В июле 2017 года Институт исследований интернета (ИИИ) выпустил отчет, в котором указал, что «закон Яровой» противоречит требованиям GDPR (General Data Protection Regulation, общего регламента о хранении данных), который вступил в силу в Евросоюзе в мае 2018 года. В ИИИ указывали, что, согласно GDPR, для хранения информации о фактах коммуникации пользователя должно быть соответствующее подтверждение от спецслужб. Если российские операторы будут хранить информацию об иностранцах у себя на серверах без согласия самого пользователя и без решения суда предоставлять эти данные российским правоохранительным органам, будет нарушено европейское законодательство, говорилось в отчете.

Однако, по словам представителя Orange, компания видит, что может выполнять требования и того и другого закона в той мере, в которой они к ней относятся. Он отметил, что с точки зрения GDPR компания в ходе оказания услуг является «процессором» (физическое или юридическое лицо, госорган, учреждение, которое обрабатывает персональные данные по поручению «оператора» — того, с кем было заключено соглашение на обработку данных). «Также важно заметить, что вопросы в отношении национальной безопасности выведены из сферы действия GDPR, а «закон Яровой» относится как раз к этой сфере, что следует даже из официального названия», — указал представитель Orange.