Le RGPD aurait permis d’éviter des dizaines de millions d’euros de pertes

Dans son étude Économie de la cybersécurité et bénéfices du RGPD, la Cnil estime que, sur la seule question de l’usurpation d’identité, le Règlement général sur la protection des données (RGPD) aurait permis d’éviter entre 90 et 219 millions d’euros de pertes en France. Et ce, principalement au bénéfice des entreprises. Reste à déterminer les gains permis par les autres exigences de cybersécurité.

Alors que, selon certaines sources, l’Union européenne envisage d’alléger les contraintes du RGPD pour réduire la charge qui pèse sur les TPE et PME, la Cnil a publié une analyse sur l’impact économique du règlement. Plutôt que de parler des coûts, elle préfère aborder les bénéfices sous l’angle de la cybersécurité. Il en ressort qu’en renforçant les obligations, le texte a évité entre 90 et 219 millions d’euros de préjudice dans l’Hexagone.

Le texte a eu ceci d’intéressant qu’il a « permis de lutter contre le sous-investissement en matière de cybersécurité ». En étudiant les conséquences liées aux usurpations d’identité, la Cnil rapporte que les notifications obligatoires de violation de données aux clients et aux autorités compétentes ont entraîné une diminution de 2,5 à 6,1 % des usurpations d’identité depuis l’instauration du RGPD.

D’autres gains possibles qui n’ont pas été calculés

« En rapprochant cette diminution avec le coût des usurpations d’identité en France, il est possible de calculer qu’entre 90 et 219 millions d’euros de pertes ont pu être évitées depuis 2018 en France, et entre 585 millions et 1,4 milliard d’euros à l’échelle de l’UE », indique l’autorité, qui ajoute que 82 % de ces gains sont perçus par les entreprises, qui, dès lors, sont moins exposées aux indemnisations des victimes et à la perte de confiance des clients vis-à-vis de leurs services.

La recherche de la Cnil ne rend pas compte de l’intégralité des bénéfices, mais illustre les gains potentiels à travers ces premières données. L’autorité reconnaît qu’il est « difficile de fournir une estimation rigoureuse des autres gains liés à la cybersécurité permis par le RGPD ». Car il y en a d’autres, selon elle. La Cnil cite l’article 32, qui prévoit la mise en place de mesures de sécurité pour les données à caractère personnel, telles que le chiffrement, qui, selon l’étude d’IBM Cost of a Data Breach 2023, réduit de 5 % le coût moyen d’une faille. Elle cite en outre le principe de minimisation des données et le principe de limitation de la durée de leur conservation, qui permettent de réduire l’impact d’une violation de données.