ARTICLE
20 June 2025

La CNIL Publie Une Analyse Chiffrée Des Bénéfices Économiques Du RGPD En Matière De Cybersécurité

DA
Delsol Avocats

Contributor

Delsol Avocats logo

DELSOL Avocats, an entrepreneurial firm dedicated to entrepreneurs and businesses

We combine our various expertise according to our clients’ needs in order to assist, advise and defend them.

Helping you choose the right route

We provide our clients with a global, technical and strategic vision taking into account their distinctive economic and cultural features.

Our cross-practice and sector-specific expertise allow us to deliver tailored assistance for transactions in France, Belgium and abroad through our networks of best friend firms.

Explore Firm Details
Sept ans après l'entrée en application du RGPD, la CNIL établit un bilan des effets du respect des exigences de sécurité imposées par le RGPD. Si les débats autour du RGPD ont souvent mis en avant les coûts de mise en conformité pour les entreprises, la CNIL propose aujourd'hui une analyse originale et chiffrée de ses bénéfices, en particulier sous l'angle de la cybersécurité.
France Privacy
Jeanne Bossi Malafosse

Sept ans après l'entrée en application du RGPD, la CNIL établit un bilan des effets du respect des exigences de sécurité imposées par le RGPD. Si les débats autour du RGPD ont souvent mis en avant les coûts de mise en conformité pour les entreprises, la CNIL propose aujourd'hui une analyse originale et chiffrée de ses bénéfices, en particulier sous l'angle de la cybersécurité.

Le RGPD, un levier d'investissement en cybersécurité

Dans l'économie numérique, l'investissement en cybersécurité constitue une décision stratégique, généralement arbitrée en fonction de son coût et du risque perçu de cyberattaque. Toutefois, ce raisonnement purement individuel ne prend pas toujours en compte les effets collatéraux, qu'ils soient positifs ou négatifs, de ces choix sur l'ensemble de la société. En économie, on parle alors d'externalités.

Trois types d'externalités identifiées par la CNIL

L'analyse de la CNIL distingue trois grandes catégories d'externalités en matière de cybersécurité.

1. Les externalités entre entreprises
La sécurité d'une entreprise bénéficie également à ses partenaires, sous-traitants et parfois même à ses concurrents. Par exemple, un sous-traitant faiblement sécurisé expose indirectement les données de ses donneurs d'ordre. De la même manière, un secteur fortement sécurisé limite la propagation de cyberattaques, créant un effet d'«immunité collective» numérique. Toutefois, les entreprises ont peu d'intérêt à investir pour sécuriser leurs concurrents, ce qui limite naturellement les efforts spontanés en la matière.

2. Les externalités vis-à-vis des cybercriminels
Le sous-investissement en cybersécurité alimente directement la rentabilité du cybercrime, notamment des rançongiciels. Plus les attaques réussissent, plus les cybercriminels peuvent exiger des rançons élevées, créant ainsi un cercle vicieux qui alimente la fréquence et la gravité des attaques.

3. Les externalités vis-à-vis des clients et utilisateurs
Les victimes ultimes des failles de sécurité sont souvent les individus dont les données sont compromises (usurpation d'identité, hameçonnage, fraude, etc.). En l'absence de cadre juridique, les entreprises pourraient être tentées de dissimuler ces violations pour préserver leur réputation, privant ainsi les personnes concernées des moyens de se prémunir contre de nouvelles attaques.

Le RGPD, en rendant la notification obligatoire auprès des autorités et des personnes concernées (articles 33 et 34), réduit cette opacité et responsabilise les entreprises, tout en permettant une meilleure protection des personnes physiques.

Une première quantification des bénéfices: jusqu'à 219 millions d'euros de préjudices évités

L'étude de la CNIL fournit un éclairage chiffré intéressant sur l'impact positif du RGPD, notamment en matière d'usurpation d'identité:

  • depuis l'entrée en vigueur du RGPD, la notification des violations de données aurait permis de réduire de 2,5% à 6,1% les cas d'usurpation d'identité en France;
  • ce recul représenterait entre 90 et 219 millions d'euros de pertes évitées pour l'économie française depuis 2018;
  • sur le plan européen, le gain serait compris entre 585 millions et 1,4 milliard d'euros;
  • 82% de ces gains profiteraient directement aux entreprises, notamment via le maintien de la confiance des consommateurs dans l'économie numérique.

Un potentiel encore sous-estimé

La CNIL souligne que ces résultats ne représentent qu'une fraction des bénéfices globaux du RGPD en matière de cybersécurité. L'étude ne porte ici que sur l'usurpation d'identité et sur les effets directs des obligations de notification. Il conviendrait d'étendre ces analyses aux autres dimensions du cybercrime: rançongiciels, botnets, logiciels malveillants, etc.

L'étude met ainsi en évidence le rôle systémique du RGPD, non seulement comme texte protecteur des libertés individuelles, mais aussi comme vecteur d'un écosystème numérique plus sûr et économiquement plus stable. Elle illustre enfin le fait que le respect des obligations réglementaires peut également s'avérer être un investissement rentable pour les entreprises.

Enjeux pratiques pour les entreprises

Pour les entreprises, cette analyse de la CNIL rappelle plusieurs enjeux clés:

  • la conformité au RGPD est un levier de sécurisation de leurs propres actifs numériques;
  • le non-respect des obligations de notification expose à des sanctions et à des pertes de confiance durables;
  • la cybersécurité doit être pensée non seulement comme une dépense de conformité, mais comme un facteur de compétitivité et de résilience.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Jeanne Bossi Malafosse
Jeanne Bossi Malafosse
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More