Quand on pense au RGPD, on pense souvent contraintes réglementaires, registre des traitements, politique de confidentialité, voire même un « mal nécessaire » pour éviter les sanctions de la CNIL. C’est une vision compréhensible, mais très réductrice. Car derrière cette couche réglementaire, le RGPD agit en profondeur sur la maturité numérique et la posture de cybersécurité des entreprises.

C’est justement ce que démontre la CNIL dans son rapport publié en juin 2025, intitulé « Économie de la cybersécurité et bénéfices du RGPD ». Elle y explore pour la première fois en détail les effets économiques vertueux du RGPD sur la sécurité informatique, en s’appuyant sur les travaux de recherche en économie de la cybersécurité (Gordon & Loeb, 2015 ; Anderson & Moore, 2007 ; Murciano-Goroff, 2019).

L’un des constats clés de ce rapport : en corrigeant les défaillances du marché, le RGPD agit comme un mécanisme incitatif puissant : Il pousse les entreprises à investir dans la cybersécurité non seulement pour se conformer, mais aussi parce que cela devient rationnel économiquement. Le RGPD force les organisations à prendre en compte les risques qu’elles feraient autrement peser sur leurs clients, partenaires, ou sous-traitants.

Par exemple, l’obligation de notifier les violations de données et d'informer les ayants droit (articles 33 et 34) incite à renforcer la protection en amont. L’article 32 impose un niveau de sécurité des traitements proportionné aux risques et devient donc un levier structurel d’amélioration continue. Le simple fait de désigner un DPO (article 37), de documenter la nature des traitements, ou de limiter la durée de conservation des données (article 5.1.e) favorise l'hygiène cyber.

En bref : ce qui était vu à l'origine comme une contrainte est en train de devenir un vecteur de performance et de résilience.

Une évidence de terrain, désormais chiffrée

Chez CnC Expertise, nous constatons depuis plusieurs années que les entreprises ayant engagé une véritable démarche de conformité au RGPD se révèlent généralement mieux armées face aux incidents de cybersécurité. Ce constat n’a rien d’intuitif : il reflète la réalité d’un cadre réglementaire qui impose une gouvernance rigoureuse des données à caractère personnel. En pratique, cela signifie que ces entreprises ont appris à recenser précisément leurs traitements, à limiter la collecte et la conservation des données au strict nécessaire, à responsabiliser leurs sous-traitants de manière contractuelle et opérationnelle, et à se préparer à notifier les violations de données dans des délais très courts.

Autrement dit, elles ont acquis une connaissance fine de leurs actifs informationnels : ce qu’elles stockent, pourquoi elles le font, avec qui elles partagent ces données et comment elles en assurent la protection. Ce sont exactement les axes que nous explorons au fil de nos missions d’audit technique, organisationnel ou assurantiel. La qualité de cette documentation est souvent un révélateur fiable du niveau de maturité global d’un système d’information.

Le rapport publié par la CNIL en juin 2025 montre clairement que le RGPD ne se contente pas d’imposer des obligations : il produit aussi des effets positifs très concrets sur la manière dont les entreprises investissent dans leur cybersécurité. En agissant comme un cadre commun, le RGPD corrige plusieurs déséquilibres bien connus. Il oblige les organisations à être plus transparentes sur la gestion des données, ce qui permet aux clients et partenaires de mieux évaluer les risques. Il évite aussi qu’un acteur profite des efforts des autres sans faire lui-même les investissements nécessaires, notamment dans les chaînes de sous-traitance. Enfin, il pousse les entreprises à ne plus ignorer certains risques simplement parce qu’elles n’en subissent pas immédiatement les conséquences.

L’article 32, qui impose un niveau de sécurité adapté au risque qui pèse sur le traitement des données, joue un rôle structurant dans cette dynamique. Il encourage un alignement des comportements à l’échelle sectorielle, en particulier dans les écosystèmes fortement interdépendants. Selon les modèles économiques mobilisés par la CNIL, le niveau de sous-investissement actuel en cybersécurité reste significatif et pourrait être réduit de 20 à 66 % si l’on intégrait pleinement les externalités négatives.** 

Enfin, l’un des résultats les plus marquants mis en avant dans le rapport de la CNIL concerne l’article 34 du RGPD, qui oblige les entreprises à informer les ayants droit lorsqu’un risque élevé pèse sur les personnes concernées. Cette obligation a un effet préventif : elle incite les entreprises à sécuriser davantage leurs systèmes pour éviter d’avoir à signaler une fuite, et elle permet aux personnes potentiellement touchées de réagir plus vite pour se protéger.

Pour mesurer l’impact réel de cette disposition, la CNIL s’appuie sur deux études économiques majeures : celle de Sasha Romanosky (2011) et celle de Fabio Bisogni et Hadi Asghari (2020). Ces chercheurs ont analysé, à partir de données empiriques, les effets de lois similaires aux États-Unis et dans d’autres contextes européens. Ils ont montré que les obligations de notification contribuaient à réduire significativement le nombre d’usurpations d’identité*.

Ces travaux, bien que menés dans des contextes variés, ont contribué à établir que l’obligation de transparence imposée par le RGPD a des effets mesurables sur la sécurité des données et sur la réduction des dommages économiques subis par les victimes… et par les entreprises elles-mêmes.

Un levier contre le sous-investissement en cybersécurité

Les études menées sur la cybersécurité ont montré que les entreprises avaient tendance à investir en deçà de ce qui était optimal pour se prémunir des risques numériques. Ce sous-investissement s’explique notamment par le fait qu’une partie des dommages causés par une cyberattaque ne touche pas directement l’organisation victime. Lorsqu’un vol de données clients, une indisponibilité de service ou une fuite de données sensibles affecte la confiance du public dans l’ensemble d’un secteur, il s’agit d’effets diffus, difficilement mesurables à l’échelle d’un seul acteur. En économie, ces effets sont qualifiés d’externalités négatives.**

C’est précisément ce que le RGPD vient corriger. En instaurant une obligation de sécurité du traitement adaptée au niveau de risque, via son article 32, il impose aux entreprises de documenter et mettre en œuvre des mesures techniques et organisationnelles concrètes. L’article 34, quant à lui, oblige les responsables de traitement à informer les ayants-droit de toute violation de données présentant un risque élevé pour les droits et les libertés d'une personne physique. Enfin, l’article 28 encadre les relations avec les sous-traitants le liant au regard du responsable du traitement et en instituant leur responsabilité juridique en cas de manquement à la sécurité.

Ces dispositions agissent comme des leviers d’investissement. Elles incitent les entreprises à aller au-delà des approches minimales ou symboliques, pour adopter des mesures réellement efficaces de protection des données. Le chiffrement, la mise en place de sauvegardes résilientes, ou encore la réduction du volume et de la durée de conservation des données collectées deviennent alors des décisions rationnelles, autant pour limiter l’exposition au risque que pour se conformer à la réglementation.

Moins d’incidents, moins de pertes… plus d’économies

L’un des exemples les plus parlants avancés par la CNIL concerne l’impact de l’article 34 du RGPD sur l'information des ayants droit, en particulier dans les cas de risques d’usurpation d’identité. En obligeant les entreprises à alerter les personnes concernées en cas de fuite, cette disposition leur permet de réagir plus rapidement, de limiter les conséquences du vol d’identité, voire d’éviter que certaines attaques n’aboutissent.

Sur la base de modèles économiques établis à partir des travaux de Romanosky et de Bisogni, la CNIL estime que cette obligation aurait permis d’éviter entre 90 et 219 millions d’euros de pertes en France depuis l’entrée en application du règlement. Fait notable, près de 82 % de ces gains économiques ont bénéficié directement aux entreprises, par le biais de moindres indemnisations, d’une baisse de la sinistralité, ou d’un renforcement de la confiance des parties prenantes.

Il convient de souligner que cette estimation ne porte que sur un type d'incident bien documenté. Elle ne prend pas en compte les effets du RGPD sur d’autres formes d’attaques telles que les rançongiciels, les compromissions de messageries professionnelles, les interruptions d’activité ou les atteintes à la réputation. Il est donc raisonnable de penser que les bénéfices réels du cadre réglementaire sont largement sous-estimés à ce stade, faute de données consolidées sur l’ensemble des impacts.

Pour les assureurs, un signal fort de maturité

Pour les acteurs de l’assurance cyber, les enseignements de ce rapport viennent conforter une intuition que nous défendons depuis plusieurs années : la conformité au RGPD constitue bien davantage qu’un simple impératif juridique. Elle est un révélateur de la maturité organisationnelle d’une entreprise, et à ce titre, un indicateur pertinent de sa résilience face aux risques numériques.

Une organisation capable de tenir un registre des traitements actualisé démontre non seulement sa capacité à maîtriser ses flux de données, mais aussi sa faculté à mobiliser les bons interlocuteurs internes. De la même manière, le respect des obligations de notification en cas de violation suppose l’existence préalable de procédures de gestion de crise, de lignes de communication internes et d’un minimum d’entraînement à la prise de décision rapide. Enfin, les actions de sensibilisation liées au RGPD, lorsqu’elles sont conduites sérieusement, contribuent à faire évoluer les comportements des collaborateurs en matière de sécurité au quotidien, au-delà du seul cadre de la conformité.

Ces éléments, bien qu’indirects, constituent autant de signaux faibles que les assureurs peuvent mobiliser pour évaluer le niveau réel de préparation d’un assuré. Et dans un contexte où les modèles actuariels peinent encore à intégrer la complexité du risque cyber, tout indicateur robuste de gouvernance devient précieux.

Et tout cela a un impact direct sur la sinistralité.

Il demeure toutefois de nombreuses zones encore peu explorées. Le rapport de la CNIL le souligne explicitement : les bénéfices induits par certaines dispositions centrales du RGPD, telles que l’article 32 sur la sécurité des traitements, l’article 5 sur la minimisation des données ou encore l’article 25 relatif au principe de privacy by design, n’ont pas encore fait l’objet d’une évaluation économique approfondie. Et pourtant, ce sont précisément ces principes qui structurent aujourd’hui les démarches les plus solides en matière de résilience numérique.

Chez CnC Expertise, nous sommes convaincus que le RGPD ne se résume pas à un cadre juridique à respecter. Il s’agit d’un levier de compétitivité, d’un outil de gouvernance des données et, surtout, d’un vecteur efficace de maîtrise du risque cyber. Mieux les entreprises intégreront ces dimensions dans leur fonctionnement quotidien, plus elles renforceront leur posture de sécurité, leur capacité d’adaptation… et leur valeur.

*  Selon leurs résultats, les notifications obligatoires ont permis de réduire ces délits de 2,5 % (Bisogni & Asghari) à 6,1 % (Romanosky). Ce sont ces deux valeurs qui ont servi de base aux estimations de la CNIL pour chiffrer les gains économiques réalisés en France grâce au RGPD.

** Une externalité négative désigne une conséquence néfaste d’une action subie par d’autres acteurs, sans que ceux-ci en soient responsables ni indemnisés. Par exemple, lorsqu’une entreprise se fait pirater et que ses clients en subissent les effets, c’est une externalité négative.

Étude de Romanosky (2011) – Do data breach disclosure laws reduce identity theft?, Journal of Policy Analysis and Management : https://onlinelibrary.wiley.com/doi/10.1002/pam.20567

Étude de Bisogni & Asghari (2020) – More Than a Suspect: An Investigation into the Connection Between Data Breaches, Identity Theft, and Data Breach Communication Laws, Journal of Information Policy : https://doi.org/10.5325/jinfopoli.10.2020.0045