Le RGPD a rendu le stockage de données 20% plus cher en Europe qu’aux Etats-Unis. Le jeu en valait-il la chandelle ?

Atlantico : Nous payons 20% plus cher notre stockage de données que les États-Unis ? Comment expliquer ce différentiel de coûts et quelles sont les conséquences pour les entreprises européennes ?

Julien Pillot : Une étude très récente des économistes Mert Demirer, Diego Jiménez Hernandez et Doyen Li Sida Peng conclut effectivement que l’implémentation du RGPD aurait occasionné une augmentation moyenne de 20% des coûts de stockage des données, et de 4% pour ce qui concerne le traitement des données et la production d’information. Avec, bien naturellement, des variations en fonction des secteurs d’activité, les activités les plus intensives en data (services numériques, édition de logiciels…) étant particulièrement touchées.

Les auteurs de l’étude ont également pu observer un changement de comportement de la part des entreprises européennes. Pour éviter ces coûts additionnels, elles ont eu tendance à réduire, si on les compare à leurs homologues américaines, le stockage et le traitement de données respectivement de 26% et de 15%.

Il est naturel qu’une nouvelle règlementation aussi contraignante que le RGPD occasionne des coûts de mise en conformité. Et si les investissements en infrastructures sont déjà en phase d’amortissement depuis la promulgation du règlement en 2016, il ne faut pas occulter les coûts opérationnels liés à la stratégie data des entreprises, à l'énergie et aux RH nécessaires pour la faire vivre et l’encadrer, qui restent élevés.

Quant aux conséquences pour les entreprises européennes il y a, à mon sens, deux façons de voir la chose. D’un côté, nous pourrions considérer que faute de pouvoir contraindre nos partenaires internationaux à adopter le RGPD, la Commission européenne soumet les entreprises qui opèrent au sein de l’UE à des surcoûts relatifs qui affectent leur compétitivité. De l’autre, nous pourrions aussi considérer que la Commission européenne a urgé les entreprises à effectuer des investissements forcés susceptibles, in fine, d’améliorer la qualité des données en leur possession. Or, nous savons que ces données hautement qualifiées sont valorisées et indispensables aux services et produits faisant appel à l’IA. Ainsi, ce qui ressemble à un handicap initial pourrait se muer en avantage concurrentiel à terme.

Payer aussi cher ce service aux Américains a-t-il vraiment un intérêt ? Est-ce que nos données sont protégées en plus d’être stockées ?  

Fabrice Epelboin : Alors si les données sont protégées par rapport au continent américain, cela aurait-il vraiment un intérêt, parce que cela nous donne une souveraineté sur nos données et sur notre avenir ? Le problème est que là où elles sont hébergées, dans la structure cloud américaine, se pose l'extraterritorialité de la loi américaine, le Cloud Act, donc ça n'a aucun intérêt. Cela ne nous assure absolument pas notre souveraineté.

Votre site est équipé par exemple de Google Analytics, ce qui permet à Google de récupérer toutes les informations possibles et imaginables sur tous les visiteurs de votre site. Les médias contribuent à cette économie de la surveillance. En observant quels sont les articles que je vais lire et combien de temps je m'y attarde, cela se produit à travers Google Analytics. Ainsi, Google va pouvoir comprendre qui je suis et quels sont les sujets qui m'intéressent. Google Analytics équipe la majorité des sites de presse de la planète et la plupart d'entre eux utilisent des serveurs de publicité américains, qui, eux aussi, espionnent les utilisateurs. C'est un exemple de la façon dont la presse, en confiant des données de ses utilisateurs à des entreprises qui ne sont pas européennes, contribue très lourdement à cette perte de souveraineté.

Qu’est-ce que l’on a gagné à héberger nos données aux États-Unis alors que l'on paye plus cher et que cela ne garantit pas notre sécurité ?

Fabrice Epelboin : Pas grand chose ! C'est cela qui est triste. Cette volonté initiale de souveraineté, qui s'est traduite par l'hébergement des données sur le continent européen, est contrecarrée par le fait d'avoir confié nos infrastructures à des cloud américains. Et à partir de là, une intention initiale qui était sans doute bonne, a été mise en échec par un lobbying intensif de la part des cloud américains, Amazon, Microsoft en tête. Mais il y a de très nombreuses entreprises américaines qui accaparent les données des Européens de façon très insidieuse, pas nécessairement en ayant besoin de les héberger aux États-Unis, il suffit de les héberger dans des infrastructures qui sont américaines. Une infrastructure américaine peut parfaitement tourner dans un data center qui, lui, est sur le continent européen. C'est ce qui se passe avec les offres cloud qu'on appelle pompeusement souveraines, qui sont en fait du Microsoft, vendues par Orange ou de l'Amazon, vendues par Thalès. Cela reste américain. C'est juste un intermédiaire.

Le jeu en vaut-il la chandelle ?

Julien Pillot : C’est là tout le nœud du problème !

Pour revenir à l’étude américaine dont nous nous faisions l’écho dans la question précédente, Mert Demirer et ses coauteurs évitent de tirer une conclusion définitive quant aux vertus du RGPD. Certes le RGPD engendre des surcoûts pour les entreprises, mais la question est de savoir si ces surcoûts sont justifiés par la protection de la vie privée qui est supposée en découler. J’insiste sur le verbe « supposer » car d’une part, il faut que les autorités européennes aient la capacité de faire respecter le règlement, et d’autre part que les entreprises agissent en sincérité et se couvrent contre l’ensemble des risques de cyber-malveillance, qu’ils viennent de l’extérieur ou de l’intérieur.

En admettant que toutes ces conditions soient réunies – ce qui est loin d’être acquis – alors la réponse à votre question réside, en première lecture, dans un simple calcul économique : les utilisateurs européens accordent-ils à leur données sensibles une valeur au moins égale aux 20% de surcoûts observés ? Une réponse positive donnerait une validité économique au RGPD, au moins du point du vue des utilisateurs. Bien que nous ne disposions pas d’une étude scientifique permettant de répondre de façon catégorique à cette interrogation, nous pouvons légitimement douter de la valeur que les citoyens européens accordent à leur vie privée, leur faible disposition à payer pour des solutions de cyber-sécurité ou pour se prémunir du tracking publicitaire sur les réseaux sociaux étant là pour nous le rappeler.

Il convient alors de rappeler qu’il est aussi du rôle des institutions que de prendre des décisions et de légiférer avec la recherche de l’intérêt général pour objectif. Et la poursuite de cet objectif peut parfois se solder par des décisions visant à protéger les citoyens contre eux-mêmes. Ainsi, si les utilisateurs européens, que ce soit par absence d’information, ou par mauvaise perception des risques encourus, n’accordent pas leur juste valeur à leurs données personnelles, ce n’est pas le cas du législateur. Mais attention, il serait inopportun de considérer que ce dernier agit par pur altruisme. Il suit aussi un agenda politique et économique précis, cherchant des gains d’influence et économiques, et à se prémunir contre des coûts collectifs potentiellement très importants liés à l’accès à des données sensibles (données personnelles, mais aussi industrielles et stratégiques), à la fraude et au trafic d'influence massifs, et à l’usurpation à grande échelle d’identité.

Est-ce que l'Union européenne ne se tire pas une balle dans le pied avec ses règles RGPD qui de toute façon ne sont pas respectées par les acteurs américains, mais entravent les acteurs européens ?

Fabrice Epelboin : Pas forcément ! Très concrètement, n'importe quelle entreprise, quelle que soit sa nationalité, si elle opère sur le sol européen, doit se comprendre en dehors du RGPD. Donc le handicap est le même. Si vous voulez faire du commerce en France, peu importe votre origine française, américaine ou chinoise, vous avez les mêmes règles.

Julien Pillot : Nous avons déjà répondu en partie à cette question. Si le RGPD permet aux entreprises européennes de réduire les risques qui pèsent sur elles en les amenant à se concentrer sur les données de bonne qualité, et que cette sélection drastique leur donne à terme un avantage concurrentiel sur les services IA à haute valeur ajoutée, alors on pourra dire qu’il aura contribué à donner à l’UE les moyens de peser dans l’économie numérique de ce siècle. Dans le cas contraire, il aura au moins apporté une protection supplémentaire aux citoyens européens et forcé les entreprises à investir davantage dans leurs stratégies data, tout en créant quelques emplois au passage. Ce qui n’est déjà pas si mal.

Mais j’aimerais rebondir sur la question du respect des règles. Comme nous l’avons vu, il est de la responsabilité des entreprises de se mettre en conformité. Mais il est également de la responsabilité des autorités européennes de faire respecter les règles. Cela implique à la fois des capacités effectives de contrôle du comportement des entreprises et de détection des éventuels manquements, et des sanctions réellement dissuasives. Depuis 2017, les autorités compétentes ont prononcé l’équivalent de 4,5 milliards d’euros de sanctions envers les entreprises qui ont enfreint le RGPD, avec notamment des amendes très importantes : 350 millions d’euros à l’encontre de TikTok en 2023, 750 millions d’euros pour Amazon Europe en 2021, ou deux sanctions de 60 et 90 millions pour Google en 2021. Quant à Meta, le groupe cumule plus de 2 milliards de sanctions financières depuis l’entrée en vigueur du RGPD. 

Reste à savoir si ces amendes peuvent se montrer réellement dissuasives pour discipliner des entreprises qui pèsent des centaines, voire des milliers, de milliards et qui semblent parfois se positionner en surplomb des Etats. D’aucuns pourraient légitimement penser que ces sanctions ne sont jamais pour ces entreprises qu’un ilôt de pertes acceptables dans un océan de profits. Mais j’observe cependant que ces mêmes entreprises multiplient les engagements de façon à se mettre en conformité avec l’arsenal réglementaire européen qui, du RPGD au DSA et au DMA, sans oublier l’IA act en approche, constitue un système plutôt cohérent. Je crois qu’il n’est pas inopportun de conclure avec une touche d’optimisme car, aussi puissantes et incontournables que ces entreprises puissent être, elles ne peuvent se permettre de prendre le risque de se couper du marché européen.

Comment peut-on faire, pour payer moins cher l'hébergement de nos données, mais aussi pour les protéger ? Est-ce qu'il y a des solutions qui existent ?

Fabrice Epelboin : On ne peut pas avoir le beurre et l'argent du beurre. On pourrait au moins les protéger. Il suffirait d'avoir un cloud souverain. Mais pour cela, l'étape a été ratée. C'est ce qui s'est passé ces dernières années avec tous ces scandales à répétition autour du cloud souverain. Si on avait construit des entreprises européennes capables d'offrir les mêmes services qu'Amazon et Microsoft, et pour beaucoup, on les a, c'est un problème de lobbying avant tout plus qu'un problème technique, nous aurions une véritable souveraineté. Mais c'est derrière nous, c'est fini.