Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. La CNIL publie une analyse chiffrée des...

La CNIL publie une analyse chiffrée des bénéfices économiques du RGPD en matière de cybersécurité

Sept ans après l’entrée en application du RGPD, la CNIL établit un bilan des effets du respect des exigences de sécurité imposées par le RGPD. Si les débats autour du RGPD ont souvent mis en avant les coûts de mise en conformité pour les entreprises, la CNIL propose aujourd’hui une analyse originale et chiffrée de ses bénéfices, en particulier sous l’angle de la cybersécurité.

Le RGPD, un levier d’investissement en cybersécurité

Dans l’économie numérique, l’investissement en cybersécurité constitue une décision stratégique, généralement arbitrée en fonction de son coût et du risque perçu de cyberattaque. Toutefois, ce raisonnement purement individuel ne prend pas toujours en compte les effets collatéraux, qu’ils soient positifs ou négatifs, de ces choix sur l’ensemble de la société. En économie, on parle alors d’externalités.

Trois types d’externalités identifiées par la CNIL

L’analyse de la CNIL distingue trois grandes catégories d’externalités en matière de cybersécurité.

1. Les externalités entre entreprises
La sécurité d’une entreprise bénéficie également à ses partenaires, sous-traitants et parfois même à ses concurrents. Par exemple, un sous-traitant faiblement sécurisé expose indirectement les données de ses donneurs d’ordre. De la même manière, un secteur fortement sécurisé limite la propagation de cyberattaques, créant un effet d’« immunité collective » numérique. Toutefois, les entreprises ont peu d’intérêt à investir pour sécuriser leurs concurrents, ce qui limite naturellement les efforts spontanés en la matière.

2. Les externalités vis-à-vis des cybercriminels
Le sous-investissement en cybersécurité alimente directement la rentabilité du cybercrime, notamment des rançongiciels. Plus les attaques réussissent, plus les cybercriminels peuvent exiger des rançons élevées, créant ainsi un cercle vicieux qui alimente la fréquence et la gravité des attaques.

3. Les externalités vis-à-vis des clients et utilisateurs
Les victimes ultimes des failles de sécurité sont souvent les individus dont les données sont compromises (usurpation d’identité, hameçonnage, fraude, etc.). En l’absence de cadre juridique, les entreprises pourraient être tentées de dissimuler ces violations pour préserver leur réputation, privant ainsi les personnes concernées des moyens de se prémunir contre de nouvelles attaques.

Le RGPD, en rendant la notification obligatoire auprès des autorités et des personnes concernées (articles 33 et 34), réduit cette opacité et responsabilise les entreprises, tout en permettant une meilleure protection des personnes physiques.

Une première quantification des bénéfices : jusqu’à 219 millions d’euros de préjudices évités

L’étude de la CNIL fournit un éclairage chiffré intéressant sur l’impact positif du RGPD, notamment en matière d’usurpation d’identité :

  • depuis l’entrée en vigueur du RGPD, la notification des violations de données aurait permis de réduire de 2,5 % à 6,1 % les cas d’usurpation d’identité en France ;
  • ce recul représenterait entre 90 et 219 millions d’euros de pertes évitées pour l’économie française depuis 2018 ;
  • sur le plan européen, le gain serait compris entre 585 millions et 1,4 milliard d’euros ;
  • 82 % de ces gains profiteraient directement aux entreprises, notamment via le maintien de la confiance des consommateurs dans l’économie numérique.

Un potentiel encore sous-estimé

La CNIL souligne que ces résultats ne représentent qu’une fraction des bénéfices globaux du RGPD en matière de cybersécurité. L’étude ne porte ici que sur l’usurpation d’identité et sur les effets directs des obligations de notification. Il conviendrait d’étendre ces analyses aux autres dimensions du cybercrime : rançongiciels, botnets, logiciels malveillants, etc.

L’étude met ainsi en évidence le rôle systémique du RGPD, non seulement comme texte protecteur des libertés individuelles, mais aussi comme vecteur d’un écosystème numérique plus sûr et économiquement plus stable. Elle illustre enfin le fait que le respect des obligations réglementaires peut également s’avérer être un investissement rentable pour les entreprises.

Enjeux pratiques pour les entreprises

Pour les entreprises, cette analyse de la CNIL rappelle plusieurs enjeux clés :

  • la conformité au RGPD est un levier de sécurisation de leurs propres actifs numériques ;
  • le non-respect des obligations de notification expose à des sanctions et à des pertes de confiance durables ;
  • la cybersécurité doit être pensée non seulement comme une dépense de conformité, mais comme un facteur de compétitivité et de résilience.
  ⇐ Précédent
Suivant ⇒