Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD

Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD

Selon une évaluation de la CNIL, la transparence imposée par le RGPD aurait permis d’éviter des coûts situés dans une fourchette de 90 et 219 millions d’euros en France.

Le 11 juin à 12h01

La CNIL veut montrer que le RGPD n'est pas qu'une question de principes. L'autorité française de protection des données a publié ce mois-ci une analyse économique des conséquences bénéfiques du RGPD sur les finances des entreprises françaises concernant la cybersécurité. « Le RGPD incite les entreprises à investir davantage dans la cybersécurité, afin de limiter l’impact du cybercrime à l’échelle de la société et présente donc un bénéfice pour l’ensemble des acteurs », affirme l'autorité dans la conclusion de son étude [PDF].

La CNIL déplorait l'année dernière que la plupart des études d'impact à propos du RGPD « se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes ». Elle a donc entrepris elle-même de mesurer certains bénéfices du règlement européen, six ans après sa mise en application, et notamment ceux concernant les préjudices liés à la cybersécurité.

Estimation du gain sur les usurpations d'identité

L'étude de l'autorité se limite aux usurpations d'identité « car il s’agit du délit en cybercriminalité dont le coût est le mieux documenté ». Elle rappelle pour autant qu' « il faut garder en tête que ce n’est qu’une seule forme de cybercrime ». Elle ajoute même que « les gains reflétés par le RGPD dans cette partie ne sont vraisemblablement qu’une faible partie des gains totaux en matière de prévention du cybercrime puisqu’il est difficile de documenter, en raison du manque de données, ceux liés aux autres formes de cybercrime (comme les rançongiciels par exemple) ».

S'appuyant sur une étude scientifique parue en 2018, l'autorité explique qu'une entreprise aurait intérêt, pour elle-même, à ne pas révéler les failles de sécurité de grande ampleur, « les inconvénients d’une transparence étant supérieurs aux avantages, au regard du nombre de personnes potentiellement exposées ». « Pour ces entreprises, la stratégie optimale serait alors de dévoiler une cyberattaque peu importante, mais de ne pas révéler une fuite de données conséquente », ajoute-t-elle. Les clients subiraient les conséquences sans pouvoir réagir.

Avec l'obligation de transparence imposée par l'article 34 du RGPD, les entreprises sont poussées à éviter les fuites. C'est ce gain que l'autorité a mesuré. L'autorité explique que « l’impact de ce type de politique sur l’usurpation d’identité a été étudié à deux reprises par la littérature économique. Romanosky (2011) trouve [PDF] une baisse de 6,1 % du nombre d’usurpations d’identité et Bisogni (2020) trouve une baisse de 2,5 % suite à la mise en œuvre d’une politique de communication de violation de données ».

Entre 54 et 132 millions d'euros de coûts évités en France

En s'appuyant sur ces travaux et des estimations sur le coût du cybercrime, l'étude de la CNIL calcule une fourchette des coûts directs des usurpations d’identité évitées par la notification de violation de données, mais aussi des coûts indirects.

Selon la CNIL, la France aurait évité entre 54 et 132 millions d'euros de coûts directs liés aux usurpations d'identités. En Europe, cette fourchette serait de 405 à 988 millions d'euros de coûts évités.

Concernant les coûts indirects, l'autorité reste prudente : « comme il semble possible de l’imaginer, si le coût direct d’un cybercrime est complexe à estimer, ses coûts indirects le sont d’autant plus ». L'étude explique que ces coûts sont entre autres dus à la perte de confiance des individus quant à la sécurité des données personnelles. La CNIL cite en exemple une étude publiée en 2017 qui estime qu'en Belgique, « 5,9 % et 10,4 % de la population ont respectivement limité leurs usages des banques en ligne et de e-commerce en raison des risques de cybersécurité ». En s'appuyant sur des modélisations, l'autorité a estimé ce coût indirect.

C'est en additionnant les coûts directs et indirects estimés que l'autorité arrive à une fourchette de 90 à 219 millions d'euros d'économies grâce au RGPD en France concernant l'usurpation d'identité. En Europe, cette fourchette situe ce coût entre 585 millions et 1,4 milliard d'euros :

L'autorité explique que « c’est un premier chiffre qui vise principalement à illustrer les potentiels gains du RGPD plutôt qu’à en rendre compte dans leur intégralité ». Elle ajoute qu' « en effet, en raison des limites dans les données disponibles, il est difficile de fournir une estimation rigoureuse des autres gains liés à la cybersécurité permis par le RGPD ».

Commentaires (9)

votre avatar
Ils se contentent de peu !

Seulement 6,1 % de baisse des usurpations d'identité liée à l'obligation de publication des fuites de données, c'est très peu.

Un bon résultat aurait été au moins une baisse de 50 %, j'irais même vers 90 %.

Cela veut dire que les sanctions sont insuffisantes ou le périmètre d'application est insuffisant.

Quant aux économies en Euro, on reste sur des sommes ridicules si l'on compare au PIB, à la dette ou au budget de la France.
votre avatar
En quoi l'obligation de publication des fuites de données permet une diminution des usurpations d'identité ? Il me semble que les données ont tout de même fuitées et sont donc quand même potentiellement accessibles. Est ce que la publication permet aux personnes concernées de prendre des mesures préventives ? Si oui, ces mesures sont elles connues ?
votre avatar
Comme dit dans l'actu, la transparence des fuites pousserait les entreprises à se protéger mieux pour, en gros, éviter un bad buzz.
votre avatar
Je ne suis pas vraiment certains que le problème, ce soit le bad buzz.

Je pense que la réponse se cache plutôt dans ce passage :
l'autorité explique qu'une entreprise aurait intérêt, pour elle-même, à ne pas révéler les failles de sécurité de grande ampleur, « les inconvénients d’une transparence étant supérieurs aux avantages, au regard du nombre de personnes potentiellement exposées »
Depuis le RGPD, non seulement les entreprises ont un devoir de transparence et de communication vis-à-vis des personnes, mais elles doivent également prendre les mesures nécessaires, au risque de se prendre une amende lors d'un contrôle pour défaut de sécurisation.

Le RGPD établie un montant des amendes assez dissuasif, et je pense que c'est cette crainte qui vient rétablir la donne, plus que le risque de bad buzz (surtout qu'aujourd'hui, il y a tellement de fuites qu'une de plus ou de moins se perd facilement dans la masse).
votre avatar
Et c'est bien que ce soit documenté. La litterature à ce sujet est très lacunaire. J'ai pour habitude de critiquer l'inaction de la cnil #JeSuisLQDN #JeSuisPurr mais là, pour la recherche, vraiment c'est intéressant.
votre avatar
Lorsque tu sais que tes données ont fuité, tu fais plus attention et tu risques moins de te faire avoir…
votre avatar
Je trouve que c'est bien ce que fait la CNIL, et c'est un exercice risqué. Généralement, la littérature scientifique se concentre surtout sur les pertes induites par le non respect des lois sur la protection des données, ou les pertes en cas de fuites de données. Les articles qui parlent de bénéfices de l'application du RGPD sont rares et peu cités comme ceux-ci. On pourrait ajouter Goldfarb & Que (2023) et les papiers de Daniel J. Solove. La recherche sur les bénéfices du RGPD est souvent axée sur des bénéfices comportementaux (confiance du consommateur, fidélité, recommandations, etc). La littérature scientifique sur le sujet est faible, c'est plutôt bien.
votre avatar
Les 6,1% viennent d'une étude de 2011 sur des chiffres de 2002 à 2007...
Celle de 2020 sur des données de 2005 à 2017. On parle bien ici d'une baisse du nombre d'usurpations d'identité. L'âge de la première étude et la faiblesse du résultat de la seconde laisse quand même dubitatif, quand la marge d'erreur du document semble, elle, très importante...
Il faut quand même saluer la démarche de chercher à quantifier les bénéfices.
votre avatar
Je serais curieux de connaitre les couts de la mise en conformité au RGPD :mad2:

Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD

  • Estimation du gain sur les usurpations d'identité

  • Entre 54 et 132 millions d'euros de coûts évités en France

Fermer