Souvent perçue comme une contrainte, la protection des données personnelles ferait économiser de l’argent

Les données personnelles sont les informations qui permettent d’identifier une personne ou de la rendre identifiable. Il s’agit donc par exemple des noms, prénoms, date de naissance, un numéro de téléphone, une photographie, le numéro de sécurité sociale, un enregistrement de la voix… Cela fait sept ans exactement, depuis l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD), que tous les pays européens ont uniformisé leurs règles en la matière.

En imposant aux entreprises et aux administrations des exigences lors de l’exploitation, la conservation et le partage de ces éléments si convoités pour effectuer le profilage des utilisateurs de services numériques. Avec en cas de perte ou de vol de ces données des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial globalisé de l’entité jugée responsable.

Quel impact chiffré de l'application du RGPD ?

Pour commencer, et ce n’est pas immédiatement chiffrable, on peut apprécier le fait que l’ensemble des organisations qui sont amenées à compiler des informations - qui nous concernent directement au point de pouvoir nous identifier comme individu - leur octroie une protection particulière. Mais pour aller au-delà de ce sentiment, la Commission Nationale Informatique et Libertés (CNIL) vient de conduire une analyse économique de l’impact de la réglementation qu’elle est notamment chargée d’appliquer.

En se focalisant sur la problématique des usurpations d’identité, car c’est celle qui est la plus documentée. Une pratique malveillante qui peut causer des dégâts tant financiers - avec des détournements de paiements ou de comptes bancaires, que moraux – avec des atteintes à la réputation personnelle ou professionnelle difficilement réparables et pouvant traîner sur la durée.

Des coûts directs et indirects

La CNIL distingue les coûts directs – liés directement à l’usurpation d’identité. Et les coûts indirects, comme par exemple la réticence de la victime - dans les semaines qui suivent la matérialisation de l’usurpation - qui la conduit à réduire ses achats en ligne. Pénalisant de fait les acteurs du commerce électronique. Selon l'estimation établie par la Commission, les dispositions de sécurité imposées par le RGPD auraient ainsi permis d’éviter jusqu’à 219 millions d’euros de pertes liées aux coûts des usurpations d’identité en France, dont 132 millions d’euros pour les coûts directs.

Et jusqu’à 1,4 milliard d’euros pour ce qui concerne l’ensemble de l’UE, dont 988 millions pour les seuls coûts directs.

Ce mode d'évaluation qui s’appuie sur des publications universitaires et des statistiques publiques est intéressant car il complète la manière d’aborder la réglementation. Qui ainsi n’est pas seulement considérée sous l’angle de la contrainte, mais aussi de la valeur qu’elle contribue à créer. Comme si on recensait les vies que le déploiement et l’utilisation obligatoires des ceintures de sécurité avaient pu sauver au cours d’une année.

Mettre un prix sur la protection des actifs numériques

On constate qu’outre les régulateurs sectoriels, comme en France la CNIL sur le sujet des données personnelles, les autorités de marché demandent de plus en plus aux entreprises concernées par des cyberattaques de communiquer sur leurs impacts financiers.

Ce qui participe à rendre très concret un préjudice né dans l’espace numérique.

Ainsi, fin mai 2025, la chaîne de distribution britannique Marks & Spencer a indiqué que le piratage de ses équipements intervenu en avril dernier, paralysant une partie des commandes en ligne et des terminaux de paiement dans ses magasins, lui avait coûté 355 millions d’euros. En tant qu’entreprise cotée en Bourse, le groupe se devait d’assurer cette transparence par un communiqué officiel. Ainsi, non seulement il faut dans la foulée de la crise procéder à une mesure des coûts causés par le sinistre mais aussi le rendre public. Cela devient une démarche de gouvernance à part entière.

Des consommateurs qui se mobilisent 

Les utilisateurs de services numériques sont de plus en plus conscients qu’ils ont des droits bien réels dans ce monde virtuel. En février 2025, la Ligue des droits de l’homme (LDH) suivie en mai dernier par des avocats français ont ainsi lancé une action de groupe contre la société Apple avec un site Internet dédié qui a déjà recueilli plus de quinze mille plaintes. Il est reproché à Siri, l’assistant vocal d'Apple, d’avoir enregistré la voix de milliers d’utilisateurs à leur insu.