Allez au contenu, Allez à la navigation

Justice et affaires intérieures

Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)
COM (2012) 11 final  du 25/01/2012

Contrôle de subsidiarité (article 88-6 de la Constitution)

Examen par la commission des affaires européennes le 23/02/2012
Réponse de la Commission européenne

Ce texte a fait l'objet de la proposition de résolution : n° 424 (2011-2012) : voir le dossier legislatif

Justice et affaires intérieures

Protection des données personnelles

Communication de M. Simon Sutour
et proposition de résolution portant avis motivé

(Réunion du 23 février 2012)

M. Simon Sutour, président. - Au cours de sa réunion de jeudi dernier, le groupe subsidiarité a considéré que la proposition de règlement relatif à la protection des données personnelles présentait un risque de non-conformité au principe de subsidiarité. J'ai présenté hier en commission des lois une proposition de résolution européenne, au titre de l'article 88-4 de la Constitution, qu'elle examinera la semaine prochaine et qui sera débattue en séance publique le 6 mars. Une telle procédure est exceptionnelle. Ce texte le mérite, car sa portée est considérable.

Nous nous penchons ce matin sur la seule question de la subsidiarité, selon le cadre fixé par l'article 88-6 de la Constitution. Nous examinons uniquement la proposition de règlement relatif à la protection des données à caractère personnel présentée par la Commission européenne le 25 janvier 2012, que nous a exposée Mme Reding lors de sa récente audition, et non pas la proposition de directive qu'elle présente également.

Ce règlement, qui remplacerait la directive du 24 octobre 1995, a pour objectif d'instaurer un climat de confiance dans l'environnement en ligne, essentiel selon la Commission, au développement économique. Ce texte suscite des interrogations au regard du principe de subsidiarité sur trois points.

Tout d'abord, la Commission européenne a fait le choix de proposer un règlement pour remplacer la directive de 1995, afin d'assurer une plus grande homogénéité au sein de l'Union. Or notre pays a adopté de longue date des dispositions pour protéger les données personnelles : la grande loi Informatique et libertés remonte à 1978 - notre législation a très largement inspiré la directive de 1995. Précisément, la proposition de règlement se montre moins exigeante que notre droit national pour les responsables de traitement. Puisqu'il s'agit d'un règlement, nous ne pourrons maintenir nos dispositions lorsqu'elles sont plus protectrices. S'agissant des droits des citoyens, il serait plus conforme au principe de subsidiarité de pouvoir garder nos dispositions plus protectrices, aussi longtemps que la législation européenne ne donnera pas toutes les garanties dont nous bénéficions aujourd'hui - nous retrouvons le débat qu'a illustré le rapport d'Alain Richard.

Ensuite, il faut préserver le rôle des autorités de contrôle. Les textes nécessaires n'étant pas aboutis, de nombreux points ne sont pas traités. La proposition de règlement renvoie à cinquante reprises à des actes délégués ou à des actes d'exécution que la Commission européenne prendrait seule. Des questions essentielles sont concernées, comme le droit à l'oubli numérique. On peut y voir une concentration excessive du pouvoir de décision entre les mains de la Commission européenne. Non seulement certaines questions devraient plutôt être réglées directement par le législateur européen - Parlement et Conseil -, mais elles pourraient l'être, dans certains cas, ce qui met en cause la subsidiarité, par les autorités de contrôle des États membres, éventuellement regroupées au niveau européen. La rapidité des évolutions technologiques requiert une capacité d'adaptation permanente. Nos autorités de contrôle nationales sont réactives. Elles ont su coordonner leur action au sein du G29. Elles paraissent mieux placées que la Commission européenne pour appréhender les défis technologiques.

Enfin, la proposition de règlement retient la compétence d'une seule autorité de contrôle, celle du principal établissement du responsable de traitement. Ce guichet unique éloigne la décision du citoyen.

Quand un citoyen soulèvera un problème le concernant, la décision pourra être renvoyée à l'autorité de contrôle d'un autre pays. Ainsi, pour un Français en litige avec Facebook, c'est l'autorité de contrôle irlandaise qui tranchera. Les moyens de l'autorité compétente pour un pays de 4,6 millions d'habitants ne sont peut-être pas adaptés au traitement des saisines potentielles de centaines de millions de citoyens européens ! Une gestion de proximité serait plus pertinente et mieux à même d'enraciner la construction européenne dans l'opinion publique. Il serait préférable de poser la compétence de l'autorité de contrôle de l'État membre où réside le plaignant, comme c'est le cas en droit de la consommation. Dessaisir l'autorité de contrôle nationale, c'est éloigner la décision du citoyen, à rebours du principe de subsidiarité, le seul qui nous importe ce matin, puisque nous examinerons le fond jeudi prochain, qui a fait hier l'objet d'un débat très intéressant et d'un vote quasi unanime de la commission des lois.

M. Alain Richard. - Il pourrait être plus convaincant, au titre de la subsidiarité, de donner aux personnes le choix entre leur autorité nationale et l'autorité découlant du nouveau règlement.

M. Simon Sutour, président. - C'est une proposition judicieuse, mais qui, à ce stade, n'aurait sans doute pas l'aval de la commission des lois.

*

La proposition suivante de résolution portant avis motivé est adoptée à l'unanimité :

Proposition de résolution européenne portant avis motivé

La proposition de règlement, d'applicabilité directe, tend à réduire la fragmentation juridique et à apporter une plus grande sécurité juridique, en instaurant un corps harmonisé de règles de base. Elle prévoit, dans de nombreux domaines, de conférer à la Commission européenne le pouvoir d'adopter des actes délégués conformément à l'article 290 du traité sur le fonctionnement de l'Union européenne. Afin de garantir des conditions uniformes pour sa mise en oeuvre, elle confie à la Commission des compétences d'exécution. Son article 51 met en place un système de « guichet unique » qui confie la compétence pour contrôler les activités du responsable de traitement ou du sous-traitant établi dans plusieurs États membres à l'autorité de contrôle de l'État membre où se situe le principal établissement dudit responsable ou du sous-traitant.

Vu l'article 88-6 de la Constitution,

Le Sénat fait les observations suivantes :

- l'article 5 du traité sur l'Union européenne prévoit que l'Union ne peut intervenir, en vertu du principe de subsidiarité, que « si, et dans la mesure où, les objectifs de l'action envisagée ne peuvent pas être atteints de manière suffisante par les États membres, mais peuvent l'être mieux, en raison des dimensions ou des effets de l'action envisagée, au niveau de l'Union » ; cela implique d'examiner non seulement si l'objectif de l'action envisagée peut être mieux réalisé au niveau communautaire, mais également si l'intensité de l'action entreprise n'excède pas la mesure nécessaire pour atteindre l'objectif que cette action vise à réaliser ;

- dans un domaine touchant directement aux droits des citoyens, la proposition de règlement ne doit pas priver les États membres de la possibilité de maintenir transitoirement des dispositions nationales plus protectrices de manière à ce que l'harmonisation européenne ne puisse aboutir à une diminution des garanties ;

- le très grand nombre de délégations accordée à la Commission européenne, en sus de ses compétences d'exécution, tend à excéder la nature même d'un acte délégué au regard des dispositions de l'article 290 du traité sur le fonctionnement de l'Union européenne ; un certain nombre d'entre elles, par exemple celles prévues pour le droit à l'oubli numérique, devraient être réglées directement par le législateur européen ; d'autres pourraient relever des autorités de contrôle nationales ou de leur regroupement au niveau européen ;

- le dispositif du « guichet unique » prévu par l'article 51 de la proposition de règlement priverait les personnes concernées de la possibilité de voir l'ensemble de leurs plaintes instruites par leur autorité de contrôle nationale, et serait, pour les plaignants, source d'une grande complexité en raison de l'asymétrie entre les recours administratifs exercés auprès de l'autorité étrangère et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ; pour assurer le respect du principe de subsidiarité, il conviendrait de privilégier une procédure permettant aux personnes concernées de s'adresser à l'autorité de contrôle de l'État membre où elles résident.

Le Sénat estime donc que l'article 51 de la proposition de règlement ainsi que les dispositions de celle-ci concernant des actes délégués et d'exécution ne respectent pas, en l'état, le principe de subsidiarité.


Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 01/02/2012
La commission des lois s'est saisie de ce texte le 08/02/2012
 et a adopté la proposition de résolution n° 406 (2011-2012): voir le dossier législatif

Justice et affaires intérieures

Texte E 7055

Rapport pour avis de M. Simon Sutour sur la proposition de résolution relative à la protection des données personnelles

COM (2012) 11 final

(Réunion du jeudi 1er mars 2012)

M. Simon Sutour, président. - Le premier thème à notre ordre du jour concerne une résolution sur la proposition de règlement européen relatif à la protection des données personnelles. Nous examinerons ce sujet en appliquant pour la première fois la disposition de notre Règlement qui nous permet, en cas d'examen d'une proposition de résolution en séance publique, de nous saisir pour avis. La commission des lois et la nôtre ont en effet demandé conjointement qu'un débat en séance publique confère une plus grande solennité à cette résolution européenne, dont je serai rapporteur au titre de la commission des lois et rapporteur pour avis au titre de la commission des affaires européennes.

La commission des lois a adopté hier une proposition de résolution européenne portant sur le projet de règlement relatif à la protection des données personnelles.

Nous avons entendu Mme Viviane Reding le 21 février ; le débat en séance publique au Sénat se déroulera le 6 mars. Je rappelle que nous avons formulé le 23 février un avis motivé sur la subsidiarité.

À propos de la protection des données personnelles, la commission des lois a fait jouer la priorité dont disposent les commissions permanentes, mais nous nous sommes saisis pour avis et vous m'avez désigné pour exprimer le point de vue de notre commission.

La Commission de Bruxelles a présenté deux textes : une proposition de règlement portant sur les fichiers privés commerciaux et une proposition de directive sur les fichiers de souveraineté. Dans les deux cas, la procédure ordinaire de codécision associant le Conseil et le Parlement européen sera mise en oeuvre.

La proposition de résolution que nous examinons aujourd'hui porte exclusivement sur le règlement sur les fichiers privés commerciaux : nous examinerons ultérieurement la directive sur les fichiers de souveraineté.

Actuellement en vigueur, la directive du 24 octobre 1995 a fixé des principes importants pour la protection des données personnelles, largement inspirés par la loi « informatique et liberté » du 6 janvier 1978.

Le G 29, ou « groupe de l'article 29 » créé en application de l'article 29 de cette directive, regroupe les CNIL des États membres.

Il reste que cette directive a été adoptée avant l'essor d'Internet. Ses objectifs demeurent valables, mais ses dispositions ne sont adaptées ni à la rapidité de l'évolution technique, ni à la mondialisation. Internet, notamment les réseaux sociaux, jouent aujourd'hui un rôle prépondérant dans la collecte de données individuelles.

Je tiens à souligner que nos collègues Mme Escoffier et M. Détraigne avait clairement analysé ces nouveaux défis dans le rapport présenté le 27 mai 2009 au nom de la commission des lois, intitulé « La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information ».

Le nouveau projet de règlement tend à réduire la fragmentation juridique par la création d'un corps harmonisé des règles de base, puisqu'un règlement est d'application directe dans les États membres. La commission des lois s'en est saisie au fond à juste titre, puisque, par nature, le règlement ne donne lieu à aucune transposition. Au demeurant, les directives sont de plus en plus souvent transposées hors du champ parlementaire, ce que nous pouvons tous déplorer...

Sur le fond, la proposition de règlement améliore considérablement la protection des personnes. Je citerai notamment l'accord exprès de l'intéressé pour le recueil des informations personnelles, le droit d'opposition reconnu à chacun au traitement des données le concernant, l'interdiction du profilage informatique et la consécration d'un droit à l'oubli numérique. Ce texte comporte aussi des dispositions spécifiques à la gestion des fichiers, qui devront faire l'objet d'une étude d'impact et dont le transfert hors Union européenne sera réglementé. J'ajoute que les entreprises employant plus de 250 salariés devront respecter de nouvelles obligations. Dans le même esprit, je relève la création d'un comité européen pour la protection des données.

Ces propositions sont positives. Certaines sont déjà en vigueur dans notre droit national ; d'autres correspondent à des évolutions attendues, comme celles inscrites dans la proposition de loi présentée par M. Détraigne après son rapport et votée à l'unanimité par le Sénat, mais jamais discutée à l'Assemblée nationale.

Cependant, la proposition de résolution demande que l'on aille plus loin sur certains points, comme le droit à l'oubli numérique ou le régime des moteurs de recherche.

Surtout, la proposition de règlement comporte trois difficultés. La première concerne la marge laissée aux États membres dont les dispositions actuelles sont plus protectrices. Sur ce point, Mme Reding a été explicitement négative. Mais pouvons-nous accepter qu'en élevant la protection moyenne apportée aux citoyens européens, le règlement porte atteinte au régime dont bénéficient les citoyens actuellement les plus protégés ? L'interrogation est particulièrement sensible en France, pays pionnier pour la protection des données. Pour cette raison, la proposition de résolution demande que le règlement soit appliqué sans préjudice pour les États membres de la faculté de conserver des dispositions plus protectrices. En effet, le règlement peut disposer dès sa publication que les standards accrus sont maintenus. Par la suite, il sera trop tard. Concrètement, la première solution envisageable consisterait à instituer une harmonisation « par le haut », mais cela imposerait à certains pays une évolution particulièrement rapide. L'autre moyen juridique consiste à introduire dans le règlement une clause spécifique autorisant les États membres à conserver les dispositions plus protectrices de leur législation.

La deuxième difficulté tient au renvoi extrêmement fréquent à des actes de la Commission de Bruxelles, qui serait donc investie d'un vaste pouvoir de législation déléguée. Vis-à-vis des actes délégués, le Conseil ne dispose que d'un droit d'opposition à la majorité qualifiée, le Parlement européen pouvant de son côté s'opposer à la majorité absolue de ses membres. Ainsi, quoi qu'en disent Mme Reding, la Commission européenne disposerait en pratique d'un pouvoir considérable.

La troisième difficulté est celle qui a le plus focalisé l'attention de la Cnil, qui a fourni un grand travail pour informer les parlementaires : c'est le guichet unique, confiant le traitement de toutes les réclamations au pays où se trouve le principal établissement de l'entreprise visée par une plainte. L'exemple le plus extrême est celui de Facebook, installé en Irlande : ce pays ne compte que 4,6 millions d'habitants, mais sa Cnil devrait traiter un contentieux qui pourrait potentiellement concerner des centaines de millions d'habitants ! Notre Cnil serait réduite au statut de boîtes aux lettres. L'objectif avoué de ce dispositif est de faciliter les démarches des entreprises. Cet objectif ne me gêne pas, mais je veux faciliter surtout la vie de nos concitoyens, qu'il serait paradoxal de traiter moins bien que les entreprises. Avec ce règlement, les citoyens seraient privés du droit de voir leurs requêtes traitées par l'autorité la plus proche, celle-ci ne pouvant appliquer le droit le plus protecteur.

Nous ne faisons que réclamer l'application des règles de compétence qui ont été retenues pour le droit de la consommation. Je propose que notre commission approuve ce texte élaboré par la commission des lois, à l'unanimité moins une abstention. Notre résolution sur la subsidiarité a d'ailleurs été elle aussi adoptée à l'unanimité moins une voix par la commission des lois.

M. Alain Richard. - J'approuve le projet de résolution. Il faut explicitement autoriser dans le règlement les États membres à conserver des protections supplémentaires. À défaut, la charge différenciée induite par la spécificité du droit national pourrait motiver des actions fondées en discrimination. J'observe par ailleurs que le critère des 250 salariés n'est pas pertinent pour imposer la création d'un délégué à la protection des données, car une entreprise peut être très active dans ce domaine du traitement des données avec une dizaine de salariés, dès lors qu'elle intervient comme sous-traitant. Il vaudrait donc mieux se fonder sur le chiffre d'affaires procuré par la commercialisation des données.

M. Éric Bocquet. - Le rôle des Cnil nationales est marqué par une très grande hétérogénéité. L'Union européenne a-t-elle formulé des recommandations minimum ?

M. Simon Sutour, président. - Ce sujet est abordé par la proposition de règlement, qui organise un regroupement des autorités de contrôle déjà d'ailleurs largement réalisé en pratique. Elle sera ensuite débattue par le Parlement européen, la version finale résultant d'une codécision avec le Conseil de l'Union européenne. Selon le secrétariat général aux affaires européennes, le processus pourrait prendre deux ou trois ans, alors que Mme Reding pense à quelques mois ou un an. Une chose est certaine : le débat ne sera pas conclu demain. Ce n'est donc sans doute pas la dernière fois que nous abordons cette question. En tout état de cause, nous devrons encore nous prononcer sur la proposition de directive concernant les fichiers de souveraineté. Au demeurant, le texte du règlement va évoluer au cours du débat au Parlement européen. Malheureusement, la France est isolée, car ses dispositions actuelles sont en pointe. L'harmonisation européenne est une bonne chose en son principe, mais elle peut aussi tirer vers le bas... Enfin, je rappelle que le but de notre proposition n'est pas de réécrire le projet de règlement. Il va évoluer beaucoup dans les négociations. Nous devons affirmer des principes.

M. Alain Richard. - Certes, mais le pouvoir de recommandation reconnu aux parlements nationaux les autorise à mettre en avant certains sujets.

M. Simon Sutour, président. - S'agissant de votre suggestion relative aux entreprises concernées, le point 18 de la résolution vous donne en partie satisfaction.

M. Alain Richard. - Il serait plus cohérent de s'en tenir au volume des données traitées.

M. Éric Bocquet. - Les entreprises concernées ont-elles demandé le guichet unique ?

M. Simon Sutour, président. - Le directeur des affaires juridiques de Microsoft m'a dit qu'il lui serait plus simple d'avoir, à l'avenir, un seul interlocuteur au lieu des 27 Cnil actuelles.

Mlle Sophie Joissains. - D'autant que la Cnil irlandaise n'est probablement pas équipée pour ce faire !

M. Alain Richard. - Ce projet de règlement lui imposerait une charge disproportionnée.

*

La commission émet un avis favorable à la proposition de résolution européenne suivante, issue des travaux de la commission des lois (rapport n° 446).

Proposition de résolution européenne

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu l'article 2 de la Déclaration des droits de l'Homme et du citoyen,

Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,

Vu la charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel,

Vu la proposition de loi de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 81, 2009-2010) visant à mieux garantir le droit à la vie privée à l'heure du numérique, adoptée par le Sénat le 23 mars 2010,

Vu le rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier (n° 441, 2008-2009) au nom de la commission des lois du Sénat sur « La vie privée à l'heure des mémoires numériques : pour une confiance renforcée entre citoyens et société de l'information »,

Vu la proposition de règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (COM (2012) 11 final/n° E 7055) en date du 27 janvier 2012,

Approuve l'objectif poursuivi par la Commission européenne, en ce qu'elle souhaite promouvoir une approche globale de la protection des données personnelles, qui repose sur une harmonisation des règles applicables sur le territoire de l'Union européenne et dans les relations entre les États membres et les pays tiers ;

Prend acte des avancées que porte la proposition de règlement s'agissant, entre autres, de la promotion du droit à l'oubli numérique, de la consécration du principe du consentement exprès à l'utilisation des données personnelles, de l'obligation de portabilité des données personnelles, qui permettra à une personne de s'affranchir d'un responsable de traitement sans perdre l'usage de ses données, des limitations apportées aux possibilités de profilage à partir de ses données personnelles, de la présence obligatoire d'un délégué à la protection des données dans les entreprises de plus de 250 salariés ou de l'encadrement, notamment par des règles d'entreprise contraignantes, des transferts internationaux de données ;

Estime, toutefois, que ces garanties doivent être renforcées ;

En particulier :

Appelle, s'agissant du droit à l'oubli, à ce que les obligations pesant sur les moteurs de recherche soient renforcées afin, d'une part, de prévoir l'effacement automatique des contenus indexés au bout d'un délai maximum, et, d'autre part, de permettre à l'intéressé d'obtenir la désindexation de ceux qui lui portent préjudice ;

Juge nécessaire qu'une solution équilibrée soit proposée pour obtenir, sur demande de l'intéressé, l'effacement des données personnelles publiées par un tiers, dans le respect de la liberté d'expression ;

Souligne la nécessité que l'adresse IP (Internet Protocol) soit traitée comme une donnée personnelle lorsqu'elle est utilisée pour identifier la personne concernée ;

Estime inopportunes les dérogations aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données, s'agissant notamment des transferts ni fréquents ni massifs ;

Considère que l'obligation de désignation d'un délégué à la protection des données pourrait être étendue aux entreprises dont la principale activité est celle du traitement de données personnelles ;

Estime en outre, de manière générale, que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable et compte tenu de l'inégalité de moyens entre le responsable de traitement et l'intéressé qui lui a confié ses données personnelles, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes ; qu'elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;

Conteste par ailleurs le nombre important d'actes délégués et d'actes d'exécution que la proposition de règlement attribue à la compétence de la Commission européenne, alors qu'un certain nombre pourraient relever soit de dispositions législatives européennes ou nationales, soit, compte tenu de leur complexité technique, d'une procédure qui associe plus fortement les autorités de contrôle nationales, regroupées au niveau européen ;

Juge l'encadrement des pouvoirs d'investigation des autorités de contrôle nationales trop restrictif, notamment l'exigence, pour engager une enquête, d'un « motif raisonnable » de supposer qu'un responsable de traitement exerce une activité contraire aux dispositions du règlement. En effet, les formalités préalables pesant sur les responsables de traitement étant supprimées, ces investigations constituent, dans le dispositif proposé, la principale source d'information de ces autorités sur la mise en oeuvre des traitements ;

S'oppose, enfin, au dispositif du « guichet unique » proposé par la Commission européenne, en ce qu'il attribue compétence pour instruire les requêtes des citoyens européens à l'autorité de contrôle du pays dans lequel le responsable de traitement en cause a son principal établissement ;

Considère en effet, qu'il est paradoxal que le citoyen soit moins bien traité que l'entreprise responsable du traitement, en étant privé de la possibilité de voir l'ensemble de ses plaintes instruites par l'autorité de contrôle de son propre pays ;

Rappelle, à cet égard, que, lorsqu'il s'agit d'assurer la meilleure protection du citoyen et son droit à un recours effectif, il convient, comme en matière de consommation, de privilégier la solution permettant à l'intéressé de s'adresser à l'autorité la plus proche de lui et auprès de laquelle il a l'habitude d'accomplir ses démarches ;

Constate que le dispositif proposé présente, en dehors de cette question de principe, de multiples inconvénients pratiques :

- risque de disproportion entre les moyens alloués à l'autorité de contrôle en considération des contentieux relatifs à ses ressortissants et l'ampleur du contentieux international qu'elle pourrait être appelée à traiter ;

- asymétrie, pour le plaignant, entre les recours administratifs, exercés auprès de l'autorité étrangère, et les recours juridictionnels contre le responsable de traitement, portés devant le juge national ;

Relève que ni les mécanismes de cohérence ou de coordination entre les autorités, ni la possibilité offerte au plaignant d'adresser sa plainte à son autorité nationale, à charge pour celle-ci de la transmettre à l'autorité compétente, ne compensent les inconvénients du dispositif, ni le désavantage pour l'intéressé de ne pouvoir faire instruire sa demande par l'autorité de contrôle nationale ;

Demande, par conséquent, au Gouvernement de veiller, d'une part, à ce que la possibilité pour les États membres d'adopter des mesures plus protectrices des données personnelles soit préservée, et, d'autre part, à ce que le principe de la compétence de l'autorité de contrôle du pays où le responsable de traitement a son principal établissement soit abandonné au profit du maintien de la compétence de l'autorité de contrôle du pays de résidence de l'intéressé.