L'infrastructure publique numérique de l'Inde : leçons d’un succès

Le déploiement de l’infrastructure publique numérique (DPI, Digital Public Infrastructure) par l'Inde a été largement célébré comme un succès, tant sur son sol qu’à l’international, et les résultats substantiels obtenus en peu de temps ont suscité l’intérêt des observateurs.

L’India Stack, un ensemble de trois briques - l’identité biométrique, l’interface de paiement numérique interopérable et le cadre de partage des données basé sur le consentement explicite, ne s‘est pas contenté de transformer avec succès les paiements numériques : on estime que d'ici 2030, la valeur économique ajoutée par les API (Application programming interface, application logicielle) au PIB de l'Inde pourrait atteindre 2,9 à 4,2 %, alors qu'elle était déjà de 0,9 % en 2022, et ces applications contribuent largement à la croissance économique indienne : elles ont permis à l'Inde de se hisser au sommet de l'indice de numérisation des administrations fiscales, dépassant les autres économies de marché émergentes. Elles ont aussi transformé les services sociaux indiens à l'échelle de la société entière en permettant d’élargir l'accès à l'éducation [DIKSHA]. Elles sont actuellement développées pour fournir des services numériques de santé [ABDM] et d'agriculture [VISTAAR] et faciliter l'inclusion numérique et financière.

Comprendre l’India Stack

Malgré les difficultés persistantes posées par la fracture numérique et la confidentialité des données, les avantages de la DPI pour l'État indien et la société dans son ensemble sont indéniables. D’une ampleur phénoménale, couvrant le territoire en un temps record, elle a permis à 96,8 % de la population indienne de disposer d'un identifiant numérique, le taux de pénétration des smartphones est de 73 % et plus de trois quarts de la population indienne âgée de plus de 15 ans a accès à un compte auprès d'une institution financière ou par le biais du paiement sur mobile.

Le développement de l'India Stack obéit à une approche par blocs et repose sur un soutien à l'innovation qui implique à la fois des acteurs publics et des acteurs privés. L'économie numérique indienne s’appuie sur un réseau ouvert, contrairement au système de paiement fermé de la Chine, par exemple, dominé par des sociétés privées de fintech telles qu'Alipay et WeChat Pay. C'est grâce à l'empilement de blocs de programmes que l’Inde est devenue le premier pays à développer les trois API fondamentaux: l'identité numérique, le paiement rapide en temps réel et une plateforme permettant de partager en toute sécurité les données personnelles sans compromettre la protection de la vie privée. L'architecture de protection de l'autonomisation des données (DEPA, Data Empowerment Protection Architecture) a joué un rôle crucial dans la protection des données ; elle n'aurait pas été possible sans les autres blocs de l'India Stack construits depuis 2009. Chaque couche de DPI répond à un besoin distinct et génère une valeur considérable pour tous les secteurs. Compte tenu de la taille et de la diversité de l'Inde, une approche fondée sur des normes ouvertes a permis d'élaborer des solutions sur mesure en matière d'interopérabilité et de fonctionnalité.

Comme l'a fait remarquer Sanjay Anandram, ambassadeur à l'Indian Software Products Industry Round Table (iSPIRT), l'évolution de l’API indien vers un BPN a été cruciale pour son succès, comme le souligne constamment le discours des Indiens pour expliquer son succès au sein du gouvernement, du secteur privé et de ses bénéficiaires finaux. Un BPN est par nature non excluable, non rival et, de par sa nature numérique, inépuisable. C’est ainsi que l’on peut tirer parti des outils numériques pour faciliter la vie des citoyens, comme l'a fait remarquer Vinayak Dalmia, entrepreneur basé à Delhi dans le secteur des technologies critiques et émergentes (entretien réalisé par courrier électronique le 14 novembre). Une telle vision est en adéquation avec la déclaration des dirigeants du G20 à New Delhi, qui définit les API comme "un ensemble de systèmes numériques partagés, sécurisés et interopérables, reposant sur des technologies ouvertes, afin d'offrir un accès équitable aux services publics et/ou privés à l'échelle de la société". Le DPI indien adhère en outre aux principes de responsabilité, de collaboration, de normes ouvertes, de transparence et d'interopérabilité afin d'éviter que les consommateurs ne soient enfermés dans l’écosystème développé par un fournisseur en particulier.

Chaque carte Aadhaar comprend le nom, le sexe et l'adresse individuels, un numéro d'identification unique à 12 chiffres, ainsi qu'une photographie. Elle est étayée par des données biométriques, à savoir les empreintes digitales et l'iris de son détenteur mais ne contient aucune information sur les droits de citoyenneté. En effet, plusieurs des autres pays qui ont tenté de mettre en œuvre une carte d'identité numérique au niveau national se sont heurtés au sujet de la citoyenneté. Le coût de réalisation extraordinairement bas, compte tenu de la taille de la population indienne, était déjà un signe précurseur de succès. L'Inde reste une économie à revenu moyen inférieur et la plupart des bénéficiaires des services de DPI ne peuvent pas se permettre de payer des frais élevés pour des paiements autres qu'en espèces.

L'accès à une identité légale vérifiée a ainsi permis d'accéder à un large éventail d'opérations par l'intermédiaire de plateformes de paiement qui reposaient sur Aadhaar. Cette deuxième couche a permis le déploiement du Pradhan Mantri Jan-Dhan Yojana (PMJDY), la mission nationale du gouvernement pour l'inclusion financière. L'absence d'une identification vérifiable, héritage de l’histoire, les faibles niveaux d'éducation et d'inclusion financières et l'absence de données financières historiques ont toujours entravé la fourniture de services financiers à la majeure partie de la population. Grâce à l'Aadhaar e-KYC, le processus d'accès aux services financiers a été simplifié et le coût réduit, ce qui a permis d'assurer l'accès aux comptes d'épargne et de dépôt de base, aux envois de fonds, au crédit, à l'assurance et à la pension d'une manière abordable. Les entreprises de télécommunications et de services publics ont également été en mesure de tirer parti de leurs services par ce biais.

L'accès au système de paiement basé sur l'Aadhaar (AePS) a aussi permis aux agences publiques de verser directement certains paiements (salaires de fonctionnaires ou subventions), ciblant notamment les personnes éloignées des structures financières, en particulier les femmes des zones rurales. En 2011, avant la mise en œuvre complète de l'India Stack, seuls 35 % de la population indienne âgée de plus de 15 ans possédaient un compte bancaire ; en 2021, ce chiffre était passé à 77,5 % selon la base de données Global Findex. La politique de démonétisation lancée par le gouvernement de Modi en novembre 2016 pour lutter contre l’évasion fiscale que permet l'utilisation d'argent liquide a entraîné une augmentation exponentielle de l'utilisation des moyens de paiement numériques à partir de 2017.

Une fois l’accès à un compte bancaire et à un téléphone portable largement diffusés, la prochaine grande étape a été de construire une plateforme de paiement mobile : l'interface de paiement unifiée (UPI) : un système de paiement instantané en temps réel qui permet d'effectuer des transferts entre deux comptes bancaires via une plateforme mobile, qu'il s'agisse de transactions P2P (de personne à personne) ou P2M (de personne à commerçant). Avec le temps, l'UPI est devenu le principal moteur de la croissance globale des transactions de paiement numérique en Inde, représentant 70 % des transactions de paiement numérique au cours de l'exercice 2023-24, bien avant les cartes de crédit ou de débit. Depuis son lancement en 2016, il s'est encore développé pour devenir le cinquième réseau de paiement au monde en termes de volume, derrière Visa, Alipay, WeChat Pay et MasterCard.

Ces institutions "National Information Utilities" (NIU), responsables des aspects technologiques des projets de numérisation conçus par le gouvernement, se sont avérées essentielles pour le déploiement de l’API en Inde. Dans le cas de la NPCI, son serveur gère les messages entre 200 des principales banques indiennes qui sont connectées au système UPI. Au sommet se trouvent les entreprises fintech qui peuvent ainsi accéder aux comptes bancaires des consommateurs et des entreprises dans le cadre de l'UPI. Il est intéressant de noter que l'UPI et les cartes RuPay (de "Rupees" et "Payment", le premier paiement global par carte de l'Inde) s'étendent maintenant à l'échelle internationale. L'UPI est pleinement fonctionnel et opérationnel aux Émirats arabes unis, au Bhoutan, à Oman et à Singapour, tandis qu'il est techniquement opérationnel et que des tests pilotes ont été réalisés pour les Indiens non résidents (NRI) et les touristes indiens au Népal, à l'île Maurice, en France et au Sri Lanka ; l'objectif est de le déployer à l'échelle commerciale.

Troisième bloc crucial : la mise en œuvre de la circulation des informations personnelles à travers un système de partage de données basé sur le consentement. Le cadre universel de sauvegarde de la DPI récemment lancé par les Nations unies inclut la protection de la confidentialité des données dès la mise en place du projet et ensuite pendant leur utilisation, deux principes opérationnels clés pour le succès du DPI. Cela signifie que les titulaires de comptes opérant dans les deux couches précédentes peuvent contrôler les traces de données qu'ils laissent dans l'économie numérique. La réussite de la DPI, en particulier face à la loi sur la protection des données personnelles numériques (DPDP) adoptée par le parlement indien en août 2023 et actuellement en cours de mise en œuvre, repose dessus.

La position réglementaire de l'Inde vise à empêcher la militarisation des données financières - en raison du risque de perte de contrôle et de souveraineté - tout en encourageant l'innovation technologique. Pourtant, le risque de militarisation du partage des données n’est pas complètement écarté malgré la loi sur le RGPD de 2023. La limite vient du fait que ce deuxième projet de loi, par rapport à celui de 2019, a réduit les obligations incombant aux entreprises, ainsi que la protection des consommateurs. La simplification de la structure réglementaire donne au gouvernement central des pouvoirs discrétionnaires, sans contrôle, du moment que c'est au nom d’une raison légale (par exemple pour des motifs de sécurité nationale, de lutte contre la fraude et de partage des données personnelles pour alimenter les Intelligences artificielles). Il est difficile de trouver un équilibre entre le partage d'informations et les réglementations existantes en matière de protection de la vie privée dans le cadre technico-juridique du pays, comme l'a fait remarquer Indrani Bagchi, analyste politique basée à Delhi, lors d'une interaction d'une heure et demie avec un groupe de réflexion indien en octobre 2024. La protection des données reste également un défi, comme le montrent les attaques de ransomware contre l'All India Institute of Medical Sciences (AIIMS) liées à l'Ayushman Bharat Digital Mission (ABDM) du gouvernement.

Un modèle duplicable ailleurs ?

L'une des ambitions de l'Inde est d'exporter son DPI dans le monde, en particulier dans les pays du Sud, mais pas seulement, par l'intermédiaire de sa Citizen Stack. La Modular Open Source Identity Platform (MOSIP), une initiative à but non lucratif, hébergée par l'International Institute of Information Technology, Bangalore (IITB), est déjà adoptée par vingt pays et compte plus de 121 millions d'utilisateurs actifs. Sharad Sharma et Samir Saran mettent en évidence trois conditions essentielles pour que la DPI indienne puisse être reproduite avec succès à l'étranger :

1) la mise en place d'institutions indépendantes de gestion de la DPI qui soient réactives et responsables devant un large éventail de parties prenantes, plutôt que d'être contrôlées par une seule entité ou un seul groupe ;
2) l'élaboration de normes mondiales sous l'égide de l'Inde dans le cadre d'un dialogue multilatéral qui garantisse que les besoins des pays en développement soient satisfaits et ne soient pas la proie de l'arbitrage réglementaire des grandes entreprises technologiques ;
3) la nécessité de développer un modèle de financement durable, qui ne soit pas uniquement alimenté par des fonds philanthropiques. L'absence de viabilité financière durable est considérée comme une vulnérabilité structurelle potentielle par le cadre de sauvegarde du Département de l'information des Nations unies.

En outre, le Premier ministre Modi a annoncé la création d'un fonds d'impact social pour accélérer la mise en œuvre de la DPI dans les pays du Sud lors du sommet virtuel du G20 qui se tiendra en novembre 2023.

La société indienne NPCI International Payments Limited (NIPL) est au cœur de l'internationalisation du savoir-faire de l'Inde en matière d’API. Le conseil d'administration de NPCI a identifié la nécessité d'allouer des ressources à la création d'un réseau d'acceptation international pour les produits UPI et RuPay de NPCI. La NPCI a ensuite établi avec succès des partenariats avec Discover Financial Services (DFS) aux États-Unis, Japan Credit Bureau (JCB) au Japon, Union Pay International (UPI) en Chine, Royal Monetary Authority (RMA) au Bhoutan et Network for Electronic Transfers (NETS) à Singapour. Actuellement, le NIPL offre une assistance technologique sous forme de licences, de conseils ou de fourniture d'infrastructures pour la mise en place de systèmes de paiement en temps réel ou de systèmes de cartes domestiques dans le monde entier. L'Inde a également signé un certain nombre de protocoles d'accord (MoU) pour partager son DPI en libre accès. Un accord bilatéral a été signé entre le NIPL indien et le ministère de la transformation numérique de Trinité-et-Tobago en septembre 2024. Auparavant, l'Inde avait déjà signé des protocoles d'accord avec Antigua, l'Arménie, la Barbade, la Colombie, Cuba, le Kenya, Maurice, la Papouasie-Nouvelle-Guinée, le Suriname et la Tanzanie pour soutenir leur transformation numérique.

L'India Stack, un cas d’école

L'India Stack de New Delhi constitue un cas unique de déploiement numérique national, en source ouverte, dirigée par le secteur public et le secteur privé et ayant un impact malgré des ressources limitées. Le fait que la DPI indien soit conçue au niveau national comme un Bien public numérique, combiné à la mission de le rendre exportable vers d'autres pays, doit faire l’objet de toute l’attention requise en dehors des frontières indiennes mais aussi dans le monde entier, y compris en Europe. L'Union européenne (UE) pourrait gagner à s’inspirer de ce plan de développement et d’exportation de ses biens d'infrastructure publique numérique ou, au minimum, tenter une triangulation avec l'Inde par l'intermédiaire de son Global gateway (portail mondial). Le potentiel est immense. Le fait que le G20, le FMI et les membres du Forum économique mondial cherchent eux aussi à tirer des enseignements de l'expérience indienne montre que le transfert de savoir-faire et de technologies numériques n'est pas censé être unidirectionnel dans l'ordre mondial changeant d'aujourd'hui.

Copyright image : Sajjad HUSSAIN / AFP
Des électeurs indiens posent avec leur carte d'identité avant qu'elle ne soit numérisée.