Le règlement général sur la protection des données (RGPD) a bouleversé la manière dont les organisations du monde entier traitent les données personnelles depuis son entrée en vigueur en mai 2018. Près de huit ans plus tard, les autorités de contrôle européennes ont infligé 7,1 milliards d'euros d'amendes cumulées, et les notifications de violations ont bondi à une moyenne de 443 par jour en 2025, soit une augmentation de 22 % par rapport à l'année précédente. Ces chiffres révèlent une vérité cruciale pour les équipes de sécurité :la conformité RGPD n'est pas un simple exercice de documentation. Elle exige une détection continue des menaces, une réponse rapide aux incidents et la capacité opérationnelle d'identifier les violations avant l'expiration du délai de notification de 72 heures. Ce guide établit une correspondance entre les exigences de sécurité RGPD et les capacités de détection, avec les dernières données en matière d'application et les évolutions réglementaires dont les professionnels de la sécurité auront besoin en 2026.
RGPD désigne le respect par une organisation du règlement général sur la protection des données de l'Union européenne, qui régit la manière dont les données personnelles des résidents de l'UE et de l'EEE sont collectées, traitées, stockées et protégées. Elle exige la mise en œuvre de mesures de sécurité techniques et organisationnelles, l'établissement de bases de traitement légales, le respect des droits des personnes concernées et le maintien de la capacité à détecter et à signaler les violations de données dans les délais impartis.
Ce règlement a remplacé la précédente directive 95/46/CE relative à la protection des données et a introduit des mécanismes d'application nettement plus stricts. Depuis son entrée en vigueur le 25 mai 2018, RGPD généré 7,1 milliards d'euros d'amendes cumulées dans les États membres de l'UE et de l'EEE, s'imposant ainsi comme le cadre de protection des données le plus important au monde.
L'article 5 établit sept principes fondamentaux qui régissent tout traitement de données à caractère personnel :
Le sixième principe, celui de l'intégrité et de la confidentialité, est le point de convergence direct entre la cybersécurité et les exigences RGPD . Il impose une « sécurité appropriée » pour les données à caractère personnel, que RGPD détaille RGPD dans ses articles 25 et 32.
RGPD les données à caractère personnel, définies de manière large comme toute information permettant d'identifier directement ou indirectement une personne vivante. Cela inclut les noms, adresses e-mail, adresses IP, données de localisation, données biométriques, données génétiques et dossiers médicaux.
L'article 9 désigne des catégories particulières de données sensibles, notamment l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les données relatives à la santé et les données biométriques utilisées à des fins d'identification, qui nécessitent des mesures de protection renforcées et un consentement explicite pour leur traitement.
Les organisations doivent comprendre la distinction entre les données pseudonymisées (que RGPD considère RGPD comme des données à caractère personnel) et les données véritablement anonymisées (qui ne relèvent pas RGPD ). Cette distinction est importante pour les décisions relatives à l'architecture de sécurité.
RGPD accorde RGPD des droits spécifiques aux personnes concernées : accès à leurs données, rectification des inexactitudes, effacement (le « droit à l'oubli »), portabilité des données, droit d'opposition au traitement et limitation du traitement. Chaque droit crée des obligations correspondantes pour les équipes de sécurité afin de garantir que les données puissent être localisées, modifiées ou supprimées sur tous les systèmes.
Le champ d'application territorial RGPD, tel que défini à l'article 3, s'étend bien au-delà des frontières de l'UE. Trois critères déterminent si une organisation doit se conformer à ce règlement :
Les entreprises américaines qui traitent les données de clients européens, suivent les visiteurs de sites web européens ou emploient des travailleurs basés dans l'UE doivent se conformer au RGPD. Cela s'applique quelle que soit la taille de l'entreprise ou qu'elle soit physiquement présente ou non dans l'UE.
Chaque État membre de l'UE et de l'EEE dispose d'une autorité de contrôle indépendante (également appelée autorité de protection des données ou APD) chargée de faire respecter RGPD son territoire. Citons par exemple la Commission irlandaise de protection des données (DPC), la CNIL en France et la BfDI en Allemagne. Les organisations doivent désigner une autorité de contrôle principale en fonction du lieu où se trouve leur établissement principal.
Un délégué à la protection des données (DPO) doit être nommé lorsqu'une organisation est une autorité publique, effectue un suivi systématique à grande échelle des personnes ou traite à grande échelle des catégories particulières de données sensibles. Le DPO supervise la stratégie de conformité réglementaire, réalise des audits et sert de point de contact pour les autorités de contrôle.
Les organisations comptant moins de 250 employés bénéficient actuellement de certaines exemptions en matière de conservation des documents. La proposition de règlement omnibus numérique de l'UE (novembre 2025) porterait ce seuil à 750 employés si elle était adoptée.
Alors que de nombreux RGPD se concentrent sur la gestion du consentement et les droits des personnes concernées, les articles du règlement relatifs à la cybersécurité créent les obligations les plus directes pour les équipes chargées des opérations de sécurité. Ces articles ne prescrivent pas de technologies spécifiques, mais exigent des mesures « appropriées » basées sur une évaluation des risques.
Article 5, paragraphe 1, point f) – intégrité et confidentialité. Ce principe fondamental exige une « sécurité appropriée » des données à caractère personnel, y compris une protection contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages. Il établit la base juridique de toutes les mesures techniques de sécurité.
Article 25 – Protection des données dès la conception et par défaut. La sécurité doit être intégrée dès le départ dans les systèmes de traitement, et non ajoutée a posteriori. Cela s'applique à l'architecture réseau, aux contrôles d'accès et aux capacités de surveillance.
Article 32 - Sécurité du traitement. L'article 32, qui est le plus pertinent sur le plan opérationnel pour les équipes chargées de la sécurité, impose quatre catégories spécifiques de mesures techniques :
Article 33 - Notification des violations à l'autorité de contrôle. Les organisations doivent notifier l'autorité de contrôle compétente dans les 72 heures suivant la « prise de connaissance » d'une violation de données à caractère personnel, sauf si la violation est peu susceptible d'entraîner un risque pour les personnes. La notification doit inclure la nature de la violation, les coordonnées du délégué à la protection des données, les conséquences probables et les mesures prises ou proposées pour y remédier. Il s'agit de la règle RGPD , dont le respect exige des capacités de réponse aux incidents qui font défaut à la plupart des programmes de conformité basés sur des listes de contrôle.
En 2025, les autorités de contrôle européennes ont reçu en moyenne 443 notifications de violation par jour, soit une augmentation de 22 % par rapport à l'année précédente et le volume le plus élevé depuis RGPD en vigueur RGPD .
Article 34 – Notification des violations aux personnes concernées. Lorsqu'une violation présente un « risque élevé » pour les droits et libertés des personnes, les organisations doivent également en informer directement les personnes concernées.
Article 35 - Évaluation de l'impact sur la protection des données (EIPD). Les activités de traitement à haut risque nécessitent une évaluation structurée des risques avant le début du traitement.
Tableau : Comment détection et réponse aux incidents soutient les articles RGPD
Le délai de notification des violations de 72 heures prévu à l'article 33 pose un défi opérationnel fondamental : les organisations ne peuvent pas notifier ce qu'elles ne peuvent pas détecter. Le délai commence à courir lorsque l'organisation « prend connaissance » d'une violation, conformément aux lignes directrices 9/2022 du CEPD. Les processus de détection manuels, ou l'absence totale de processus de détection, réduisent le temps disponible pour l'enquête, l'évaluation de l'impact et la notification réglementaire.
Un processus structuré en huit étapes transforme la notification RGPD , qui était auparavant une tâche réactive et chaotique, en un processus reproductible.
Workflow de détection à notification pour la conformité RGPD 33 RGPD . Texte alternatif : Workflow en huit étapes, de la détection initiale de la menace à la notification à l'autorité de contrôle, montrant comment chaque étape correspond aux RGPD 32 et 33 RGPD .
La surveillance continue du réseau répond directement à l'exigence de résilience de l'article 32(1)(b) en offrant une visibilité permanente sur le comportement du système de traitement. La détection automatisée réduit le MTTD, ce qui donne aux équipes de sécurité plus de temps pour mener leurs investigations et envoyer des notifications, plutôt que pour détecter les menaces.
Les preuves judiciaires issues des métadonnées réseau corroborent les exigences en matière de contenu prévues à l'article 33, paragraphe 3 : les organisations peuvent fournir aux autorités de contrôle des informations détaillées sur l'étendue de la violation, les flux de données concernés et les mesures de confinement.
L'analyse comportementale détecte exfiltration de données modèles mappés à MITRE ATT&CK Exfiltration tactique (0010). Les techniques clés comprennent l'exfiltration via les canaux C2 (T1041), exfiltration via des protocoles alternatifs (T1048), exfiltration via des services Web (T1567), et l'exfiltration automatisée (T1020). Chacun de ces éléments représente un déclencheur potentiel RGPD lorsque des données à caractère personnel sont concernées.
Le rapport IBM 2025 Cost of Data Breach Report a révélé que 20 % des organisations victimes de violations ont connu des incidents liés à l'IA fantôme, c'est-à-dire à des outils d'IA non autorisés adoptés sans supervision informatique. Ces violations liées à l'IA fantôme ont ajouté 670 000 dollars américains au coût moyen des violations. Lorsque les employés utilisent des outils d'IA non autorisés pour traiter des données à caractère personnel, les organisations sont confrontées à un problème supplémentaire : l'article 30 RGPD exige la conservation des enregistrements de toutes les activités de traitement, ce qui est impossible lorsque les flux de données générés par l'IA sont invisibles pour l'équipe de sécurité.
Le coût moyen mondial des violations a atteint 4,44 millions de dollars en 2025, tandis que la moyenne américaine s'élevait à 10,22 millions de dollars. Il est important de noter que 32 % des organisations victimes de violations ont dû payer des amendes réglementaires, dont 48 % dépassaient 100 000 dollars. Les capacités de détection qui permettent de mettre au jour les flux de données non autorisés, y compris ceux provenant de l'IA fantôme, réduisent directement l'impact des violations et l'exposition réglementaire.
Les organisations doivent mettre en place des modèles de notification prédéfinis et des déclencheurs de flux de travail automatisés afin de réduire le délai entre la détection et la notification.
L'article 83 établit une structure d'amendes à deux niveaux qui varie en fonction des revenus de l'organisation.
Tableau : Structure RGPD avec exemples d'application en 2025
L'enquête menée par DLA Piper en janvier 2026 sur RGPD révèle que la pression exercée pour faire respecter la réglementation a continué de s'intensifier :
La violation commise par l'Église d'Angleterre illustre un autre type de manquement : des contrôles techniques insuffisants, l'absence d'un système de gestion des données robuste et des processus de validation par des tiers peu rigoureux ont conduit à la divulgation non autorisée de données sensibles relatives à la protection des personnes. Cette affaire démontre que les sanctions visent les défaillances en matière de sécurité opérationnelle, et pas seulement les transferts de données qui font la une des journaux.
Les coûts RGPD varient considérablement en fonction de la taille de l'organisation, du secteur d'activité et du volume de données traitées. Les estimations vont de 1,3 million à 25 millions de dollars américains pour la mise en œuvre initiale, bien que la méthodologie varie considérablement d'une enquête à l'autre. Le CMS RGPD Tracker fournit une base de données complète et consultable de toutes les mesures d'application publiées.
Les équipes chargées de la sécurité sont de plus en plus confrontées à des obligations réglementaires qui se recoupent dans plusieurs cadres européens. Comprendre où ces réglementations convergent et divergent permet d'éviter les doublons dans le travail de mise en conformité.
La proposition « Digital Omnibus » de la Commission européenne représente le changement potentiel le plus important apporté au RGPD son entrée en vigueur. Les principales modifications proposées sont les suivantes :
La proposition a suscité à la fois des soutiens et des critiques. La Commission européenne la présente comme un moyen de réduire la charge administrative tout en maintenant les protections essentielles. L'Electronic Frontier Foundation estime quant à elle qu'elle « vide de leur substance les droits RGPD » en restreignant les définitions des données et en affaiblissant les obligations de signalement des violations. Les organisations doivent suivre l'issue de la consultation et se préparer aux deux scénarios.
RGPD la directive NIS2 exigent tous deux la notification des incidents de sécurité, la mise en place de mesures techniques et organisationnelles appropriées et la gestion des risques liés à la chaîne d'approvisionnement. La différence essentielle réside dans le fait que RGPD les droits relatifs aux données à caractère personnel, tandis que la directive NIS2 se concentre sur la cybersécurité opérationnelle des entités essentielles et importantes.
Tableau : Comparaison des obligations réglementaires européennes qui se recoupent pour les équipes chargées de la cybersécurité
Source : Cyberday.ai Comparaison des cadres de cybersécurité de l'UE
RGPD les données personnelles des résidents de l'UE et de l'EEE selon un modèle basé sur le consentement préalable, tandis que la loi californienne sur la protection de la vie privée des consommateurs (CCPA) protège les résidents de Californie selon un modèle basé sur le refus. RGPD à l'échelle mondiale en fonction de la localisation de la personne concernée. La CCPA s'applique aux entreprises qui atteignent certains seuils de chiffre d'affaires ou de volume de données en Californie. RGPD sont nettement plus élevées, et la définition des données personnelles RGPD est plus large que celle des informations personnelles dans la CCPA.
Les données 2025 d'IBM ont révélé que les violations liées à l'IA fantôme ont ajouté 670 000 dollars américains aux coûts moyens. Les organisations qui déploient des systèmes d'IA sont soumises à une double obligation en vertu RGPD la loi européenne sur l'IA, notamment en ce qui concerne la formation de l'IA sur les données personnelles, les dispositions relatives à la prise de décision automatisée en vertu de l'article 22 et les exigences de transparence. La visibilité au niveau du réseau sur les flux de données d'IA est essentielle pour gérer simultanément ces deux cadres.
Cette liste de contrôle hiérarchise les exigences en matière d'opérations de sécurité et les obligations en matière de documentation. Des audits de conformité trimestriels couvrant chaque domaine permettent de maintenir une conformité continue.
Il n'existe pas de « certificationRGPD » officielle délivrée par les autorités européennes. Cependant, l'article 42 permet aux organismes de certification agréés de proposer des certifications attestant la conformité à certains aspects spécifiques du RGPD. Les certifications ISO 27001 et ISO 27701 sont couramment utilisées comme preuves à l'appui.
Le paysage RGPD évolue plus rapidement en 2026 qu'à aucun autre moment depuis l'entrée en vigueur du règlement. Trois développements vont façonner les priorités en matière de sécurité au cours des 12 à 24 prochains mois.
Le résultat du Digital Omnibus redéfinira la notification des violations. Si elle est adoptée, la prolongation proposée du délai de notification de 72 à 96 heures donnera aux organisations plus de temps pour enquêter, mais la consolidation « signaler une fois, partager plusieurs fois » entre NIS2, RGPD, DORA et eIDAS nécessitera une infrastructure unifiée de signalement des incidents. Les organisations doivent mettre en place des workflows de détection à notification qui dépassent les exigences actuelles, plutôt que de se contenter du minimum réglementaire, afin que tout changement de délai devienne un avantage opérationnel plutôt qu'une raison de ralentir.
La gouvernance de l'IA deviendra indissociable de la protection des données. Le calendrier de mise en œuvre de la loi européenne sur l'IA continue d'évoluer, les exigences relatives aux systèmes à haut risque étant désormais fixées à décembre 2027. Les organisations qui utilisent l'IA pour traiter des données à caractère personnel sont soumises à des obligations convergentes en vertu RGPD la loi sur l'IA. L'IA fantôme, déjà responsable de 20 % des violations et de 670 000 dollars de coûts supplémentaires par incident, va s'intensifier à mesure que l'adoption de l'IA s'accélère. La surveillance au niveau du réseau qui détecte les flux de données IA non autorisés passera du statut de bonne pratique à celui d'exigence de conformité.
Les infrastructures de détection deviendront une exigence réglementaire, et non plus seulement une bonne pratique. L'augmentation de 22 % du nombre quotidien de notifications de violations, qui passera à 443 par jour en 2025, reflète la maturité croissante des capacités de détection dans les organisations. Les autorités de contrôle attendent de plus en plus des organisations qu'elles démontrent des capacités de détection proactives, et non plus seulement des processus de notification réactifs. Les investissements dans la surveillance continue, l'analyse comportementale et le triage automatisé seront rentables à la fois pour RGPD, la NIS2 et les nouveaux cadres réglementaires.
Les organisations passent d'évaluations de conformité périodiques, basées sur des listes de contrôle, à des postures de conformité continues fondées sur des capacités de détection et de réponse. Les programmes les plus efficaces intègrent les workflows de conformité et de sécurité, en utilisant la détection automatisée pour déclencher les processus de conformité plutôt que de les traiter comme des flux de travail distincts.
Ce changement reflète une prise de conscience plus large au sein du secteur : les articles de la réglementation relatifs à la sécurité (en particulier l'article 32) exigent des capacités techniques permanentes, et non des audits ponctuels. Détecter les menaces en temps réel, mettre en correspondance ces détections avec les obligations de conformité et générer des preuves prêtes à être utilisées pour les audits, voilà ce qui distingue les programmes de conformité matures de ceux qui ne découvrent les violations que plusieurs semaines ou mois après les faits.
La philosophie « assume-compromise » (présumer la compromission) Vectra AI s'aligne directement sur l'exigence RGPD de détecter et de réagir aux violations. Plutôt que de considérer la conformité comme un simple exercice administratif, l'approche axée sur la détection utilise Attack Signal Intelligence identifier en temps réel les menaces pesant sur les données personnelles dans les environnements hybrides, qu'il s'agisse des réseaux, cloud, des identités ou du SaaS. Cela réduit le temps moyen de détection de plus de 50 % et augmente de 52 % (IDC) le nombre de menaces identifiées de manière proactive, ce qui répond directement aux exigences opérationnelles des articles 32 et 33. Lorsque les organisations peuvent détecter les menaces plus rapidement, elles préservent le délai de notification de 72 heures pour l'enquête et la réponse, plutôt que de le consacrer à la découverte. La plateforme SOC intègre la détection, le triage et l'enquête dans un flux de travail unique qui correspond directement au processus de détection à notification RGPD .
RGPD n'est pas un objectif statique. Il s'agit d'une capacité opérationnelle permanente qui exige une détection continue des menaces, une réponse structurée aux incidents et la capacité de s'adapter à l'évolution du paysage réglementaire. La hausse de 22 % des notifications de violations en 2025, les 1,2 milliard d'euros d'amendes infligées et la proposition Digital Omnibus en cours d'examen indiquent clairement que les autorités de contrôle attendent davantage des organisations, et non moins.
Pour les équipes de sécurité, la voie à suivre est claire : développer des capacités de détection qui devancent les délais réglementaires, cartographier les contrôles de sécurité dans des cadres qui se chevauchent et traiter la conformité comme une fonction intégrée des opérations de sécurité plutôt que comme un exercice de documentation distinct. Les organisations qui investissent aujourd'hui dans la sécurité axée sur la détection seront mieux placées pour faire face aux changements réglementaires de demain.
Découvrez comment détection et réponse aux incidents Vectra AI favorisent RGPD et répondent à des exigences plus larges en matière d'opérations de sécurité.
RGPD signifie qu'une organisation répond à toutes les exigences du règlement général sur la protection des données de l'UE en matière de collecte, de traitement, de stockage et de protection des données personnelles des résidents de l'UE et de l'EEE. Cela comprend la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées en vertu de l'article 32, l'établissement de bases légales pour toutes les activités de traitement des données, la conservation des registres des activités de traitement en vertu de l'article 30 et la mise en place de capacités de réponse aux incidents permettant de notifier les violations dans les 72 heures en vertu de l'article 33. La conformité va au-delà de la documentation et s'étend aux opérations de sécurité actives : les organisations doivent démontrer qu'elles sont en mesure de détecter les violations, d'évaluer leur impact et d'informer les autorités de contrôle en leur fournissant des détails spécifiques sur leur portée et les mesures correctives prises. Depuis RGPD vigueur RGPD en mai 2018, les autorités de contrôle européennes ont infligé des amendes cumulées de 7,1 milliards d'euros, soulignant que l'application de la réglementation se poursuit et s'intensifie.
Les sept principes énoncés à l'article 5 sont les suivants : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité. Ces principes régissent toutes les activités de traitement des données à caractère personnel et constituent le fondement de RGPD . Le sixième principe, celui de l'intégrité et de la confidentialité, est particulièrement pertinent pour les équipes de sécurité, car il exige une « sécurité appropriée », y compris une protection contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages. L'article 32 concrétise davantage ce principe en exigeant des mesures techniques spécifiques, notamment le chiffrement, la pseudonymisation et la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes de traitement. Les organisations qui se concentrent uniquement sur la gestion et la documentation du consentement sans tenir compte des principes de sécurité s'exposent à un risque important en matière d'application.
Oui. RGPD à toute organisation dans le monde qui propose des biens ou des services à des résidents de l'UE ou de l'EEE ou qui surveille leur comportement, quel que soit le lieu où l'organisation est physiquement implantée. Les entreprises américaines qui traitent les données de clients de l'UE, suivent les visiteurs de sites web de l'UE à l'aide d'outils d'analyse ou de cookies, emploient des travailleurs basés dans l'UE ou vendent à des clients dans les États membres de l'UE doivent se conformer au RGPD. L'article 3 établit explicitement cette portée extraterritoriale. Les entreprises américaines soumises au RGPD désigner un représentant dans l'UE et peuvent être amenées à nommer un délégué à la protection des données en fonction de la nature et de l'ampleur de leurs activités de traitement des données. Le mécanisme d'application fonctionne grâce à la coopération entre les autorités de contrôle de l'UE et les cadres juridiques internationaux, et des amendes ont été infligées avec succès à des organisations non européennes.
L'article 33 impose aux organisations d'informer l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation de données à caractère personnel, sauf si cette violation n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes. La notification doit comporter quatre éléments : la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées, le délégué à la protection des données ou tout autre point de contact, les conséquences probables de la violation et les mesures prises ou proposées pour y remédier et en atténuer les effets. Le délai de 72 heures commence à courir à partir du moment où l'organisation a « pris connaissance » de la violation, et non à partir du moment où celle-ci s'est produite. Cette distinction rend les capacités de détection essentielles : les organisations dont le temps moyen de détection (MTTD) est plus long disposent d'un délai de 72 heures plus court pour mener leur enquête et procéder à la notification. La proposition de règlement omnibus numérique de l'UE prolongerait ce délai à 96 heures si elle était adoptée, mais la consultation reste ouverte jusqu'au 11 mars 2026.
RGPD une structure d'amendes à deux niveaux en vertu de l'article 83. Les infractions de niveau inférieur, notamment les manquements en matière de tenue des registres, les mesures de sécurité inadéquates et les violations des accords de sous-traitance, peuvent entraîner des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les infractions de niveau supérieur, notamment les violations des principes de traitement des données, les transferts illicites de données et les violations des droits des personnes concernées, peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Dans la pratique, les sanctions ont été lourdes : 1,2 milliard d'euros d'amendes ont été infligées rien qu'en 2025, TikTok ayant reçu la plus grosse amende individuelle, soit 530 millions d'euros, pour avoir transféré des données d'utilisateurs de l'EEE vers la Chine sans protections adéquates. Au-delà des sanctions financières, les autorités de contrôle peuvent ordonner aux organisations de cesser complètement leurs activités de traitement, ce qui peut avoir des conséquences désastreuses sur le plan opérationnel.
RGPD les données personnelles des résidents de l'UE et de l'EEE en utilisant un modèle basé sur le consentement préalable (opt-in), tandis que la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) protège les résidents de Californie en utilisant un modèle basé sur le refus préalable (opt-out). RGPD à l'échelle mondiale en fonction de la localisation de la personne concernée : toute organisation dans le monde qui traite les données de résidents de l'UE doit s'y conformer. La CCPA s'applique aux entreprises qui atteignent certains seuils de chiffre d'affaires (25 millions de dollars de chiffre d'affaires annuel) ou de volume de données en Californie. La définition des données à caractère personnel RGPD est plus large, incluant explicitement les adresses IP, les identifiants de cookies et les identifiants d'appareils. RGPD sont nettement plus élevées (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial) que celles prévues par la CCPA (jusqu'à 7 500 dollars par violation intentionnelle). Les deux réglementations accordent aux personnes des droits sur leurs données, mais RGPD des droits plus complets, notamment la portabilité des données et le droit à la limitation du traitement.
Les coûts de mise en conformité varient considérablement en fonction de la taille de l'organisation, du secteur d'activité, de la complexité du traitement des données et du niveau actuel de maturité en matière de sécurité. Les estimations pour la mise en œuvre initiale varient entre environ 100 000 dollars américains pour les petites organisations et 1 million de dollars américains ou plus pour les grandes entreprises, avec des coûts annuels récurrents de 150 000 à 500 000 dollars américains ou plus pour maintenir la conformité. Certaines études sectorielles citent des coûts de conformité totaux allant de 1,3 million à 25 millions de dollars américains pour les grandes entreprises, bien que la méthodologie varie considérablement d'une étude à l'autre. Le coût de la non-conformité dépasse généralement de loin l'investissement nécessaire pour se conformer : 1,2 milliard d'euros d'amendes ont été infligées dans l'UE rien qu'en 2025, et 32 % des organisations en infraction ont dû payer des amendes réglementaires. Les organisations devraient considérer les dépenses de conformité comme une réduction des risques plutôt que comme un simple coût, d'autant plus que le coût moyen des infractions s'élevait à 4,44 millions de dollars à l'échelle mondiale et à 10,22 millions de dollars aux États-Unis en 2025.