J’ai toujours l’impression que quelqu’un me surveille…
L’invité
Le futur règlement européen sur la protection des données comporte des risques pour les investisseurs sous l’angle de la responsabilité sociale

«I always feel like somebody’s watching me.
And I have no privacy.»
— Rockwell
Les paroles de la chanson «Somebody’s Watching Me» de Rockwell, sortie en 1984, évoquent la paranoïa d’un homme inquiet que ses voisins, son facteur et le fisc le surveillent. Depuis l’avènement d’Internet, les inquiétudes concernant la vie privée, la confidentialité des données et la cybersécurité se sont largement intensifiées au vu des énormes quantités de données collectées et du développement de programmes informatiques, des logiciels espions aux téléviseurs connectés, qui surveillent effectivement les utilisateurs.
La confidentialité des données relève du pilier social des questions environnementales, sociales et de gouvernance d’entreprise (ESG) et peut, à nos yeux, générer une valeur tangible. Mai 2018 verra l’entrée en vigueur du règlement général de protection des données de l’Union européenne, ou GDPR (General Data Protection Regulation). Son objectif: conférer aux citoyens européens le contrôle de leurs données personnelles.
Les grandes entreprises étant de nature internationale, le règlement GDPR aura de profondes répercussions: tout défaut de conformité pourrait se traduire par des pénalités importantes pouvant atteindre 4% du chiffre d’affaires mondial annuel de la société ou 20 millions de dollars, selon lequel de ces deux montants est le plus élevé. Outre les principes de responsabilité, d’obligation de rendre des comptes (rendant contestables des décisions automatisées comme l’établissement de profil), de consentement explicite et de portabilité des données, le nouveau règlement prévoit le droit à l’effacement.
Ainsi, des investisseurs qui achèteraient des actions d’entreprises, lesquelles ne seraient pas à jour au niveau de leurs obligations de protection de la confidentialité des données et de cybersécurité, s’exposeraient à des risques réels: poursuite en justice, préjudice de réputation, préjudice économique, vol de propriété intellectuelle, coût des réparations des infrastructures, etc.
La perspective d’une lourde sanction financière encourage les investisseurs potentiels à vérifier la stricte conformité aux réglementations en vigueur de l’entreprise visée. D’énormes volumes d’informations peuvent désormais être soumis aux droits de propriété des données de chaque individu concerné en vertu du règlement GDPR. Ces données appartenaient déjà aux entreprises qui les ont collectées, analysées et vendues à prix fort. Cette situation risque de perturber fortement les secteurs historiquement fondés sur un modèle de libre circulation des données.
Pour d’autres secteurs, l’entrée en vigueur du règlement constitue de formidables opportunités d’investissement. Le nombre des incidents de sécurité dont les entreprises sont victimes progresse au rythme de plus de 60% par an depuis 2008. Le formidable essor de l’Internet des objets, qui se chiffre à plusieurs milliards d’objets connectés, promet d’ouvrir de nouveaux secteurs au risque de cyberattaques, des équipements ménagers et appareils médicaux aux véhicules autonomes.
Tendances haussières durables
Sous l’effet de l’intensification des cyberattaques, les achats de logiciels de sécurité sont en hausse constante sur le continent américain, dans la zone EMEA et en Asie-Pacifique (Japon compris), les Etats-Unis arrivant premiers. Il ne serait toutefois pas surprenant que d’autres régions suivent: le règlement GDPR devrait, par exemple, encourager les dépenses de cybersécurité en Europe. Ces prévisions vont dans le sens de notre avis plus général selon lequel l’économie ne connaît pas seulement une augmentation cyclique des investissements, mais que ces tendances haussières sont aussi durables.
Les opportunités ne se limitent pas aux seuls investisseurs. Le cours des actions semble aussi réagir à la façon dont les entreprises gèrent les questions de confidentialité, entre autres considérations ESG. Sur la période de douze mois close au 30 juin 2017, les scores au pilier social aux Etats-Unis, en Europe et au Japon ont pu être alignés sur la performance boursière des entreprises du secteur informatique, et les sociétés affichant les meilleurs scores sont aussi les plus performantes. Bien comprendre la cybersécurité et se comporter en gardiens responsables des données des clients contribue à réduire l’exposition au risque des entreprises. Le coût du capital pourrait également en bénéficier et les coûts opérationnels pourraient être réduits.
Paranoïa en 1984, réalité en 2017
Ce qui relevait de la paranoïa en 1984 est devenu réalité en 2017. Il y a bien quelqu’un qui vous surveille et qui collecte les données vous concernant dans des proportions inimaginables jusque-là. Cependant, grâce à des réglementations comme le GDPR en Europe, vous restez propriétaire de vos données. Ce changement réglementaire est un aspect de l’évolution rapide du cyberenvironnement, avec des répercussions sur d’autres secteurs dans le monde entier.
Les entreprises contrevenantes s’exposent à des risques et des coûts très importants, sanctions financières, préjudice de réputation ou ralentissement de la productivité suite aux cyberattaques, avec à la clé une forte érosion de leur rentabilité. Il est donc fondamental d’envisager les aspects de confidentialité des données et de sécurité, relevant du pilier social des considérations ESG, avant d’investir.