La Commission souscrit à l’accord politique conclu le 15 décembre 2015 entre le Parlement européen et le Conseil lors de trilogues informels, étant donné qu'il est conforme aux objectifs de sa proposition.
La proposition de règlement vise à renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données. Les nouvelles règles prévoient à cette fin les mesures suivantes:
- faciliter l'accès à ses propres données: les personnes recevront des informations plus nombreuses, plus claires et plus compréhensibles sur la façon dont leurs données sont traitées;
- bénéficier d'un «droit à l'oubli»: si une personne ne souhaite plus que ses données soient traitées, et pour autant qu'aucun motif légitime ne justifie de les conserver, ces données seront supprimées;
- permettre à une personne de savoir que ses données ont été piratées: les entreprises devront signaler à l’autorité de contrôle les violations de données qui font courir un risque aux personnes concernées et communiquer dès que possible à ces dernières toutes les violations présentant des risques élevés;
- garantir la portabilité des données: les personnes pourront plus facilement transférer des données à caractère personnel d’un prestataire de services à un autre.
Le règlement proposé contribue également à réaliser le potentiel du marché unique, grâce aux mesures suivantes:
- l’application du principe «un continent, une législation» ;
- la mise en place d'un «guichet unique» pour les entreprises ;
- des conditions de concurrence équitables: les entreprises ayant leur siège en dehors de l’Europe devront appliquer les mêmes règles lorsqu’elles proposeront des biens ou des services sur le marché de l’UE;
- la neutralité technologique : l’innovation pourra ainsi continuer à se développer au sein du nouveau cadre réglementaire.
La Commission européenne constate que l’accord :
- respecte la nature de l’instrument juridique proposé par la Commission, à savoir un règlement plutôt qu’une directive ;
- garantit un niveau d’harmonisation suffisant, tout en laissant aux États membres une marge de manœuvre en ce qui concerne les spécifications des règles de protection des données dans le secteur public ;
- confirme l’approche de la Commission concernant le champ d’application territorial du règlement, qui s’appliquera également aux responsables du traitement ou aux sous-traitants établis dans un pays tiers, lorsque les activités de traitement sont liées à l'offre de biens ou de services à des personnes résidant dans l'Union ou à l'observation de ces personnes ;
- maintient l’approche de la Commission, en renforçant les principes relatifs au traitement des données (minimisation des données, p. ex.) et aux droits des personnes concernées, en consacrant le droit à l’oubli et le droit à la portabilité, et en continuant à développer les droits existants, tels que le droit à l’information ou le droit d’accès ;
- préserve et développe l’approche fondée sur le risque qui exige que les responsables du traitement et, dans certains cas, les sous-traitants, tiennent compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du degré de probabilité et de gravité des risques pour les droits et libertés des personnes concernées ;
- prévoit un mécanisme solide de «guichet unique» sur le plan juridique et institutionnel et conserve les principaux éléments de simplification, qui consistent à instaurer le principe d'une décision unique au niveau de l’UE et d'un seul interlocuteur pour les entreprises et les personnes ;
- clarifie et précise les règles relatives aux transferts internationaux ;
- autorise les autorités de contrôle à infliger des sanctions financières en cas d'infraction au règlement, à concurrence de 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise.
Toutefois, contrairement à la proposition de la Commission, la position du Conseil ne considère pas le règlement comme un développement de l’acquis de Schengen. La Commission juge par conséquent nécessaire de faire une déclaration à cet égard. Dans cette déclaration, la Commission estime en particulier qu'en ce qui concerne les visas, les contrôles aux frontières et le retour, le règlement général sur la protection des données constitue un développement de l’acquis de Schengen pour les quatre pays associés à la mise en œuvre, à l’application et au développement de cet acquis.