Études économiques d’impact du RGPD : la vision du régulateur

Cinq ans après l’entrée en vigueur du RGPD (règlement général sur la protection des données) en mai 2018, suffisamment de temps s’est écoulé pour qu’il soit possible de commencer à mesurer l’impact économique de sa mise en œuvre. Conçue pour protéger les droits fondamentaux des citoyens européens, cette réglementation n’en est pas moins passible d’une évaluation selon des grandeurs économiques, afin de tenter de mesurer ses coûts et ses bénéfices pour les citoyens et les responsables de traitement, ses liens avec d’autres politiques publiques, ses éventuels effets inattendus et son impact dans la concurrence internationale. C’est ce qu’ont fait depuis 2018 un certain nombre de travaux académiques, notamment microéconomiques.

Parler de l’impact économique du RGPD n’est pas une chose aisée, pour plusieurs raisons. D’abord parce que le sujet est complexe (la réalité recouvre aussi des situations de non-conformité, les risques évoluent avec le temps, les acteurs peuvent aller plus loin que la réglementation pour des raisons qui leur appartiennent, etc.). Ensuite, parce que ce discours peut être guidé par des arrière-pensées politiques, aux fins de faire modifier la réglementation voire, dans une vision extrême, d’en remettre en cause la légitimité même – une approche qui n’est utile ni au débat, ni aux travaux du régulateur. Enfin, parce qu’il est compliqué, d’un point de vue méthodologique, d’isoler statistiquement l’effet propre de la réglementation du contexte de sa mise en œuvre et du comportement des acteurs.

Il faut avant tout se garder d’une vision simpliste de ces études d’impact, dont les conclusions, voire les hypothèses de travail, peuvent reposer sur le paradigme d’un marché parfait, qui fonctionnerait de manière optimale sans intervention de l’État et que l’intervention de ce dernier ne pourrait finalement que venir perturber. Pour les tenants de cette approche que Fabrice Rochelandet fait remonter à l’École de Chicago, toute protection réglementaire des données, qui diminue la quantité d’informations disponibles dans l’économie, serait sous-optimale (Rochelandet 2010).

Or, en matière de données et de vie privée, une telle approche n’est pas recevable en raison de la spécificité de l’objet : les données personnelles ne sont presque jamais exposées à un échange marchand, pour un prix, entre la personne concernée et un responsable de traitement ; les déterminants économiques des choix des personnes sont marqués par une sous-perception des risques et par des externalités négatives, occasionnant ce qu’on appelle en microéconomie des « failles de marché » (Acquisti 2010). Enfin, la donnée personnelle, bien informationnelle, pose la question des asymétries d’informations et répond à des enjeux de confiance en situation d’incertitude – confiance sans laquelle le marché ne pourrait pas exister (Akerlof 1971).

De cela, il résulte que le fait que le RGPD occasionne des coûts pour les entreprises, comme les études le relèvent souvent (Chen 2022), n’est ni surprenant, ni même très signifiant : vu les objectifs de cette politique publique, il ne peut guère en aller autrement (Cecere 2018). L’Europe s’est donné une préférence collective en la matière, et s’arrêter à cet aspect serait une erreur de perspective.

Ainsi, loin des discours simples d’un RGPD « antiéconomique », cet article s’appuie sur les acquis de l’économie pour entrer dans la complexité des choses, montrer ce qui a été mesuré et ce qui reste à mesurer, et en tirer quelques leçons pour le régulateur.

Des études suivant une approche expérimentale, aux résultats nuancés et équilibrés

Afin de tenter d’objectiver les choses, les études d’impact économiques du RGPD suivent une approche expérimentale (s’appuyant sur des données de terrain) et scientifique (elles sont éprouvées par une discussion entre pairs). La plupart du temps, elles tentent de comparer la situation en Europe avec un contrefactuel dans une autre région du monde, ou d’observer l’évolution des données dans le temps (avant/après 2018). Mais les défis méthodologiques qui se posent aux chercheurs sont importants (Johnson 2022), car la comparaison n’est jamais parfaitement valable « toutes choses étant égales par ailleurs ». En revanche, des études suivant différentes méthodologies sont susceptibles de converger vers les mêmes conclusions.

L’impact sur les entreprises : des résultats nuancés

Contrairement aux prédictions catastrophistes de certains papiers ayant circulé au moment des négociations du RGPD, les études font état d’impacts dans les deux sens, que l’on peut résumer de la manière suivante : négatifs selon la dimension extensive, car les préférences pour la vie privée des personnes sont mieux prises en compte ; positifs selon la dimension intensive, du fait de l’augmentation de la confiance, notamment en ligne.

Ainsi (du moins dans les cas où le RGPD requiert le consentement, ce qui n’est pas le cas général), l’introduction d’une obligation d’opt-in fait baisser le nombre d’utilisateurs mais rend les utilisateurs ayant donné leur consentement plus prédictibles et générant de meilleurs revenus (Aridor, Che et Salz 2022) illustrant les mérites d’une meilleure segmentation du marché selon les préférences des consommateurs. De même, l’effet sur l’innovation est nuancé avec des effets favorables aux innovations de procédés et défavorables à l’innovation de produits (Blind 2020). Les études suggèrent des effets dans les deux sens, certains stimulants pour l’innovation, d’autres la contraignant (Martin 2019). Quant aux coûts de mise en œuvre de la réglementation, initiaux ou récurrents, il faut plutôt les considérer comme des investissements (voir partie suivante).

Ceci étant dit, une des leçons qui revient très fréquemment dans ces études d’impact est que la réglementation pèse proportionnellement plus sur les petits acteurs et constitue, si l’on veut, un avantage concurrentiel pour les plus gros (Batikas 2020). Cette situation a plusieurs explications : la conformité comporte une partie de coûts fixes, les gros acteurs peuvent aussi faire de la vie privée un argument de vente (privacy washing), voire édicter leurs propres règles pour contraindre leurs concurrents, lorsqu’ils sont structurants pour le marché ; enfin, la mise en conformité des gros acteurs transnationaux peut être plus lente que pour de plus petits acteurs.

De même, il semble y avoir un effet de court terme défavorable sur le financement du secteur tech par le capital-risque en Europe avec l’entrée en vigueur du RGPD – effet qui s’atténue avec le temps (Jia 2020). L’effet est particulièrement prononcé pour les investisseurs non domestiques, suggérant des asymétries d’informations entre l’innovateur et son financeur dans un univers de conformité complexe, voire un manque de sécurité juridique à laquelle il appartient au régulateur de répondre.

L’impact sur les personnes : d’importants gains de bien-être

D’un point de vue économique, l’édiction d’une réglementation en matière de collecte et de traitement des données personnelles permet aux préférences intrinsèques des individus-consommateurs pour la vie privée de mieux être prises en compte et de combler une partie des asymétries d’informations qui empêchent la perception des risques de dissémination des données. Tant du point de vue des gains de bien-être que des pertes de bien-être évitées, les économistes s’attendent à des bénéfices relativement importants pour le consommateur (Congiu 2022).

Ces gains ne sont pas directement observables dans des prix de marché, mais il est possible de trouver des approximations. Ainsi, les expériences de valorisation des données personnelles menées en Europe et aux États-Unis révèlent des bénéfices hétérogènes selon les consommateurs mais substantiels. Il en va ainsi pour la valeur des cookies sur le web, qui serait en Europe, selon une étude récente, de l’ordre de quelques dizaines d’euros (de 5 à 50 euros, hors valeurs extrêmes) avec une forte hétérogénéité (Mager 2021). Autre exemple, aux États-Unis, les individus acceptent, dans une expérience, de recevoir 88 dollars en échange de leurs données de localisation pendant deux mois (Brush 2009). Les données de réseaux sociaux sont également valorisées à une médiane de 750 dollars par personne aux États-Unis selon une approche expérimentale (Collis 2023). Il y a aussi, dans toutes ces expériences, une frange de personnes très attachées à la vie privée qui valorisent leurs données à niveau encore supérieur.

En raison des incertitudes méthodologiques, aucune étude ne porte à notre connaissance sur le surplus global (personnes et entreprises), à laquelle il faudrait ajouter l’impact pour le secteur public. Ce serait un travail très ambitieux, qui est encore à réaliser. Dans le cadre d’un tel travail, plusieurs éléments mériteraient toutefois d’être relevés.

Des études qui ne couvrent pas l’ensemble du champ et doivent être complétées

Une première précaution serait de ne pas introduire de biais sectoriels dans l’analyse pour ne pas prendre la partie pour le tout – en d’autres termes, se garder de l’« effet loupe », un biais cognitif bien connu des économistes : les études sont souvent centrées sur des secteurs traditionnellement peu régulés où l’impact est plus fort (e-commerce, publicité en ligne, marketing), aussi parce que ces secteurs sont ceux qui ont le plus d’intérêt à adopter un discours critique sur le RGPD, alors que ces secteurs ne sont pas représentatifs de l’ensemble de l’économie. On voit moins souvent des études mesurant les coûts du RGPD dans le secteur de la finance ou des transports par exemple, sans parler des secteurs à risque élevé pour la protection des données des personnes comme la santé.

Le RGPD comporte également des règles en matière de sécurité des données. Un autre élément à ajouter à ces études d’impact économiques serait donc de rapprocher le coût de la sécurité informatique, d’une part, et le coût des cyberattaques, d’autre part. Le risque cyber a en effet fortement crû depuis 2020. Selon une étude d’IBM Security, le coût moyen d’une cyberattaque était de 4,3 millions de dollars dans le monde pour une grande organisation en 2022. Le bénéfice pour les entreprises, tiré de règles de sécurité informatiques contraignantes dans le cadre du RGPD, est donc probablement élevé et croissant.

D’une façon générale, les études mettent l’accent sur les coûts et portent rarement sur les bénéfices de la conformité au RGPD pour les entreprises, qui ne sont ni chiffrés ni même détaillés. Une étude réalisée par le cabinet Wavestone pour le compte de la Cnil (Commission nationale de l’informatique et des libertés) en 2021 indique les bénéfices suivants : meilleure réputation de la signature de l’entreprise dans ses négociations avec ses partenaires B2B ; amélioration de l’image de marque via une confiance client plus importante ; économies via un meilleur ciblage du marketing et une réduction de l’empreinte carbone ; effet positif sur le rating face aux risques cyber et de sanction ; renforcement des systèmes d’informations ; effet positif sur la gouvernance métier de l’entreprise ; bénéfice extrafinancier et RSE (responsabilité sociétale des entreprises), etc.

Ainsi, d’un point de vue économique, il faut considérer la conformité au RGPD comme un investissement, et non comme un coût, car la donnée est pour l’entreprise un véritable actif de production, qui doit être préservé.

D’un point de vue plus théorique, la littérature économique suggère également d’intégrer aux études d’impact la prise en compte des externalités négatives en matière de données. L’un des objectifs de la réglementation RGPD est en effet de les réduire (Goldfarb 2023), notamment en améliorant l’information du citoyen-consommateur, au lieu de se concentrer sur les coûts et bénéfices directs. Dans le même ordre d’idées, la protection des données peut être considérée comme un bien public qui rend possible certains échanges sur le marché, y compris en incitant les individus à partager plus leurs données (Frontier Economics 2021). C’est ainsi qu’instaurer et faire vivre la confiance, qui est l’un des objectifs de cette réglementation, est en réalité une condition nécessaire du développement de l’économie numérique et de l’économie de la donnée en général.

L’impact au-delà de la dimension microéconomique

La question des études macroéconomiques

Les développements précédents se sont appuyés principalement sur la microéconomie. En effet, d’une manière générale, il n’est pas évident d’estimer l’impact macroéconomique de la mise en œuvre du RGPD (sur la valeur ajoutée, la croissance, l’emploi, etc.) via un modèle intersectoriel, par exemple. Certaines études s’y étaient essayées entre 2012, date de la présentation du projet de règlement par la Commission européenne, et 2016, date de son adoption. Une étude réalisée pour le compte de l’ICO (Information Commissioner’s Office) britannique (London Economics 2013), sur la base de questionnaires aux entreprises, concluait principalement à une grande incertitude sur l’impact de la mise en œuvre.

De fait, aucune des études d’impact économiques publiées depuis 2018 ne tente une approche macroéconomique. Cette situation pourrait évoluer : ainsi l’OCDE (Organisation de coopération et de développement économiques) estime-t-elle dans une très récente approche que la valeur des données n’est pas captée par la comptabilité nationale traditionnelle et propose d’enrichir les statistiques macroéconomiques en créant un nouveau secteur, celui de la donnée. Elle suggère que la valeur de ce secteur peut représenter jusqu’à 5 % du PIB dans certains pays européens (Allemagne, Royaume-Uni) et 4 % en France (OCDE 2022). La protection de ce secteur deviendrait ainsi un enjeu macroéconomique.

La question de l’égalité concurrentielle à l’international

Dans un domaine voisin, les craintes initialement exprimées d’une concurrence déloyale des entreprises établies dans des pays tiers, du fait d’un niveau de protection plus élevé en Europe, ne se sont pas avérées, notamment grâce aux règles de territorialité ambitieuses du RGPD. Le RGPD est en effet applicable à tout service « ciblant » un citoyen européen, ce qui a pour effet de le rendre contraignant pour toutes les entreprises souhaitant fournir des services sur le marché européen, quand bien même elles n’y sont pas établies.

Dans certains cas, ces entreprises de pays tiers ont même retenu les règles du RGPD pour toutes leurs opérations dans le monde : une bonne illustration de l’« effet Bruxelles » (Bradford 2012). Ainsi, Catherine Tucker rapporte que, à la fin de 2018, 78 % des grandes entreprises américaines avaient réalisé une étude d’impact de protection des données et 32 % avaient nommé un DPO – délégué à la protection des données (Tucker 2019).

Par ailleurs, on a assisté à une exportation de la réglementation européenne dans d’autres pays du monde, soit par le biais des accords d’équivalence dits d’« adéquation » (Suisse, Israël, Royaume-Uni, Japon, Corée du Sud…) soit par imitation réglementaire mutatis mutandis (certains États des États-Unis, Brésil, Chine, Singapour…).

Le RGPD n’est pas pour autant un élément de protectionnisme : selon la littérature, il ne peut pas être considéré comme une barrière non tarifaire (Bodewes 2020) ; toutefois, le fait d’avoir mis en place une conformité RGPD peut être perçu comme un avantage concurrentiel pour les entreprises européennes, car elles l’ont fait avant les autres sur leur propre marché, voire elles peuvent proposer à leurs clients internationaux intéressés des services au niveau des standards européens de protection des données.

Conclusion : les leçons à tirer pour la pratique du régulateur

Quelles leçons tirer de tout cela pour le régulateur, qui reste conscient de l’économie politique de ces études d’impact, compte tenu du cadre d’interprétation et d’action qu’il s’est donné ?

Premier point : ces études valident largement les axes d’intervention de la Cnil auprès de ses publics, personnes physiques ou professionnels. Les moyens importants alloués aux missions d’accompagnement et de conseil à la conformité RGPD, visant notamment à fournir aux entreprises des outils adaptés à leurs besoins, réduisent le coût de la conformité.

Les activités d’information du public sur ses droits et d’aide à l’exercice des droits concourent à la réduction de l’asymétrie d’informations avec les professionnels et à la réduction de l’incertitude, permettant aux personnes de formuler des choix plus informés et rationnels en matière de données. La déclinaison des principes du RGPD au plus près des enjeux sectoriels, via des actes de « droit souple », référentiels ou autres guides de bonnes pratiques, accroît la sécurité juridique pour les entreprises. Enfin, la poursuite d’une politique de sanctions proportionnée et dissuasive paraît devoir être recherchée, y compris afin de réduire le compliance gap, dès lors que les études montrent aussi que l’impact du RGPD semble se renforcer à long terme, notamment après survenue des premières sanctions (Congiu 2022).

Deuxième point : ces études donnent des indications utiles pour la doctrine économique de la Cnil en tant que régulateur, qui doit expliquer et faire partager son action. D’abord, le respect de la vie privée n’apparaît pas seulement comme un reflet des préférences individuelles mais est à considérer également, on l’a vu, comme un bien public (Fairfield 2015), dont la Cnil est le gardien. Ce bien public est essentiel au bon fonctionnement et au développement de l’économie de la donnée. Ensuite, la conformité au RGPD est à considérer comme un investissement pour les entreprises : ne se traduit-elle pas par l’acquisition de nouvelles compétences, de moyens matériels, de stratégies organisationnelles et politiques internes afin, à la fois, de mieux maîtriser ses opérations, de conforter sa marque et sa signature et d’éviter les risques liés au maniement des données, autant de retours sur investissement à prendre en compte dans son cycle de production ?

Enfin, en ce qui concerne le soutien à l’innovation, la Cnil intervient de longue date en soutien d’une innovation responsable, centrée sur l’humain et le développement des capacités des personnes. Le RGPD, qui met les individus au centre des décisions et réduit l’asymétrie entre professionnels et consommateurs, y concourt. Bien entendu, une innovation toxique pour les personnes et la société, qui ne serait pas conforme au RGPD, ne doit pas être encouragée. In fine, le juge de paix doit être l’individu, qui est aussi un acteur économique rationnel.

Troisième point : ces études doivent peut-être inciter le régulateur à réfléchir à quelques pistes de travail pour faire évoluer son action. On peut en citer trois :

• La protection des données et de la vie privée est partie intégrante d’une démarche RSE dans l’entreprise. Le régulateur pourrait aider les entreprises à valoriser leur conformité RGPD, pour laquelle elles ont déjà consenti des investissements, dans leur stratégie en la matière, voire dans leur reportingextrafinancier, un domaine en pleine évolution avec l’entrée en vigueur de la directive CSRD (Corporate Sustainability Reporting Directive) ;
• La Cnil peut réfléchir aux moyens d’accompagner les investisseurs en capital-risque dans leur appréciation du risque et de la conformité RGPD des projets qu’ils financent, en leur fournissant des clés de lecture et des outils adaptés à leurs besoins, afin qu’ils ne se lancent pas dans des projets trop risqués ou non conformes. Ces outils permettraient de réduire les asymétries d’informations et dans l’idéal d’accroître l’offre de financement ; ils pourraient également bénéficier aux innovateurs eux-mêmes qui ont besoin d’une grille de lecture simple du risque et de la conformité RGPD dans les premières étapes de leur développement ;
• Enfin, le régulateur devrait sans doute réfléchir à l’opportunité d’assumer encore davantage une approche plus asymétrique de son action : il convient peut-être d’être encore plus exigeant en pratique avec les plus gros acteurs, pour qui la conformité est plus facile à mettre en place et qui, par ailleurs, représentent des risques plus élevés (du fait de leur taille, de leur capacité à combiner les données où à les réutiliser dans une logique d’intégration verticale). Une telle approche fondée sur les risques est d’ailleurs présente dans le RGPD. Enfin, certains acteurs peuvent avoir un rôle structurant pour leur marché, à articuler avec celui du régulateur. Développer et assumer davantage une régulation plus asymétrique est ainsi certainement un des enjeux forts auxquels font face les autorités de protection des données aujourd’hui (Graef 2021).

On comprend pourquoi la Cnil est favorable au développement de ces études d’impact économiques. Elle encourage les chercheurs à approfondir ces travaux et a entamé avec eux un dialogue en la matière. Le développement et l’exploitation de ces études sont ainsi une des priorités de la nouvelle mission Analyse économique, que la Cnil vient de créer.

Sources :

• Acquisti Alessandro « The Economics of Personal Data and the Economics of Privacy »,
  background paper, OCDE, oecd.org, December 2010.
• Akerlof George A, « The Market for « Lemons » : Quality Uncertainty and the Market Mechanism », The Quarterly Journal of Economics, vol. 84, n° 3, August 1970, p. 488-500.
• Aridor Guy, Che Yeon-Koo, Salz Tobias, « The Effect of Privacy Regulation on the Data Industry : Empirical Evidence from GDPR », MIT, working paper, September 2022.
• Batikas Michail, Bechtold Stefan, Kretschmer Tobias, Peukert Christian., « European Privacy Law and Global Markets for Data », SSRN, working paper, March 2020.
• Blind Knut, Niebel Crispin Miles, Rammer Christian, « The impact of the EU General Data Protection Regulation on innovation in firms », ZEW – Leibniz Centre for European Economic Research, discussion papers 22-047, 2022.
• Bodewes Anke, « The effect of the GDPR on EU imports of data-intensive goods »,working paper, Erasmus Rotterdam University, July 2020.
• Bradford Anu, « The Brussels Effect », Northwestern University Law Review, vol. 107, n° 1, 2012.
• Brush A. J. Bernheim, Krumm John, Scott James, « Exploring End User Preferences for Location Obfuscation, Location-Based Services, and the Value of Location », UbiComp’10 – Proceedings of the 2010 ACM Conference on Ubiquitous Computing, October 2010.
• Cecere Grazia, Manant Matthieu, « Vie privée, valeur des données personnelles et régulation », Enjeux numériques, Annales des Mines, n° 2, juin 2018.
• Chen Chinchih, Frey Carl Benedikt, Presidente Giorgio, « Privacy Regulation and Firm Performance : Estimating the GDPR Effect Globally », Oxford Martin School, working paper, n° 2022-1, January 2022.
• Collis Avinash, Moehring Alex, Sen Ananya, Acquisti Alessandro, « Information Frictions and Heterogeneity in Valuations of Personal Data », SSRN, working paper, September 2023.
• Congiu Raffaele, Sabatino Lorien and Sapi Geza, « The Impact of Privacy Regulation on Web Traffic: Evidence From the GDPR », SSRN, working paper, February 2022.
• Fairfield Joshua A. T., Engel Christoph, « Privacy as a public good », Duke Law Journal, vol. 65, n° 3, December 2015, p. 385-457.
• Frontier Economics, « Economic impact of trust in data ecosystems », report prepared for the Open Data Institute, February 2021.
• Goldfarb Avi, Que Verina F., « The Economics of Digital Privacy », NBER, working paper, n° 30943, February 2023.
• Graef Inge, Van Berlo Sean, « Towards smarter regulation in the areas of competition, data protection and consumer law : Why greater power should come with greater responsibility », European Journal of Risk Regulation, 12 (3), September 2021, p. 674-698.
• Jia Jian, Jin Ginger Zhe, Wagman Liad, « GDPR and the Localness of Venture Investment », SSRN, working paper, January 2020.
• Johnson Garrett A., « Economic Research on Privacy Regulation : Lessons from the GDPR and Beyond », National Bureau of Economic Research, working paper 30705, December 2022.
• London Economics, « Implications of the EC’s proposal for a GDPR for business – Final report to the ICO », May 2013.
• Mager Stefan, Kranz Johann, « Consent Notices and the Willingness-to-Sell Observational Data : Evidence from User Reactions in the Field », ECIS, research paper, 2021.
• Martin Nicholas, Matt Christian, Niebel Crispin, Blind Knut, « How Data Protection Regulation Affects Startup Innovation », Information Systems Frontiers, Springer, vol. 21 (6), December 2019, p.1307-1324.
• OCDE, document de travail n° 1731, « Measuring data as an asset : framework, methods and preliminary estimates », Corrado Carol, Haskel Jonathan, Iommi Massimiliano, Jona-Lasinio Cecilia, November 2022.
• Rochelandet Fabrice, Économie des données personnelles et de la vie privée, La Découverte, coll. Repères, 2010.
• Tucker Catherine, Marthews Alex, « Privacy policy and competition », Economic Studies at Brookings, December 2019.