Parallèlement à cette réglementation, la directive 2002/58/EC dite « ePrivacy », telle que modifiée, prévoit également des règles afin de garantir la protection de la vie privée des individus en matière de communications électroniques. Cette directive, ainsi que sa transposition en droit français par la loi n° 2004-575 pour la confiance dans l’économie numérique, imposent notamment des obligations dans le cadre d’opérations de prospection commerciale et encadrent l’utilisation de traceurs (cookies). La directive « ePrivacy » est toujours en cours de révision et devrait être remplacée par un règlement « ePrivacy » d’application directe au sein de l’UE. La CNIL a fait de la conformité des cookies l'un de ses domaines de prédilection et a sanctionné plusieurs entreprises pour non-conformité.
À la suite du RGPD, de plus en plus d’États dans le monde adoptent une règlementation sur la protection des données personnelles. Aux États-Unis, en l’absence d’une réglementation fédérale, la Californie s’est dotée du California Consumer Privacy Act (CCPA) entré en vigueur en janvier 2020 et complété en octobre 2020 par le California Privacy Rights Act (CPRA) entré en vigueur en janvier 2023 et qui sera appliqué à partir du 1er juillet 2023. Le CCPA exige la mise en place de mécanismes (opt-out) permettant à l’utilisateur de refuser l’utilisation de ses données personnelles et le CPRA renforce les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs en Californie. Les États de Virginie, Colorado, Connecticut et de l'Utah ont également adopté des lois sur la protection de la vie privée en 2021/2022, qui entreront toutes en vigueur à des dates différentes en 2023. Ces lois reprennent certains concepts du RGPD et du CCPA. Une douzaine d'autres États américains sont en train de proposer leurs propres projets de lois sur la protection des données personnelles qui, s'ils sont adoptés, continueront de rendre la situation complexe avec un morcèlement du paysage législatif.
En 2021, le Brésil et la République populaire de Chine ont adopté leur loi sur la protection des données personnelles. En 2022, l'Inde, l’Australie et l’Arabie Saoudite introduisent des lois plus substantielles sur la protection des données personnelles.
L’Union européenne a également introduit de nouvelles réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Celles-ci s’articulent autour du Digital Market Act (DMA), du Digital Services Act (DSA) et du Data Governance Act (DGA). Le DMA a pour objectif de réguler le comportement des plateformes ayant un impact significatif sur le marché européen, notamment au regard du droit de la concurrence. Ce texte envisage des obligations relatives à l’utilisation des données personnelles à des fins de ciblage publicitaire. Le DSA vise à réguler le fonctionnement des plateformes, quelle que soit leur taille, et notamment les contenus publiés sur Internet. Le DGA vise à accroître la confiance dans le partage des données, à renforcer les mécanismes permettant d'augmenter la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données. Les DMA et DSA sont entrés en vigueur en novembre 2022, le DGA en juin 2022.
L'intelligence artificielle (IA) se développe rapidement ces derniers temps et est couramment utilisée par les entreprises pour des activités liées à la publicité. Elle fait l'objet d'une attention accrue de la part des régulateurs, tant dans l'Union européenne qu'au Royaume-Uni. En avril 2021, la Commission européenne a proposé une loi sur l'IA et l'autorité de régulation de la protection des données au Royaume-Uni, l'ICO, a publié des orientations et fait de l'IA l'une de ses trois principales priorités stratégiques.
