Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD
Cyberéthique et libertés numériques

Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD

Artia13 18 Views


Usurpation d’identité : de 90 à 219 millions d’euros d’économies en France grâce au RGPD

Selon une évaluation de la CNIL, la transparence imposée par le RGPD aurait permis d’éviter des coûts situés dans une fourchette de 90 et 219 millions d’euros en France.

La CNIL veut montrer que le RGPD n’est pas qu’une question de principes. L’autorité française de protection des données a publié ce mois-ci une analyse économique des conséquences bénéfiques du RGPD sur les finances des entreprises françaises concernant la cybersécurité. « Le RGPD incite les entreprises à investir davantage dans la cybersécurité, afin de limiter l’impact du cybercrime à l’échelle de la société et présente donc un bénéfice pour l’ensemble des acteurs », affirme l’autorité dans la conclusion de son étude [PDF].

La CNIL déplorait l’année dernière que la plupart des études d’impact à propos du RGPD « se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes ». Elle a donc entrepris elle-même de mesurer certains bénéfices du règlement européen, six ans après sa mise en application, et notamment ceux concernant les préjudices liés à la cybersécurité.

Estimation du gain sur les usurpations d’identité

L’étude de l’autorité se limite aux usurpations d’identité « car il s’agit du délit en cybercriminalité dont le coût est le mieux documenté ». Elle rappelle pour autant qu’ « il faut garder en tête que ce n’est qu’une seule forme de cybercrime ». Elle ajoute même que « les gains reflétés par le RGPD dans cette partie ne sont vraisemblablement qu’une faible partie des gains totaux en matière de prévention du cybercrime puisqu’il est difficile de documenter, en raison du manque de données, ceux liés aux autres formes de cybercrime (comme les rançongiciels par exemple) ».

S’appuyant sur une étude scientifique parue en 2018, l’autorité explique qu’une entreprise aurait intérêt, pour elle-même, à ne pas révéler les failles de sécurité de grande ampleur, « les inconvénients d’une transparence étant supérieurs aux avantages, au regard du nombre de personnes potentiellement exposées ». « Pour ces entreprises, la stratégie optimale serait alors de dévoiler une cyberattaque peu importante, mais de ne pas révéler une fuite de données conséquente », ajoute-t-elle. Les clients subiraient les conséquences sans pouvoir réagir.

Avec l’obligation de transparence imposée par l’article 34 du RGPD, les entreprises sont poussées à éviter les fuites. C’est ce gain que l’autorité a mesuré. L’autorité explique que « l’impact de ce type de politique sur l’usurpation d’identité a été étudié à deux reprises par la littérature économique. Romanosky (2011) trouve [PDF] une baisse de 6,1 % du nombre d’usurpations d’identité et Bisogni (2020) trouve une baisse de 2,5 % suite à la mise en œuvre d’une politique de communication de violation de données ».

Entre 54 et 132 millions d’euros de coûts évités en France

En s’appuyant sur ces travaux et des estimations sur le coût du cybercrime, l’étude de la CNIL calcule une fourchette des coûts directs des usurpations d’identité évitées par la notification de violation de données, mais aussi des coûts indirects.

Selon la CNIL, la France aurait évité entre 54 et 132 millions d’euros de coûts directs liés aux usurpations d’identités. En Europe, cette fourchette serait de 405 à 988 millions d’euros de coûts évités.

Concernant les coûts indirects, l’autorité reste prudente : « comme il semble possible de l’imaginer, si le coût direct d’un cybercrime est complexe à estimer, ses coûts indirects le sont d’autant plus ». L’étude explique que ces coûts sont entre autres dus à la perte de confiance des individus quant à la sécurité des données personnelles. La CNIL cite en exemple une étude publiée en 2017 qui estime qu’en Belgique, « 5,9 % et 10,4 % de la population ont respectivement limité leurs usages des banques en ligne et de e-commerce en raison des risques de cybersécurité ». En s’appuyant sur des modélisations, l’autorité a estimé ce coût indirect.

C’est en additionnant les coûts directs et indirects estimés que l’autorité arrive à une fourchette de 90 à 219 millions d’euros d’économies grâce au RGPD en France concernant l’usurpation d’identité. En Europe, cette fourchette situe ce coût entre 585 millions et 1,4 milliard d’euros :

L’autorité explique que « c’est un premier chiffre qui vise principalement à illustrer les potentiels gains du RGPD plutôt qu’à en rendre compte dans leur intégralité ». Elle ajoute qu’ « en effet, en raison des limites dans les données disponibles, il est difficile de fournir une estimation rigoureuse des autres gains liés à la cybersécurité permis par le RGPD ».

Auteur : Martin Clavey

Aller à la source

Artia13

Bonjour ! Je m'appelle Cédric, auteur et éditeur basé à Arles. J'écris et publie des ouvrages sur la désinformation, la sécurité numérique et les enjeux sociétaux, mais aussi des romans d'aventure qui invitent à l'évasion et à la réflexion. Mon objectif : informer, captiver et éveiller les consciences à travers mes écrits.

Artia13 has 3250 posts and counting. See all posts by Artia13

Vous Aimerez Peut-être Aussi

Libertés numériques – Philippe LEMOINE au 7eme Forum Mondial Convergences

Libertés numériques – Philippe LEMOINE au 7eme Forum Mondial Convergences

Convergences
La Net Neutralité par Stéphane Richard

La Net Neutralité par Stéphane Richard

Le Point
Gabriela Ramos sur l’éthique de l’intelligence artificielle

Gabriela Ramos sur l’éthique de l’intelligence artificielle

Paris Peace Forum