Les études sur l'impact économique du RGPD mesurent mal ses bénéfices, critique la Cnil

Combien coûte le Règlement général sur la protection des données (RGPD) pour les entreprises qui y sont soumises ? C'est une question sur laquelle la littérature économique se penche régulièrement. Loin d'être "un exercice superflu", il n'est pas toujours bien réalisé, d'après la Commission nationale de l'informatique et des libertés (Cnil). "La plupart de ces études se concentrent sur les coûts sans suffisamment mesurer les bénéfices (...)", juge l'autorité française. Elle ne cite aucune étude en particulier. 

La difficulté à isoler l'effet propre du RGPD

Les coûts liés à la conformité au texte européen sont "réels et inévitables", note la Cnil, Néanmoins, "ce coût est un investissement dans la conformité, qui comporte des bénéfices économiques". Ceux-ci sont souvent mal mesurés par les études à cause d'une méthodologie bancale, ajoute-t-elle. En effet, la majorité des études compare une entreprise soumise au RGPD et un groupe témoin qui n'y est pas soumis. Or, "il est compliqué d'isoler l'effet propre du RGPD par rapport au contexte économique et aux comportements variés des acteurs". Aussi, les études se focalisant sur un secteur ne sont pas généralisables à l'ensemble de l'économie contrairement à ce que certaines affirment, estime-t-elle. 

L'une des premières études sur le coût de la mise en conformité a été publiée par Sia Patners en 2017, soit un an après son entrée en vigueur et un an avant son application. Le cabinet de conseil en management le fixait à 30 millions d'euros par an en moyenne pour une entreprise du CAC 40. Le secteur de la banque et de l'assurance était considéré comme le plus exposé aux coûts. 

Les avantages moins observables que les coûts

Les effets bénéfiques du RGPD sont souvent omis, regrette l'autorité française reconnaissant qu'ils sont "moins aisément observables (...) sur le marché et donc difficiles à mesurer". "Seule une comparaison quantifiée entre l'effet sur les entreprises et l'effet sur les individus permettra de confirmer ou d'infirmer si cette réglementation a apporté un bénéfice net pour la société dans son ensemble", juge-t-elle. "Il serait utile que les économistes tentent d’objectiver ces gains pour réaliser une véritable analyse coûts/bénéfices", ajoute-t-elle. 

Elle cite une série de bénéfices liés à la conformité au RGPD, tels que la réputation aux yeux des clients et des partenaires ainsi que la connaissance de la donnée disponible au sein de l'entreprise. En 2021, elle avait ainsi commandé une étude auprès de Wavestone qui mettait également la lumière sur ces avantages : l'effet positif sur le rating face aux risques cyber et de sanction, le renforcement des systèmes d’informations l'effet positif sur la gouvernance métier de l’entreprise et encore le bénéfice extrafinancier et RSE. 

Des leçons à tirer

Pourtant, et malgré leurs imperfections, ces études fournissent des "leçons à tirer". Elles valident ainsi "la pertinence de l'approche d'un accompagnement du régulateur consistant à fournir aux entreprises des outils adaptés à leurs besoins réduisant ainsi le coût de la conformité". De plus, elles montrent que la vie privée est considérée comme "un bien public" et que "l'action du régulateur permet de faciliter les choix individuels qui concourent à instaurer un haut niveau de protection des données". 

Par ailleurs, explique la Cnil, ces études montrent que le RGPD est "proportionnellement plus favorable aux gros acteurs économiques, qui ont plus de moyens à consacrer à la conformité mais qui sont néanmoins plus contrôlés". Elle estime donc que le régulateur doit "compenser activement cette tendance par une politique exigeante envers les grands acteurs, et encore plus avec les très grands acteurs, à proportion des risques qu'ils suscitent et des moyens dont ils disposent". Déjà en cours de déploiement, cette "dimension asymétrique de son action de régulation sur les marchés numériques" va être davantage "assum[ée]". Le tout "associé à une pleine compréhension des modèles d'affaires".