L’impact économique du RGPD, 5 ans après
Cinq ans après l’entrée en application du RGPD, la littérature économique s’est penchée sur son impact économique sur les entreprises. La plupart de ces études se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes.
Vouloir faire l’étude de l’impact économique de la mise en œuvre du règlement général sur la protection des données (RGPD) en Europe depuis 2018 peut sembler un exercice superflu : cette réglementation n’a-t-elle pas pour objet la protection des droits fondamentaux des Européens ? Ce texte ne doit-il pas être de toute manière respecté par les entreprises ? Le RGPD n’est-il pas, par ailleurs, devenu un standard mondial, inspirant de nombreux pays ?
Le RGPD, en harmonisant les règles relatives à la protection des données personnelles en Europe, a instauré un espace de libre circulation des données. L’économie numérique, largement fondée sur l’utilisation des données personnelles, ne peut se développer sans la confiance des citoyens, garantie par un haut niveau de protection de ces données. La mise en œuvre du RGPD comporte donc des enjeux économiques forts pour la France et ses entreprises.
Après 5 ans d’application du RGPD, la littérature économique s’est saisie de ce sujet afin d’éclairer son impact, notamment pour les entreprises, essentiellement à partir de travaux empiriques consacrés au lien entre cette réglementation et la croissance, l’innovation et la concurrence.
Un investissement dans la conformité, un impact nuancé
La littérature économique met souvent l’accent sur les coûts, initiaux et récurrents, de mise en œuvre du RGPD par les entreprises. Ceux-ci sont réels et inévitables : ils correspondent à une préférence collective européenne qu’il convient d’assumer, d’autant plus aisément que toutes les entreprises sont logées à la même enseigne. En réalité, ce coût est un investissement dans la conformité, qui comporte des bénéfices économiques.
À la lecture de ces études, il faut avant tout se garder d’une approche simpliste car la donnée personnelle est un objet économique très particulier : elle fait rarement l’objet d’un échange marchand, n’est pas gratuite à produire, mais se copie quasiment sans coût. En l’absence de réglementation, elle peut donner lieu à des asymétries d’information entre le service et l’usager, ce dernier n’ayant qu’une vision parcellaire de l’utilisation de ses données. Le bien-être des personnes concernées risque d’être affecté par des « externalités négatives » (se produit lorsqu’une activité génère des conséquences négatives non voulues sur d’autres acteurs économiques – par exemple, la revente de données pouvant aboutir à un flux de sollicitations non souhaitées).
De ce fait, l’une des vertus du RGPD peut être, en permettant une meilleure information et plus de rationalité dans les choix, de résorber des « failles de marché » (réduction des nuisances dues aux sollicitations publicitaires ou au profilage par exemple) et de rendre possibles des opérations économiques qui ne le seraient pas en l’absence de protection (comme participer volontairement à une étude en santé).
Par ailleurs, les effets de la mise en œuvre du RGPD sur les entreprises françaises sont nuancés : les études font état d’impacts dans les deux sens, dépendant de l’activité économique et de la nature du modèle d’affaires considéré. Alors que certaines opérations sont plus encadrées (comme le démarchage ou la revente de données client par exemple), d’autres sont facilitées par l’augmentation de la confiance du client.
Les difficultés méthodologiques
Les études d’impact économiques suivent une approche expérimentale, à partir de données mesurées, pour tenter de dégager une approche objective. Cela suppose de pouvoir comparer, par exemple, des entreprises soumises au RGPD et un groupe « témoin » qui n’y est pas soumis, « toutes choses égales par ailleurs ».
Malgré ces approches, il est compliqué, d’un point de vue méthodologique, d’isoler l’effet propre du RGPD par rapport au contexte économique et aux comportements variés des acteurs. C’est avec l’accumulation des études, si elles sont convergentes, que les grandes tendances pourront se dégager.
De même, si beaucoup d’études concernent des secteurs traditionnellement peu régulés, où l’impact du RGPD est le plus fort (e-commerce, publicité en ligne, marketing), les résultats pour ces secteurs ne sont pas généralisables à l’ensemble de l’économie. Toutefois, une approche plus générale, macroéconomique, n’a pas été réalisée à ce stade en raison des difficultés inhérentes à la modélisation des questions de données personnelles.
Prendre en compte les bénéfices pour les entreprises et les personnes
Intéressantes dans leurs résultats, les études sont incomplètes pour ce qui est de leur champ : elles ne traitent que marginalement des bénéfices de la conformité pour les entreprises, car moins aisément observables. Or, on constate d’un point de vue qualitatif un retour sur investissement de la conformité RGPD, en termes de réputation aux yeux des clients et des partenaires, de sécurité informatique, de connaissance de la « donnée » disponible au sein d’une entreprise ou d’économies opérationnelles, par exemple. Il serait utile que les économistes tentent d’objectiver ces gains pour réaliser une véritable analyse coûts/bénéfices.
De même, la mise en œuvre du RGPD permet d’importants gains de bien-être pour les consommateurs, qui maîtrisent ainsi mieux leurs données et sont mieux à même de mesurer les risques de leur dissémination. Plus vigilants, ils sont moins sujets à l’exploitation frauduleuse de leurs données ou à des irritants comme le démarchage abusif, qui occasionnent des préjudices économiques.
Ces gains ne sont toutefois pas directement observables sur un marché et sont donc difficiles à mesurer. Seule une comparaison quantifiée entre l’effet sur les entreprises et l’effet sur les individus permettra de confirmer (ou d’infirmer) si cette réglementation a apporté un bénéfice net pour la société dans son ensemble.
Les leçons à tirer pour le régulateur
Les études économiques réalisées jusqu’ici, bien que surtout focalisées sur les coûts induits par la mise en œuvre du RGPD et dans l’attente d’une nouvelle étape en analysant finement les bénéfices, comportent néanmoins quelques leçons à tirer pour la CNIL. D’abord, elles valident la pertinence de l’approche d’accompagnement du régulateur consistant à fournir aux entreprises des outils adaptés à leurs besoins, réduisant ainsi le coût de la conformité, tout comme la fourniture de sécurité juridique à travers des référentiels, conseils ou guides de bonnes pratiques.
Ensuite, ces études montrent que la vie privée est à considérer comme un bien public. Sa protection ne naît pas spontanément du fonctionnement des marchés ni même des comportements individuels des personnes mais comporte une dimension de « paternalisme libertarien » (c’est-à-dire, organiser des conditions dans lesquelles les personnes sont incitées à un comportement qui les protège). L’action du régulateur permet de faciliter les choix individuels qui concourent à instaurer un haut niveau de protection des données. Celui-ci, en retour, bénéficie à l’ensemble des acteurs des marchés numériques, en créant un cadre de confiance indispensable au développement de ces derniers (développement de la French Tech depuis 2017 par exemple).
Enfin, ces études montrent que le RGPD est proportionnellement plus favorable aux gros acteurs économiques, qui ont plus de moyens à consacrer à la conformité, mais qui sont néanmoins plus régulièrement contrôlés. Le régulateur doit compenser activement cette tendance par une politique exigeante envers les grands acteurs, et plus encore avec les très grands acteurs, à proportion des risques qu’il suscitent et des moyens dont ils disposent. Ainsi, comme le précise d’ailleurs la déclaration conjointe CNIL-Autorité de la concurrence de décembre 2023, la CNIL assume déjà, et va assumer encore plus à l’avenir, une dimension asymétrique de son action de régulation sur les marchés numériques, associée à une pleine compréhension des modèles d’affaires, au bénéfice des personnes et de la protection de leurs droits fondamentaux.