Corrélativement au renforcement des obligations incombant aux entreprises, le RGPD et le UK GDPR créent et renforcent les droits des individus, notamment s’agissant de leur droit d’information des traitements mis en œuvre. Ces réglementations encadrent également les transferts de données personnelles en dehors de l’UE et du Royaume-Uni afin de s’assurer que les individus bénéficient d’un niveau de protection suffisant et approprié. Les autorités de contrôle européennes font preuve d’une vigilance accrue et prononcent des sanctions financières de plus en plus élevées. Outre la réglementation, les recommandations des organisations nationales chargées de contrôler le respect de ces règles ainsi que la jurisprudence peuvent influer de façon importante sur le niveau de protection requis et l’organisation à mettre en place.
Depuis la mise en œuvre du RGPD, de plus en plus de pays à travers le monde adoptent des réglementations en matière de protection des données personnelles. Aux États-Unis, en l’absence d’une réglementation au niveau fédéral, de nombreux États, tels que la Californie, la Virginie, le Colorado, le Connecticut, le Delaware, l’Indiana, l’Iowa, le Kentucky, le Maryland, le Minnesota, le Montana, le Nebraska, le New Hampshire, le New Jersey, l’Oklahoma, l’Oregon, la Floride, Rhode Island, le Texas et l’Utah ont adopté des lois sur la protection des données personnelles afin de renforcer les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les données à caractère personnel des consommateurs. Ces lois reprennent certains concepts du RGPD et introduisent de nouvelles protections en matière de confidentialité pour les consommateurs ainsi que des restrictions sur l’utilisation des données personnelles. D’autres États américains sont en train de proposer leurs propres projets de lois sur la protection des données personnelles qui, s’ils sont adoptés, continueront de rendre la situation complexe avec un morcellement du paysage législatif.
En vertu des législations des États américains en matière de protection des données, l’utilisation de données à caractère personnel à des fins de publicité et de marketing suppose, en règle générale, d’informer les consommateurs et de leur offrir la possibilité de s’opposer à ce type de traitement (opt-out). En outre, plusieurs États ont adopté des lois exigeant le recueil d’un consentement exprès pour le traitement de données à caractère personnel sensibles, telles que les informations relatives à l’état de santé ou à l’origine ethnique. Par ailleurs, le droit américain restreint la communication de certaines catégories de données.
De nombreux autres pays ont adopté des lois sur la protection des données personnelles, notamment le Brésil, la République populaire de Chine, l’Inde, l’Australie, les Émirats arabes unis et l’Arabie saoudite.
L’Union européenne a également introduit de nouvelles réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Celles-ci s’articulent autour du Digital Market Act (DMA), du Digital Services Act (DSA), du Data Act (DA) et du Data Governance Act (DGA). Le DMA a pour objectif de réguler le comportement des plateformes ayant un impact significatif sur le marché européen, notamment au regard du droit de la concurrence.
Ce texte envisage des obligations relatives à l’utilisation des données personnelles à des fins de ciblage publicitaire. Le DSA vise à réguler le fonctionnement des plateformes, quelle que soit leur taille, et notamment les contenus publiés sur Internet. Le DGA vise à accroître la confiance dans le partage des données, à renforcer les mécanismes permettant d’augmenter la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données. Les DMA et DSA sont entrés en vigueur en novembre 2022, le DGA en juin 2022. Le Data Act, entré en vigueur en 2024, a un impact sur les entreprises fournissant des services SaaS, en ce qu’il confère aux utilisateurs un droit étendu à la portabilité des données, exerçable moyennant un préavis de deux mois.
De nombreux pays se montrent inquiets de l’impact que peuvent avoir les réseaux sociaux sur les personnes vulnérables, les mineurs en particulier mais également au regard de toute forme d’addiction ou mauvaise influence pouvant résulter d’un usage déviant ou excessif de ces plateformes de communication. Certains pays comme l’Australie interdisent désormais l’accès aux réseaux sociaux aux mineurs de 16 ans - Online Safety Amendement (Social Media Minimum Age) Act 2024 entré en vigueur en décembre 2025 ; d’autres pays ou régions comme l’Europe préparent des réglementations similaires visant à renforcer la protection des personnes sur les plateformes. Le Royaume-Uni a également déjà mis en œuvre l’Online Safety Act 2023 afin de traiter certaines de ces problématiques. Les législations des États américains imposent, lors de la création d’un compte, la mise en place de mécanismes de vérification de l’âge destinés à protéger les enfants contre les contenus préjudiciables.
L’intelligence artificielle (IA) se développe rapidement et est couramment utilisée pour des activités liées à la publicité et d’autres activités du Groupe. Ce développement s’accompagne d’une attention accrue de la part des régulateurs. De nombreux pays mettent en place des lois et règlements spécifiques à l’IA. Au niveau de l’Union européenne, le EU Artificial Intelligence Act est entré en vigueur en juin 2024, avec des dispositions qui prennent effet par étapes jusqu’en 2027. Des lois spécifiques à l’IA ont également été introduites en Amérique latine, en Asie-Pacifique et dans plusieurs États américains.
Par ailleurs, l’environnement réglementaire européen est caractérisé par l’émergence de réglementations en matière de responsabilité sociétale des entreprises (RSE), notamment la directive (UE) 2022/2464 dite CSRD (Corporate Sustainability Reporting Directive). Celle-ci a pour objet d’améliorer la transparence et la fiabilité des informations extra-financières communiquées par les entreprises.
