La Commission souscrit à laccord politique conclu le 15 décembre 2015 entre le Parlement européen et le Conseil lors de trilogues informels, étant donné qu'il est conforme aux objectifs de sa proposition.
La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de lUE, garantir un contrôle accru de lapplication de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données. Les nouvelles règles prévoient à cette fin les mesures suivantes:
- faciliter l'accès à ses propres données: les personnes recevront des informations plus nombreuses, plus claires et plus compréhensibles sur la façon dont leurs données sont traitées;
- bénéficier d'un «droit à l'oubli»: si une personne ne souhaite plus que ses données soient traitées, et pour autant qu'aucun motif légitime ne justifie de les conserver, ces données seront supprimées;
- permettre à une personne de savoir que ses données ont été piratées: les entreprises devront signaler à lautorité de contrôle les violations de données qui font courir un risque aux personnes concernées et communiquer dès que possible à ces dernières toutes les violations présentant des risques élevés;
- garantir la portabilité des données: les personnes pourront plus facilement transférer des données à caractère personnel dun prestataire de services à un autre.
Le règlement proposé contribue également à réaliser le potentiel du marché unique, grâce aux mesures suivantes:
- lapplication du principe «un continent, une législation» ;
- la mise en place d'un «guichet unique» pour les entreprises ;
- des conditions de concurrence équitables: les entreprises ayant leur siège en dehors de lEurope devront appliquer les mêmes règles lorsquelles proposeront des biens ou des services sur le marché de lUE;
- la neutralité technologique : linnovation pourra ainsi continuer à se développer au sein du nouveau cadre réglementaire.
La Commission européenne constate que laccord :
- respecte la nature de linstrument juridique proposé par la Commission, à savoir un règlement plutôt quune directive ;
- garantit un niveau dharmonisation suffisant, tout en laissant aux États membres une marge de manuvre en ce qui concerne les spécifications des règles de protection des données dans le secteur public ;
- confirme lapproche de la Commission concernant le champ dapplication territorial du règlement, qui sappliquera également aux responsables du traitement ou aux sous-traitants établis dans un pays tiers, lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes résidant dans l'Union ou à l'observation de ces personnes ;
- maintient lapproche de la Commission, en renforçant les principes relatifs au traitement des données (minimisation des données, p. ex.) et aux droits des personnes concernées, en consacrant le droit à loubli et le droit à la portabilité, et en continuant à développer les droits existants, tels que le droit à linformation ou le droit daccès ;
- préserve et développe lapproche fondée sur le risque qui exige que les responsables du traitement et, dans certains cas, les sous-traitants, tiennent compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du degré de probabilité et de gravité des risques pour les droits et libertés des personnes concernées ;
- prévoit un mécanisme solide de «guichet unique» sur le plan juridique et institutionnel et conserve les principaux éléments de simplification, qui consistent à instaurer le principe d'une décision unique au niveau de lUE et d'un seul interlocuteur pour les entreprises et les personnes ;
- clarifie et précise les règles relatives aux transferts internationaux ;
- autorise les autorités de contrôle à infliger des sanctions financières en cas d'infraction au règlement, à concurrence de 2 à 4% du chiffre daffaires annuel mondial de lentreprise.
Toutefois, contrairement à la proposition de la Commission, la position du Conseil ne considère pas le règlement comme un développement de lacquis de Schengen. La Commission juge par conséquent nécessaire de faire une déclaration à cet égard. Dans cette déclaration, la Commission estime en particulier qu'en ce qui concerne les visas, les contrôles aux frontières et le retour, le règlement général sur la protection des données constitue un développement de lacquis de Schengen pour les quatre pays associés à la mise en uvre, à lapplication et au développement de cet acquis.