La CNIL publie un rapport « L'économie de la cybersécurité et bénéfices du RGPD », le 5 juin 2025, proposant une analyse économique de la cybersécurité et des bénéfices induits par le Règlement Général sur la Protection des Données (RGPD). Ce rapport souligne que la protection des données personnelles et la cybersécurité sont deux enjeux indissociables.
Pour rappel, le RGPD, en tant qu'instrument de régulation, soumet le traitement des données personnelles à des obligations de sécurité1, notamment l'obligation de mettre en place des mesures de sécurité adaptées et l'obligation de notifier les violations de données2.
Cybersécurité : pourquoi les entreprises investissent trop peu ?
La théorie économique démontre que l'autorégulation des entreprises conduit à un niveau insuffisant d'investissement dans la cybersécurité du point de vue de la société dans son ensemble. Plusieurs facteurs économiques expliquent ce phénomène :
Comment le RGPD contribue à réduire les risques d'usurpation d'identité ?
Pour illustrer les bénéfices économiques du RGPD, une étude de cas se concentre sur l'impact de l'obligation de communication des violations de données3 sur les usurpations d'identité.
Cette analyse ne couvre qu'une partie des bénéfices potentiels du RGPD en matière de cybersécurité. L'usurpation d'identité est choisie car ses coûts sont mieux documentés, malgré les difficultés générales à quantifier le coût du cybercrime.
Ce rapport de la CNIL met en lumière l'importance stratégique du RGPD en tant que levier de résilience économique et de confiance numérique.
En soulignant les défaillances de marché propres à la cybersécurité et les externalités qu'elle engendre, il rappelle que seule une régulation robuste permet d'aligner les intérêts individuels sur les besoins collectifs.
Néanmoins, de nombreux défis demeurent : comment mieux inciter les entreprises à investir de manière proactive dans la cybersécurité ? Quelle articulation future entre régulation européenne et innovations technologiques ? A méditer...
Footnotes
1 Articles 5 et 32 du RGPD
2 Articles 33 et 34 du même texte
3 Article 34 du RGPD
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
