La nature extraterritoriale du RGPD étend son champ d'application à toutes les entreprises en dehors de l'Union européenne qui traitent les données des résidents de l'UE. Les organisations qui ne respectent pas le RGPD sont exposées à des risques de réputation ainsi qu'à des risques de sanctions (administratives, civiles ou pénales), avec des pénalités pouvant atteindre jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise ou jusqu'à 20 M €.