“Le règlement aurait permis d’éviter, par exemple sur l’enjeu d’usurpation d’identité, entre 90 et 219 millions d’euros de préjudices cyber en France“, affirme la CNIL dans sa dernière étude “économie de la cybersécurité et bénéfices du RGPD“.
La Commission estime que 82 % de ces gains liés au RGPD bénéficient directement aux entreprises. En effet, en prenant en compte le niveau d’indemnisation des pertes et l’impact des usurpations d’identité sur la confiance des victimes à acheter en ligne, les auteurs estiment que les entreprises récupèrent la majorité des pertes évitées.
Sur la base des données Eurostat, la Commission évalue le coût total des usurpations d’identité en France entre 1 et 3,4 milliards d’euros sur une période de quatre ans. À l’échelle de l’Union européenne, ce montant s’élèverait entre 6 et 15 milliards d’euros.
L’étude de la CNIL montre que la mise en conformité RGPD a contribué à stimuler les investissements en cybersécurité. “En 2015, 14,2 % des entreprises françaises comptant au moins 10 employés avaient actualisé leur protocole de cybersécurité au cours de l’année. Ce chiffre est monté à 18,3 % en 2019, avant de redescendre à 12,1 % en 2022. Ces données montrent donc que le RGPD a permis de lutter contre le sous-investissement dans la cybersécurité“.
Les communications de violations de données auraient réduit les conséquences négatives sur les individus. “Cette réduction a été estimée à deux reprises par son impact sur les
usurpations d’identité : un premier article a estimé que les communications de violations de données causent une baisse de 6,1 % du nombre d’usurpations d’identité (Romanosky et al., 2011), alors que d’autres auteurs estiment plus récemment une baisse de 2,5 % (Bisogni et Asghari, 2020)“.
“Ces gains ne représentent qu’une faible partie des gains totaux dus au RGPD en matière de réduction du cybercrime. Il ne s’agit que de l’impact d’une de ses dispositions sur un type spécifique de cybercrime (l’usurpation d’identité). Il faudrait également y ajouter l’impact positif de la conformité RGPD sur les rançongiciels, les botnets (réseau de programmes connectés via Internet), les logiciels malveillants, etc. Il serait pertinent que les économistes approfondissent la dimension de la cybersécurité pour offrir une vision plus complète de ce sujet” plaide la Commission.
