Quand gérer des crises force à inventer des règles: la gouvernance des données selon Genève
Derrière chaque crise internationale, il y a un problème de données: qui a déjà reçu une aide et où, quelles populations sont encore accessibles dans quelle région, quels individus ont traversé quelle frontière. Faire circuler cette information au bon endroit, au bon moment, sans qu’elle tombe dans de mauvaises mains, c’est une contrainte opérationnelle absolue. Genève en a fait une compétence.
Chaque fois qu’un tremblement de terre dévaste une région, qu’une guerre force des millions de personnes à fuir ou qu’une épidémie menace de déborder les frontières, les téléphones sonnent à Genève. C’est là que siègent le CICR, le HCR, le PAM, l’OMS — et des centaines d’organisations dont le métier est de répondre à ces crises. Depuis soixante-dix ans, c’est donc dans cette ville que les problèmes de circulation et de protection des données se posent avec une acuité particulière, et qu’ils doivent être résolus dans des conditions extrêmes: incertitude, urgence, absence de cadre stable. Dans cet environnement, produire des règles de gestion des données n’est pas un choix. C’est une nécessité. Les conditions pour que cette nécessité aboutisse à des standards y sont réunies comme nulle part ailleurs: aucune autre ville ne concentre autant d’organisations confrontées aux mêmes contraintes, avec la même culture de la neutralité et les mêmes exigences de confidentialité.
Quand la crise impose ses solutions
Au début des années 2000, le Programme alimentaire mondial coordonne depuis Genève l’une des plus grandes opérations de distribution alimentaire de l’histoire en Afghanistan: des millions de personnes, des dizaines d’agences partenaires, des systèmes d’enregistrement incompatibles entre eux. À la même période, le HCR tente de gérer le retour de centaines de milliers de réfugiés afghans depuis le Pakistan — certains enregistrés plusieurs fois, d’autres jamais. Dans les deux cas, le problème est le même: on ne sait pas qui est qui. La réponse construite depuis Genève: une base biométrique centralisée, collectant empreintes et iris pour établir une identité unique et infalsifiable. Vingt ans plus tard, cette base enregistre 15,7 millions d’individus dans plus de 90 pays. Ce n’est pas l’ambition technologique qui a produit ce standard. C’est l’exigence humanitaire ; la nécessité absolue d’établir une identité fiable, pour ne laisser personne sans aide ni protection. Michel Warynski, qui préside à Genève Secodev, une ONG active dans la coopération au développement, décrit un circuit comparable, dans l’autre sens:
«Nous n’approchons nos bénéficiaires sur le terrain qu’à travers nos partenaires locaux, à qui nous exigeons une politique de protection des données qu’ils puissent nous démontrer.»
De la contrainte au standard
Les crises n’ont pas cessé, et chacune a produit à Genève quelque chose de plus durable que des réponses ponctuelles: des règles. En 2017, le CICR publie le premier cadre international sur la protection des données en contexte de crise — le Handbook on Data Protection in Humanitarian Action. Élaboré en parallèle du RGPD européen, le Handbook couvre des situations que le droit civil n’avait pas encore envisagées: comment protéger les données médicales d’un civil dans une zone de conflit. Comment refuser à un gouvernement l’accès aux fichiers de ses propres réfugiés. Le Handbook pose le principe en ces termes:
«La protection des données personnelles est indissociable de la protection de la vie, de l'intégrité et de la dignité des personnes.»
Ce cadre ne restera pas confiné aux organisations humanitaires.
Genève, laboratoire des règles du monde instable
En octobre 2024, la Conférence internationale de la Croix-Rouge adopte à Genève la première résolution mondiale sur la protection des civils dans le domaine numérique. Ce texte reconnaît explicitement que les infrastructures numériques et les bases de données civiles doivent être protégées en temps de conflit, au même titre que les hôpitaux ou les couloirs humanitaires. Derrière ce cadre juridique, il y a une question que Genève travaille depuis longtemps: comment construire de la confiance quand tout pousse à la détruire: conflit, vulnérabilité des populations, asymétrie de pouvoir, absence d’État fiable ? Les standards qui émergent ici ne sont pas des conventions administratives. Ce sont des réponses à des situations où la donnée peut protéger une vie ou la mettre en danger.
Du standard à l'écosystème
Le circuit est précis. Lorsque le CICR co-fonde avec l’EPFL le Center for Digital Trust, aux côtés de Swisscom, Swiss Re, Lombard Odier et Nagra Kudelski, ce n’est pas un partenariat symbolique: c’est une infrastructure de transmission. Le Centre forme des juristes d’ONG, des cadres d’entreprises privées et des responsables d’institutions publiques aux mêmes exigences de protection des données, celles que le CICR a construites sous contrainte humanitaire.
Le deuxième canal est contractuel. Toute entreprise prestataire d’une organisation internationale à Genève doit, comme condition d’accès au marché, accepter dans son contrat de service les standards de protection des données de l’organisation cliente. Ce que le CICR, le HCR ou le PAM exigent de leurs fournisseurs, ceux-ci l’intègrent dans leurs pratiques, et le transmettent à leur propre chaîne de valeur. Ce n’est pas une influence diffuse. Il s’agit d’un mécanisme de formation qui opère en continu, comme Michel Warynski en a fait d’ailleurs l’expérience :
«Pour une ONG comme la nôtre, active dans la coopération au développement, la sécurité des données est vite devenue un sujet de premier plan. Le RGPD, par effet de cascade, a provoqué la mise à jour de la loi suisse, qui a notablement élevé les exigences.»
Un environnement façonné par l'exigence
Les cabinets juridiques spécialisés en protection des données, les certifications exigées par les grandes organisations, les formations continues proposées par l’Université de Genève, l’EPFL et le GCSP, Geneva Centre for Security Policy: tout cela s’est construit dans le sillage des standards produits avenue de la Paix. Michel Warynski parle d’ailleurs «d’un écosystème qui comprend aussi l’arc lémanique».
Genève n’a pas attendu que les débats sur la gouvernance des données soient tranchés ailleurs, parce que les contraintes auxquelles elle est confrontée imposent des niveaux de fiabilité que d’autres contextes n’exigent pas encore. Les entreprises qui y sont établies ont absorbé ces exigences sans nécessairement les avoir cherchées. Ce que d’autres tentent de construire délibérément, Genève l’a produit par contrainte. Et c’est précisément ce qui le rend difficile à imiter.
