Entré en vigueur le 25 mai 2018, le « Règlement Général sur la Protection des données » est né de la volonté européenne de créer un cadre juridique unifié, afin de faire face aux enjeux majeurs que représente le traitement des données personnelles. Il a pour but de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées.

Le champs d’application du RGPD est large puisque toutes les entreprises sont concernées quel que soit leur taille ou leur effectif. Ces dernières sont donc soumises à des obligations énoncées à l’article 5.1 dudit règlement, notamment celle de traiter de manière licite, loyale et transparente les données, de les collecter à des fins déterminées, explicites, légitimes et limitées. Ces données à caractère personnel doivent être traitées de façon à garantir leur protection, et sont conservées pendant une durée raisonnable. 
De plus, les entreprises devront désigner un pilote, recenser les fichiers, repérer les traitements à risque, respecter le droit des personnes, sécuriser les données et s’assurer en cas de sous-traitance que le prestataire respecte également le RGPD.

La CNIL joue un rôle majeur dans la protection de ces données. En effet elle recommande aux entreprises de se mettre en conformité avec le RGPD sous peine de sanction. C’est en ce sens que la CNIL a annoncé lundi 21 Janvier 2019 une sanction de 50 millions d'euros contre Google. Le géant du Web est accusé de manquement à ses obligations dans le cadre du RGPD. Des plaintes avaient été déposées à son encontre par les associations None Of Your Business (NOYB) et la Quadrature du Net. Elles reprochaient à Google de ne pas disposer d'une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de publicités ciblées. Elle reproche également au géant américain de forcer la main des utilisateurs, en proposant par défaut d’accepter le partage de leurs données. C’est alors la première sanction d'un géant américain du Web dans le cadre du RPGD. Google dispose d’un délai de quatre mois pour contester cette condamnation devant le Conseil d’Etat.