Blog

30 juillet 2017

Plus de données, moins de normes : réguler autrement au XXIème siècle

C’est désormais un rituel : un nouveau gouvernement se met en place, il promet de gouverner autrement, de légiférer moins et mieux, d’alléger le fardeau normatif qui pèse sur les Français, bref de SIM-PLI-FIER. Voir ici et les deux épisodes les plus récents de cette longue série.

Et puis que se passe-t-il ? Eh bien, généralement, beaucoup d’efforts pour un résultat très mince, les quelques allègements conquis de haute lutte çà et là étant plus que compensés par de nouvelles complexités ailleurs.

Il y a de solides raisons à cela : notre économie et notre vie sociale sont faites de multiples interactions entre des parties prenantes aux intérêts divergents et à ce stade l’Etat, investi de la charge de réguler les conflits potentiels, n’a rien trouvé de mieux que d’édicter des règles et de mettre en place tout un appareil administratif pour les faire respecter – des procédures de déclaration, d’enregistrement, d’autorisation, des corps d’inspection, des missions de contrôle, des dispositifs de sanction.

Mais ça, c’était avant.

Ou disons : cette manière de procéder était appropriée à une époque où le changement était lent et l’information difficile d’accès, c’est-à-dire une époque où d’une part les situations établies, les procédés de fabrication utilisés, les concurrents présents sur un marché évoluaient à petits pas, et où d’autre part régnait une forte asymétrie d’information entre ceux qui savaient (les producteurs face aux consommateurs, les commerçants face aux clients, les soignants face aux patients, les employeurs face aux employés, …) et ceux qui subissaient.

A l’heure de la donnée omniprésente et de la connectivité généralisée, on peut imaginer que cette solution ne soit plus la seule, ni la meilleure manière d’agir pour réguler les risques, éviter les abus, protéger les plus crédules ou les plus vulnérables. C’est du moins la thèse présentée, de manière fort convaincante, dans un récent article publié par la Kennedy School of Government de l’université d’Harvard : « Regulation, the Internet way : a data-first model for establishing trust, safety and security ».

L’idée est simple : dans une économie « à l’ancienne », où l’accès à l’information est difficile et les situations relativement stables, la meilleure manière d’établir la confiance entre les acteurs économiques consiste en un système d’autorisations préalables accordées par un tiers de confiance, l’Etat. L’administration établit une liste de pré-requis pour l’exercice d’une activité déterminée (qualifications du personnel, configuration des locaux, caractéristiques des équipements utilisés, etc). Toute personne aspirant à exercer cette activité – qu’il s’agisse de devenir gérant d’un restaurant, patron d’un salon de coiffure ou chauffeur de taxi – doit d’abord apporter les preuves qu’elle satisfait à ces pré-requis, obtient alors l’autorisation d’exercer et cette estampille administrative, renouvelée périodiquement, vaut réassurance, pour chacun d’entre nous, que nous pouvons lui faire confiance.

Cette manière de faire pose deux problèmes. Premièrement, elle coûte cher : elle coûte aux acteurs économiques, qui doivent supporter le poids de toutes sortes de formalités et d’investissements de mise en conformité ; elle coûte aussi à chacun d’entre nous, en tant que contribuable, puisqu’il faut entretenir une administration à due proportion du dispositif normatif à mettre en œuvre. Deuxièmement, elle fait obstacle à l’innovation. Par l’importance qu’elle accorde à la conformité aux normes, elle empêche d’explorer des solutions alternatives. C’est ce dont nous avons fait l’expérience a contrario lorsque les VTC, s’affranchissant des règles applicables aux taxis, sont venus proposer des solutions de réservation, de choix d’itinéraire et de paiement inexistantes auparavant.

Or le numérique permet de penser la régulation autrement : vérifier les résultats obtenus plutôt que les moyens engagés, et s’appuyer pour cela sur un contrôle continu de l’activité en lieu et place d’un binôme autorisation préalable / contrôle périodique.

C’est tout à fait possible parce qu’à l’heure des réseaux sociaux et de la collecte massive de traces numériques, les opérateurs économiques, au lieu d’être contrôlés une fois de temps en temps par l’administration, le sont de facto quotidiennement par les utilisateurs de leurs produits et services : les restaurants, les commerces, les hôtels, les compagnies de transport, les salons de coiffure, les centres de formation, les banques, les compagnies d’assurance, les hôpitaux, etc … réalisent tous les jours des transactions avec leurs clients, font tous les jours l’objet de jugements de leur part. Leurs systèmes de gestion enregistrent tous les jours de nombreuses données d’exploitation qui renseignent mieux que tout contrôle administratif sur la fiabilité et la qualité des processus en place. Il suffirait de collecter systématiquement ces données et de les analyser pour tirer des signaux pertinents au regard des risques qu’on entend réguler (l’hygiène, la sécurité, la non-discrimination, par exemple).

Et justement, on voit émerger ici et là les prémices de dispositifs de ce genre. Pour les activités tournées vers le grand public, des start-up civiques commencent à se positionner sur ce créneau : la plus notable est MeWe Co-Inspect qui propose un dispositif de recueil structuré des commentaires des clients / usagers sur les commerces ou services qu’ils fréquentent.

MeWe

Dans un genre très différent, on peut penser à la manière dont la régulation bancaire s’est structurée au moment de l’adoption des règles prudentielles Bâle 3, visant à calculer le quantum de capital réglementaire que chaque établissement devait détenir pour absorber les risques inhérents à son activité. Les banques avaient alors le choix d’adopter soit le « modèle standard », proposé par le régulateur, correspondant au profil de risque moyen, soit un modèle dit « avancé », plus adapté à leur portefeuille d’activité spécifique et à la qualité de leurs systèmes internes de contrôle et de maîtrise des risques : cette option leur permettait d’économiser du capital, mais avait pour contrepartie le fait de devoir livrer à l’administration des données beaucoup plus détaillées sur leur fonctionnement interne.

Autre illustration encore : le règlement général sur la protection des données, récemment adopté par l’Union européenne, qui va remplacer à compter de mai 2018 l’ancien dispositif déclaratif de la Commission Nationale Informatique et Liberté en matière de protection des données personnelles. Au lieu de déclarer préalablement les fichiers contenant des données à caractère personnel qu’elles entendent constituer, les entreprises devront simplement se tenir prêtes, à tout moment, à démontrer – traçabilité des données à l’appui – qu’elles ont pris les mesures de protection requises.

Dans les trois cas, le compromis est le même : plus d’obligation de résultats contre moins d’obligations de moyens, plus de données contre moins de contraintes administratives.

C’est manifestement une autre approche de la protection des citoyens et usagers : on ne prétend pas éradiquer le risque ex ante par la conformité à des règles détaillées et uniformément applicables, mais on s’outille pour pouvoir identifier très rapidement toute déviation dans les résultats obtenus et agir ex post certes, mais sans délai.

C’est aussi une conception différente du rôle respectif de l’administration et des usagers. L’administration n’est plus chargée d’édicter des normes précises et d’en vérifier l’application ; elle doit plutôt énoncer des objectifs de résultat, puis veiller à la mise en place d’un système de collecte de données de nature à attester que ces objectifs sont effectivement tenus. L’usager quant à lui doit désormais considérer comme partie intégrante de son rôle de client / consommateur / citoyen de faire connaître son avis, satisfait ou insatisfait, au fur et à mesure des transactions qu’il réalise. C’est une nouvelle manifestation du concept de sousveillance, non plus dans son acception initiale d’observation par les usagers du bon comportement de l’administration (par exemple lors des contrôles de police) mais dans une compréhension plus large : remplacer un contrôle administratif omniprésent par les mille et un signaux faibles que nous émettons chaque jour au fil des achats que nous faisons et des services que nous recevons.