays à revenu élevé restent loin devant les pays à faible revenu ou à revenu -intermédiaire.
Bien qu’on assiste à une utilisation accrue d’outils de vérification et d’authentification de l’identité numérique, moins de la moitié des pays étudiés disposent de systèmes d’identification numérique reconnus par le gouvernement qui favoriseraient l’authentification à distance des personnes pour accéder aux services administratifs en ligne ; ceux qui en ont sont majoritairement des pays riches.
Le principe de neutralité technologique a été mis en œuvre dans les lois ou réglementations sur le commerce électronique de 53 % des pays à faible revenu et 57 % des pays à revenu intermédiaire supérieur contre 71 % des pays à revenu élevé et 80 % des pays à revenu moyen inférieur.