Cybersécurité et économie : le RGPD, un investissement rentable pour les entreprises

Décryptage : comment le RGPD renforce la cybersécurité et génère des bénéfices économiques

La CNIL a récemment publié un rapport clé mettant en évidence les avantages économiques concrets apportés par le Règlement Général sur la Protection des Données (RGPD), en particulier dans le domaine de la cybersécurité

💡 Voici une synthèse claire et accessible de ses principaux enseignements.

Pourquoi les entreprises sous-investissent-elles en cybersécurité ?

📡 L'asymétrie d'information

Lorsque des entreprises subissent une cyberattaque entraînant la fuite de données personnelles, elles ont souvent tendance à minimiser ou dissimuler ces incidents. Cela crée un manque de transparence (ou asymétrie d’information) qui pénalise les victimes, et limite la motivation des entreprises à investir massivement dans la sécurité.

Le RGPD impose désormais l'obligation de notifier ces incidents, obligeant ainsi les entreprises à une transparence accrue, ce qui pousse naturellement à une meilleure protection.

♻️ Les externalités négatives

Une “externalité” désigne un impact (positif ou négatif) qu’une entreprise a sur d’autres acteurs, sans que le marché ne le prenne en compte.

En cybersécurité, si une entreprise est attaquée et infecte des partenaires ou des concurrents (effet “contagion”, botnets, etc.), elle crée un coût pour tout l’écosystème. Ces coûts ne sont pas toujours pris en compte par l'entreprise concernée.

Le RGPD, en imposant un socle commun de sécurité (article 32), limite ces effets négatifs indirects et incite chaque acteur à mieux sécuriser ses systèmes, bénéficiant ainsi à l'ensemble du secteur.

💰 Le cas spécifique des rançongiciels

Les rançongiciels bloquent l’accès aux données des entreprises et exigent une rançon. Si peu d'entreprises prennent des mesures de protection efficaces, les rançons augmentent.

Le RGPD encourage fortement les sauvegardes et le chiffrement, limitant ainsi l’impact et le succès de ces attaques.

Combien coûte réellement ce sous-investissement ?

D'après le rapport, les entreprises sous-estiment fortement les investissements nécessaires en cybersécurité. Une étude économique citée dans le rapport révèle que les entreprises investissent jusqu’à 20 % de moins que nécessaire, lorsqu'elles ignorent les impacts indirects de leurs défaillances en sécurité informatique.

Depuis l'entrée en vigueur du RGPD, la prise de conscience a pourtant augmenté. En France, 18,3 % des entreprises avaient amélioré leur sécurité en 2019 contre 14,2 % auparavant, bien que ce chiffre soit retombé à 12,1 % en 2022. Ceci confirme l’impact positif, quoique temporaire, du RGPD.

L’impact du RGPD : exemple concret de l'usurpation d’identité

La CNIL étudie particulièrement l’usurpation d’identité pour illustrer les bénéfices tangibles du RGPD, car c’est une problématique bien documentée et coûteuse pour les victimes.

🪪 Coûts directs de l’usurpation d’identité

Les coûts moyens d’une usurpation d’identité varient fortement selon le type (accès bancaire, carte bancaire, PayPal, comptes d’achat en ligne). Selon des études européennes, la notification obligatoire des violations introduite par le RGPD réduit significativement ces cas (entre 2,5 % et 6,1 % de diminution).

Grâce à cette mesure, les pertes directes évitées sur quatre ans en France s’élèvent entre 54 et 132 millions d’euros, réparties entre particuliers (16 à 40 millions d’euros) et entreprises (39,5 à 96 millions d’euros).

✋ Coûts indirects : perte de confiance des consommateurs

L’impact psychologique et la perte de confiance des consommateurs après une fraude en ligne sont réels. Des études montrent une réduction notable des transactions bancaires et achats en ligne après un incident

En prenant en compte ces coûts indirects, le rapport estime qu’en France, la notification obligatoire des violations a permis d’éviter entre 90 et 219 millions d’euros de pertes totales, avec une grande partie des économies bénéficiant directement aux entreprises.

Autres bénéfices du RGPD non traités par l'étude

Le rapport souligne également que le RGPD offre des bénéfices économiques supplémentaires qui n'ont pas été intégralement évalués dans cette étude :

• Délégué à la Protection des Données (DPO) : le rôle des DPO dans la sensibilisation et la prévention des incidents de sécurité reste encore à analyser plus profondément.
• Minimisation des données et chiffrement : ces pratiques réduisent l’impact financier moyen des violations de données, comme l’indiquent certaines études spécialisées (notamment IBM).

Ce que le RGPD change concrètement pour les entreprises et la société

Le RGPD joue un rôle essentiel pour responsabiliser les entreprises face à la cybersécurité. En rendant obligatoire la notification des violations de données et en imposant des standards techniques minimaux, le règlement réduit considérablement les impacts négatifs des cyberattaques.

Cette régulation a un double effet bénéfique :

• Elle protège mieux les consommateurs contre les risques d’usurpation d’identité.
• Elle limite les coûts financiers directs et indirects pour les entreprises, tout en maintenant la confiance du public.

Perspectives et limites du rapport

Le rapport de la CNIL souligne que les bénéfices économiques du RGPD vont au-delà des seuls aspects étudiés. Il recommande également de mieux étudier l'impact des autres articles du RGPD, comme l’obligation de nommer un DPO, ou la mise en place de stratégies de minimisation des données et de chiffrement.

De plus, les estimations actuelles reposent sur des modèles économiques et des données parfois anciennes (2018). Ainsi, les résultats peuvent évoluer en fonction de la réalité et de l'évolution des pratiques de cybersécurité.

🎉 En résumé : les points clés à retenir (pour se donner du baume au coeur !)

• 54 à 132 millions d’euros économisés en France grâce à la réduction directe des usurpations d’identité.
• 90 à 219 millions d’euros de pertes totales évitées (directes et indirectes).
• Une réduction significative des coûts liés aux attaques pour les entreprises et une amélioration globale de la cybersécurité.

💡 Comme le souligne ce rapport : le RGPD n’est pas seulement une contrainte réglementaire, mais constitue un véritable levier économique bénéfique pour les entreprises comme pour les consommateurs.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus