La protection des données personnelles est devenue un sujet majeur dans le cadre de la RSE. Au sein de l’Union européenne, ce droit est encadré par le règlement général sur la protection des données (RGPD). Le montant dissuasif des amendes qui peuvent être infligées aux entreprises contrevenantes a incité ces dernières à instaurer des dispositifs qu’elles décrivent de manière plus ou moins détaillée dans leurs rapports annuels. Mis à part quelques pays comme l’Inde qui temporisent encore, de nombreuses régions du monde se sont dotées d’un tel règlement. Sephora (qui appartient au groupe LVMH) l’a appris à ses dépens. Le 24 août 2022, le procureur général de Californie a annoncé que Sephora devrait payer 1,2 million de dollars pour avoir enfreint le California Consumer Privacy Act (CCPA). Il est reproché à la société d’avoir vendu à des tiers les données personnelles de ses clients sans les en avoir informés au préalable. Il s’agit du premier accord de ce type conclu en vertu de la loi qui autorise également les consommateurs à engager des poursuites.