logo
All Posts

Le RGPD 10 ans après : d’un frein économique à un choix de civilisation (Conférence CNIL les impacts économiques du RGPD - 20 MAI 2025)

Dix ans après sa mise en œuvre, le RGPD révèle des implications bien plus profondes que ce que les analyses économiques traditionnelles avaient anticipé. Notre article analyse l'évolution des perspectives, de la vision de Posner à une approche qui reconnaît la dimension civilisationnelle de la protection des données personnelles.
profile photo
Samantha Buigné

Le RGPD 10 ans après : D'un frein économique à un choix de civilisation

Dix ans après sa mise en œuvre, le RGPD révèle des implications bien plus profondes et nuancées que ce que les analyses économiques traditionnelles avaient anticipé. Notre perception de cette réglementation a évolué d'une simple contrainte économique à un véritable choix de civilisation.
Image without caption

Introduction : Au-delà de l'opposition classique entre protection et innovation

En participant à la conférence organisée par la CNIL sur l'impact économique du RGPD ce 20 mai 2025, j'ai été frappé par la manière dont le débat a évolué depuis l'entrée en vigueur de cette réglementation. Ce qui était initialement perçu comme une simple contrainte réglementaire apparaît aujourd'hui sous un jour nouveau : celui d'un choix de civilisation fondamental qui redéfinit notre rapport aux données personnelles.
Cette conférence, fruit d'une collaboration entre la CNIL et la Direction générale du Trésor, a mis en lumière un changement de paradigme essentiel : nous sommes en train de passer d'une vision purement économique de la protection des données à une approche qui reconnaît sa dimension civilisationnelle.
Image without caption

L'héritage de Posner : la privacy comme "dissimulation d'information"

Pour comprendre l'évolution actuelle, il faut revenir aux fondements théoriques qui ont longtemps dominé l'approche économique de la vie privée. Dans les années 1970, l'économiste Richard A. Posner définissait la privacy essentiellement comme une "dissimulation d'information" qui, selon lui, entravait l'efficacité des marchés.
Image without caption
Image without caption
Comme l'a rappelé Alessandro Acquisti, Carnegie Mellon University, l'un des intervenants en citant les travaux pionniers de Posner, cette vision a profondément marqué notre façon d'appréhender la protection des données :
"Posner a apporté une précision, une rigueur, mais également une concentration sur notre champ de vision en présentant la vie privée comme une présentation de données."
Cette approche strictement économique voyait dans toute limitation de la circulation des données un obstacle à l'efficience. Elle a façonné pendant des décennies notre perception du RGPD et des réglementations similaires comme :
  • Un coût économique à supporter
  • Un frein potentiel à l'innovation
  • Un désavantage compétitif pour les entreprises européennes
Image without caption

Le clivage fondamental entre économistes et spécialistes de la privacy

La conférence a mis en évidence un clivage profond et persistant entre la vision des économistes et celle des spécialistes de la protection de la vie privée, illustré par un tableau comparatif éloquent présenté lors des discussions :
Image without caption
Vision des économistes
Vision des spécialistes de la privacy
Privacy = dissimulation d'information
Privacy = régulation des frontières, intégrité contextuelle
Privacy = information personnelle
Privacy = autonomie décisionnelle, liberté, dignité
Préférences révélées : "Les gens ne s'en soucient pas tant que ça"
Préférences révélées : "Les gens s'en soucient et agissent constamment pour gérer leur privacy"
Scepticisme envers la régulation gouvernementale (rationalité, forces du marché)
Sympathie envers la régulation (barrières économiques/comportementales)
Ce tableau synthétise parfaitement les deux univers conceptuels qui s'affrontent dans ce débat. D'un côté, une approche économique qui voit la privacy comme un obstacle à l'information parfaite ; de l'autre, une vision plus holiste qui y voit un élément fondamental de la dignité et de l'autonomie humaines.

Les résultats empiriques : le RGPD favorise-t-il réellement les grandes entreprises ?

L'un des constats les plus frappants présentés lors de la conférence est que le RGPD, contrairement à ses intentions initiales, tend à favoriser les grandes entreprises au détriment des PME.
Comme l'a souligné un intervenant :
"La réglementation contraignant le stockage et l'utilisation de données, et donc pour assurer une conformité, le retour également augmente sur les données. La rétention de données. C'est pour ça que le passage de données est difficile. Cela favorise la collecte interne et là c'est un montage de la spéculation."
Cette dynamique s'explique par plusieurs facteurs :
  • Les coûts fixes de mise en conformité pèsent proportionnellement plus lourd sur les petites structures
  • Les grandes entreprises disposent déjà d'importantes bases de données internes
  • Les obstacles au partage de données renforcent les positions dominantes
Ce constat est d'ailleurs confirmé par les analyses de la CNIL elle-même qui, dans son bilan cinq ans après l'entrée en application du RGPD, reconnaît que "le RGPD est proportionnellement plus favorable aux gros acteurs économiques, qui ont plus de moyens à consacrer à la conformité" [^1].
Pour remédier à ces effets non désirés, plusieurs recommandations ont émergé :
  1. Des exemptions adaptées pour les PME ("Il me faut une exemption des PME, et simplifier la protection")
  1. Une meilleure portabilité des données ("Ce qu'ils recommandent, c'est la portabilité des données")
  1. L'harmonisation des interprétations nationales ("Au rapport Draghi, on ne devrait pas avoir des régulations différentes entre pays, on devrait avoir une régulation qui s'applique à toute l'Europe")

Les problématiques spécifiques à la France : autorisation préalable vs approche ex post

La conférence a également mis en lumière certaines spécificités françaises qui vont au-delà du RGPD lui-même. Un intervenant a souligné :
"Au-delà de l'RGPD, la problématique, c'est que les Français, comme vous le savez, nous avons la procédure d'autorisation préalable. Donc, l'RGPD se base sur une approche ex post. L'impression que nous avons eue, c'était qu'en France, nous étions beaucoup plus liés vers ces régulations."
Cette différence d'approche crée des disparités importantes, notamment dans le domaine de la recherche, où les scientifiques français peuvent faire face à des délais supplémentaires :
"Je me souviens, avec Paul-Emmanuel Bacri, les autres personnes qui font des recherches qui ont souffert de ces retards."
Image without caption
Des efforts sont en cours pour aligner davantage la France sur la vision européenne, avec un représentant de la CNIL qui a confirmé : "Nous sommes d'accord avec le fait de travailler, si possible, sur le fait que la déclaration, c'est la règle, et le RGPD, c'est l'exception."

L'IA et l'emploi : un potentiel créateur mais inégalement réparti

Un autre aspect important abordé lors de la conférence concerne l'impact de l'IA sur l'emploi, dans un contexte où la protection des données personnelles pourrait influencer son développement.
Image without caption
Une étude comparative présentée lors de l'événement a révélé des résultats nuancés :
"On a effectué une comparaison au sein de 9000 entreprises qui avaient adopté et d'autres qui n'avaient pas adopté l'IA. Et il y avait la différence parce qu'il y avait une différence de vente. Quand vous adoptez l'IA, vous devenez plus performant, plus compétitif. Et donc le marché pour vos biens et vos services augmente, il y a plus de demandes pour vos produits et donc vous embauchez plus de personnel."
Image without caption
Cette observation conduit à une conclusion importante : l'IA aurait globalement un potentiel créateur d'emplois, mais ces effets ne sont pas uniformes :
"Le problème, c'est qu'il ne fait pas ça de manière uniforme."
Image without caption
Une cartographie des emplois présentée lors de la conférence a montré que :
  • Les emplois du "Nord-Ouest" (très exposés mais peu substituables) connaîtraient un effet négatif
  • Les emplois du "Nord-Est" (peu exposés, peu substituables) verraient un effet positif
Image without caption
  • De façon surprenante, certains emplois très exposés avec des tâches facilement substituables connaîtraient néanmoins un effet positif, notamment lorsque l'IA est utilisée pour la production
Image without caption
Ces observations nuancent considérablement le débat sur l'impact économique du RGPD et de la protection des données sur le développement de l'IA.
Image without caption

La confiance : le grand absent des analyses économiques traditionnelles

Un aspect fondamental mais souvent négligé dans les analyses économiques traditionnelles a été mis en lumière par le professeur Patrick Waelbroeck de Télécom Paris : la confiance.
"Si vous regardez ce mot confiance, si vous le recherchez dans la plupart des écrits économiques, vous ne le trouverez pas. Vous pourriez vous demander pourquoi ce n'est pas inscrit dans les manuels, est-ce que ça veut dire que ce n'est pas important, ou est-ce que c'est une erreur ? La confiance fait bien sûr partie des bases de la société et de toutes les transactions économiques. Je ne vais pas faire une transaction avec quelqu'un en qui je n'ai pas confiance, c'est évident."
Cette dimension de confiance est précisément ce que le RGPD contribue à renforcer, créant ainsi un environnement économique plus sain à long terme. La protection des données joue un rôle crucial dans l'établissement de cette confiance, notamment en :
  • Brisant les asymétries d'information
  • Rendant les risques plus transparents
  • Limitant les comportements opportunistes des acteurs économiques
Comme le souligne la CNIL dans son bilan à 5 ans, "les entreprises y gagneraient en termes de réputation aux yeux de leurs clients et partenaires" [^2] en se mettant en conformité avec le RGPD.
Image without caption

Les limites des études à court terme et l'importance de la perspective long terme

Un des constats importants partagés lors de la conférence concerne les limites des études économiques actuelles qui se concentrent principalement sur les effets à court terme du RGPD :
"Il y a eu beaucoup de recherches empiriques qui ont été faites, focalisées sur les effets directs, court terme. Malgré tout, je pense que beaucoup de cette littérature se focalise sur des effets courts et directs, notamment l'impact du RGPD qu'aurait pu avoir le RGPD sur certains systèmes."
Plusieurs intervenants ont souligné la nécessité d'adopter une perspective plus longue pour évaluer véritablement l'impact du RGPD :
"Faire une enquête sur les effets long terme. Observer les différents chocs créés et comment ils sont absorbés par les parties prenantes sur le marché. Et ce qu'on a vu comme des chocs directs au début, on voit qu'ensuite, tout ça s'est dilué, que ça disparaît dans le long terme, etc. Donc, les sociétés, les entreprises se réajustent."
Image without caption
Des recherches récentes commencent d'ailleurs à confirmer cette hypothèse :
"Il y a des recherches rigoureuses qui montrent cela, notamment l'article sur le RGPD de Jensen, Johnson, vous pouvez également trouver d'autres éléments de littérature auxquels j'ai participé avec le frère, montrant qu'il n'y a pas d'effet significatif du RGPD sur les sites internet, médias, les sites au sein de l'Union européenne."
La CNIL elle-même reconnaît dans son analyse de 2024 que "la plupart de ces études se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes" [^3], suggérant qu'une vision plus équilibrée et à plus long terme est nécessaire.

Les recommandations pour une évolution du cadre réglementaire

La conférence a débouché sur plusieurs recommandations concrètes pour améliorer le cadre réglementaire actuel :
  1. Intégrer un objectif d'innovation au mandat de la CNIL
      2. "Ce que nous avons également indiqué, c'est que la CNIL devrait intégrer un objectif d'innovation au mandat."
  1. Améliorer la gouvernance de l'Open Data
      2. "Et améliorer la gouvernance de l'Open data."
  1. Harmoniser les régulations européennes
      2. "Une des problématiques que nous avons pour l'exportation de biens et services en Europe, et ce qui est déligné par Draghi, c'est que chaque pays a leur version d'une régulation européenne."
  1. Adapter nos institutions face à la compétition internationale
      2. "Ce que nous avons besoin de faire, c'est adapter nos institutions, surtout par rapport à la compétition. Nous avons besoin de régulation intelligente. Nous avons besoin d'un bon arbitrage."
Ces recommandations rejoignent d'ailleurs celles de la Direction générale du Trésor qui, en collaboration avec la CNIL, s'interroge sur la façon dont le RGPD a "redessiné le cadre institutionnel de l'économie numérique en Europe" et sur les moyens d'améliorer son application et son efficacité [^4].

Le RGPD comme choix de civilisation : au-delà de l'économie

Image without caption
Au-delà des considérations purement économiques, cette conférence a mis en évidence une dimension fondamentale souvent négligée : le RGPD représente avant tout un choix de civilisation.
Comme l'a souligné l'un des intervenants, au-delà de l'approche de Posner, "il y a une autre approche possible qui peut-être aujourd'hui est aussi importante que jamais et on ne doit pas oublier la vue plus globale de Jacques Eschleva, proposée il y a plusieurs années."
Cette approche plus globale nous invite à considérer que la protection des données n'est pas qu'une question d'efficience économique, mais aussi :
  • Une expression des valeurs fondamentales européennes
  • Un choix sociétal sur notre rapport au numérique
  • Une vision distincte de la dignité humaine à l'ère numérique
Cette perspective est d'ailleurs soutenue par la CNIL elle-même, qui considère dans son bilan que la vie privée est un "bien public" nécessitant "un haut niveau de protection" qui "bénéficierait à l'ensemble des acteurs des marchés numériques, créant un cadre de confiance nécessaire à leur développement".
Image without caption

Conclusion : Et si nous avions eu cette vision dès le début ?

La réflexion la plus stimulante qui émerge de cette conférence est peut-être celle-ci : que se serait-il passé si nous avions adopté dès le départ une vision unifiée, plutôt que de laisser les intérêts économiques des grandes entreprises dicter l'agenda ?
Si nous avions eu dès le début une vision unifiée et un règlement harmonisé, non pas dicté par les intérêts économiques des géants du numérique, la privacy by design serait aujourd'hui naturellement intégrée dans nos systèmes et processus.
Nous ne serions pas aujourd'hui dans une logique de réparation et d'adaptation, mais d'innovation intuitive dans un cadre clair et équitable. Ce qui était perçu comme une contrainte aurait constitué le terreau fertile d'une innovation responsable.
Les PME européennes ne seraient pas désavantagées face aux géants américains et chinois. L'Europe aurait peut-être déjà développé son avantage compétitif en matière d'IA éthique et responsable.
Heureusement, les choses sont en cours de changement. Le potentiel de croissance est énorme si nous parvenons à mieux aligner nos institutions, à développer une régulation véritablement intelligente, et à trouver le juste équilibre entre protection et innovation.
Le RGPD n'est pas qu'une réglementation technique - c'est l'expression d'un choix de société qui déterminera la nature même de notre économie numérique pour les décennies à venir.
Cet article fait suite à la conférence CNIL du 20 mai 2025 sur l'impact économique du RGPD.

Références

[^1]: Open Lefebvre Dalloz (2024). RGPD : l'impact économique pour les entreprises 5 ans après. https://open.lefebvre-dalloz.fr/actualites/droit-affaires/rgpd-impact-economique-entreprises-5-ans_fb90b468e-c56e-42db-a399-98d34f05789d
[^2]: Siècle Digital (2024). La CNIL s'intéresse à l'impact économique du RGPD. https://siecledigital.fr/2024/03/04/la-cnil-sinteresse-a-limpact-du-rgpd-sur-la-societe/
[^3]: CNIL (2024). L'impact économique du RGPD, 5 ans après. https://www.cnil.fr/fr/limpact-economique-du-rgpd-5-ans-apres
[^4]: Direction générale du Trésor (2025). Conférence : « RGPD : quel impact économique ? ». https://www.tresor.economie.gouv.fr/Evenements/2025/05/20/conference-rgpd-quel-impact-economique
[^5]: CNIL (2024). La CNIL s'intéresse à l'impact économique du RGPD. https://www.cnil.fr/fr/economie/limpact-economique-du-rgpd
Related posts
post image
RGPD
Google Ads
Google Analytics
CommandersAct
Comment mettre en place le consent mode v2 avec TrustCommander - CommandersAct
Découvrez dans cette article de blog comment mettre en place le consent mode v2 de Google avec la solution TrustCommander - CommandersAct
post image
RGPD
Google Ads
Google Analytics
SirData
Comment mettre en place le consent mode v2 avec SirData
Découvrez dans cette article de blog comment mettre en place le consent mode v2 de Google avec la solution SirData
post image
RGPD
Google Ads
Google Analytics
OneTrust
Comment mettre en place le consent mode v2 avec OneTrust
Découvrez dans cette article de blog comment mettre en place le consent mode v2 de Google avec la solution OneTrust
Powered by Notaku