Le rapport 2021 du Forum Economique Mondial sur les risques majeurs souligne de nouveau l’importance du changement climatique et de la gouvernance des données. La cybersécurité et la sécurité des données auront en effet des répercussions à court terme. La défaillance des infrastructures informatiques et de la gouvernance technologique devrait quant à elle s’avérer déterminante à plus long terme.
Ces deux dernières années ont de plus connu un bond en termes d’hyper-connectivité… avec son lot de nouveaux modèles de consommation, d’investissement – voire de travail et d’éducation. Ensemble, ces changement affectent jusqu’à notre notion du risque et même de la vie privée. C’est particulièrement vrai des campagnes de vaccination en cours. Celles-ci entraînent inévitablement la diffusion de données personnelles et sensibles sur la santé.
La gouvernance des données est géopolitique
Les perturbations transfrontalières liées aux flux de données ont un impact particulier sur les économies émergentes. Leur relative fragilité géopolitique y joue pour beaucoup. Par conséquent, cette question de la gouvernance des données présente des risques à prendre en compte par les investisseurs et les entreprises. Les attaques du pipeline Colonial, par exemple, ont entraîné l’arrêt complet des systèmes. Cela a causé de graves problèmes de sécurité des réseaux de technologies informationnelles et opérationnelles. L’ensemble de ces réseaux est par conséquent exposé à de nombreux cyber-risques. C’est d’autant plus vrai que la Big Tech est intrinsèquement liée à ces mêmes perturbations.
Ce phénomène se traduit par la hausse des coûts liés aux atteintes à la cybersécurité, litiges et amendes réglementaires. Le taux de croissance des cyber-dépenses devrait même augmenter de 7,7 à 14,5 % entre 2020 et 2026. Pourtant, les marchés (ainsi que les solutions ou produits correspondants) sont encore trop peu développés. Nous courrons dans l’intérim un risque accru d’ « ethics-washing » (ou posture pseudo-éthique). Par exemple, nombre de polices d’assurance ne couvrent pas les risques liés à la cybersécurité, ce qui expose les assureurs à un risque accru de cybercriminalité.
C’est pourquoi la gouvernance des données est en train de devenir une préoccupation clef dans le cadre plus large de l’analyse ESG. En effet, la refonte de divers cadres de reporting de l’information ESG est à l’étude sur ce point précis. Il s’agirait ainsi de mieux intégrer les questions relatives aux données et d’entériner les recommandations de bonnes pratiques.
La gouvernance des données s’impose aux analystes ESG
La primauté des données : un enjeu ESG montant
La proposition de directive de l’UE sur la diligence raisonnable en matière de droits humains devrait exiger une évaluation de la chaîne de valeur à 360 degrés. Autrement dit, l’Union Européenne imposerait la publication de telles informations couvrant l’ensemble de la chaîne de valeur.
Dans cette optique, la mobilisation des parties prenantes locales est un pilier important, tant dans l’atténuation des risques que dans la recherche des impacts. La directive cible en effet les entreprises dont les chaînes d’approvisionnement couvrent des zones géographiques divers. Elles ne font en effet pas toujours l’objet d’une diligence raisonnable rigoureuse en matière de droits de la personne. Autant d’éléments qui pourraient entraîner des risques importants pour sur le plan règlementaire et réputationnel.
Dans ce paysage plus large, la gouvernance des données s’impose comme une considération ESG des plus sensibles. Aux prises avec les risques et des opportunités liés à l’usage des données, des organisations comme l’Ada Lovelace Institute ont donc défini des principes de responsabilité, d’équité et d’éthique en matière d’innovation et d’usage des données. De même, le système d’identification biométrique indien, Aadhaar, compile les données de plus de 1,31 milliard de personnes. Il est de fait devenu le premier à normaliser et numériser les processus sous-jacents. C’est pourquoi il est l’objet de sévères critiques de la part des organisations de la société civile. Celles-ci accusent le système d’omettre de vérifier le consentement des usagers dans leur choix de technologie.
La cybersécurité : une préoccupation ESG
A l’échelle internationale, le coût des cyberattaques atteignait près de 4 millions de dollars par entreprise en 2020. La cybersécurité concerne donc une population de plus en plus large. Cette préoccupation s’est d’ailleurs accentué avec la pandémie de la COVID-19 et l’augmentation drastique du travail à distance. Les coûts totaux s’élevaient d’ailleurs à 137 000 $ en 2020.
Les réseaux d’information non protégés pourraient avoir un impact significatif pour les industries concernées, notamment en termes de technologies de l’information, services aux consommateurs, services financiers et de communication. Les cyber-attaques ont de fait une claire incidence sur le chiffre d’affaires. Cependant, les atteintes à la sécurité des données ont un impact plus conséquent encore sur la réputation et les actions d’une organisation. L’enjeu est d’ailleurs encore en cours d’évaluation et fait l’objet de nombreux débats.
Préoccupation ESG clef, la cybersécurité va également à l’encontre d’un ensemble croissant de réglementations et d’exigences de diligences raisonnables juridiquement contraignantes. La publication de rapport extra-financiers plus détaillés est donc au cœur de la problématique et devrait aboutir à un ciblage plus spécifique de la gouvernance des données. En d’autres termes, les régulateurs et les acteurs du secteur privé devront s’aligner sur les bonnes pratiques d’intégration des questions liées aux données dans le cadre de l’analyse ESG.
Zoom sur la gouvernance des données en Inde et l’investissement ESG
Les économies émergentes tendent également à s’emparer de ces risques et enjeux ESG. Les juridictions correspondantes mettent en effet en œuvre des lois sur la protection des écosystèmes informatiques et des données. Dans ce contexte, la mobilisation des responsables politiques, experts techniques et des ONG est cruciale pour développer un écosystème performant. Celui-ci se doit d’ailleurs de ne pas simplement reproduire celui des économies plus développées. Les modes de fonctionnement doivent en effet s’adapter à des contextes spécifiques. Et ce, en maximisant les points forts de chaque pays.
Nous nous concentrerons ici sur l’Inde et les mécanismes de protection des données qu’elle est en train de formaliser. Les enjeux qui s’imposent à l’Inde peuvent se résumer en deux aspects clefs… pourtant souvent négligés. Premièrement, la mise en œuvre de lois sur la protection des données. Ensuite, l’intégration de la gouvernance des données (notamment dans les analyses de risques ESG).
La mise en œuvre des lois sur la protection des données
En 2021, la cybercriminalité a pris de l’ampleur, exacerbée par la pandémie et illustrée par le scandale du projet Pegasus. L’Inde a en effet signalé une hausse de 11,8 % de la cybercriminalité en 2020. On compte aussi 578 incidents de « diffusion de nouvelles erronées sur les médias sociaux ».
En écho aux exigences internationales en matière de conformité et de qualité des données, le pays a publié un projet de loi sur la protection des données en décembre 2021. Des débats préparatoires avaient cependant critiqué la proposition initiale de se limiter aux données personnelles. L’objectif était de créer une loi sur la protection des données en s’assurant de son interopérabilité entre autres avec la réglementation RGPD et la loi britannique sur la protection des données.
Ce projet de loi sur la protection des données personnelles comprend les éléments suivants :
La principale objection à ce projet de loi concernait le rôle de l’État dans la gouvernance des données ainsi que les exemptions proposées pour les organismes gouvernementaux en matière de partage de données. Les experts et les organisations de la société civile ont notamment recommandé une surveillance des secteurs public et privé, des clauses antitrust et ex-ante plus strictes ainsi que la mise en place de structures de gestion responsable des données. Ils ont également souligné que de tels outils encourageraient de manière efficace l’innovation responsable. Grâce à leur mobilisation, le projet de loi couvre désormais toutes les données, personnelles ou non.
Intégration de la gouvernance des données dans l’évaluation des risques ESG
Des fonds étrangers comme le Stewart Investors India Subcontinent Sustainability Fund (basé au Royaume-Uni) ont cité l’empreinte carbone relativement faible de l’Inde (au moins par rapport aux États-Unis et à l’UE) comme facteur de son attractivité sur le marché. Comme d’autres, il se concentre principalement sur les technologies à faibles émissions de carbone et les énergies renouvelables.
Paradoxalement, la cybersécurité et la gouvernance des données ne sont toujours pas considérées comme des priorités dans les agendas des entreprises locales.
Des directives misant sur la transparence
En 2021, le Securities and Exchange Board of India (SEBI) a cependant publié une directive mettant en œuvre les nouvelles exigences de reporting liées au développement durable pour les 1 000 principales sociétés indiennes cotées en bourse. Ce faisant, le SEBI promouvait activement la diffusion d’une information transparente et normalisée sur les enjeux ESG. L’organisme soulignait également les risques et opportunités liés au développement durable pour les sociétés cotées en Inde.
Malgré la portée relativement limitée du document, une section entière est consacrée aux plaintes des consommateurs concernant la confidentialité de leurs données et la cybersécurité. Fruit d’un effort conjoint, cette circulaire offre en tout cas aux investisseurs de tous bords une excellente occasion d’exercer leur pouvoir de recommandation et de vote et ainsi pousser les entreprises à pousser leur réflexion sur le développement durable pour inclure la gouvernance des données.
Signalant l’urgence de s’attaquer à la structure de gouvernance des données sous-jacente, l’Inde vise à doubler sa capacité industrielle de centres de données d’ici 2023 (d’une charge informatique de 499 MW à une charge informatique de 1007 MW). Le pays a en effet présenté son budget de l’Union pour 2022-2023. Celui-ci comprend l’octroi du statut d’infrastructure des centres de données. Ce choix de statut permet de faciliter le financement du secteur en incitant les financements étrangers via l’emprunt commercial. De telles dispositions soulignent bien l’importance grandissante d’harmoniser les normes, règlements et cadres méthodologiques sur le plan national et international.
Conclusion
La mobilisation des parties prenantes locales est un pilier clef de la remédiation des risques et de la cartographie des impacts. Elle est donc un élément fondamentale de toute diligence raisonnable en matière de droits humains et avec elle, de la résilience des chaînes d’approvisionnement.
Face à l’essor des services numériques, en particulier dans les économies émergentes, l’écosystème des données exige une restructuration complète à la hauteur des enjeux. Une caractéristique propre aux économies émergentes est cependant une connaissance relativement limité de la gouvernance des données. La nécessité d’exploiter les données locales y est donc d’autant plus forte, sans oublier les données recueillies sous le coup de politiques de confidentialité. L’objectif étant à terme de modéliser l’entièreté des bases de données.
À ce titre, voici des questions clés que les investisseurs, entreprises et décideurs publics doivent aborder dans leurs réflexions sur la gouvernance des données, particulièrement dans le contexte des économies émergentes :
- Quelles sont les principales mesures de développement durable ou d’ESG qui permettent de mesurer efficacement l’impact dans les économies émergentes ?
- Comment cartographier les parties prenantes locales pour mieux cerner les risques et les opportunités afférents ?
- Quel est le rôle des tierces-parties et des collaborations entre secteurs public et privé dans le développement de l’écosystème correspondant ?
- Quels sont les instruments financiers, fonds, subventions et investissements pertinents à cet effet ?
Nous sommes collectivement confrontés au besoin de redéfinir notre compréhension de ce à quoi devrait ressembler l’innovation responsable. C’est en effet sur de telles bases que nous pourrons formaliser de nouveaux moyens capables d’adapter les écosystèmes et la gouvernance des données aux contextes spécifiques des économies émergentes.
Priyanka Dass Saharia
Priyanka est membre de la communauté d'experts de Ksapa. Avec une formation en économie et en anthropologie sociale, Priyanka a contribué à aider les startups et les entreprises sociales en phase de démarrage à mettre en place les bons dispositifs pour passer à l'échelle supérieure et identifier les domaines stratégiques d'impact alignés sur les critères ESG/ODD et réglementaires. Parmi les organisations avec lesquelles elle a travaillé, on retrouve notamment Maanch (Londres), Vida (Londres), Aequip (Londres) et Biodesign Innovation Labs (Inde) soutenu par le gouvernement indien et CamTech Massachusetts. Priyanka mène actuellement des travaux afin de comprendre les écosystèmes de données et l'utilisation appropriée des nouvelles technologies dans les économies émergentes.
