La Commission souhaitait la mise sur pied d'un ensemble unique de règles protégeant l'utilisateur mais également une architecture imposant davantage d'obligations aux services qui collectent ces informations. « Les usagers doivent être informés de ce qui arrive à leurs données et être en mesure d'accepter le traitement des données en connaissance de cause, ou de le refuser » précise ainsi le rapporteur du projet.
Par exemple, il reprend l'argument selon lequel toute entreprise pourrait devoir, dans un délai de 24 heures, notifier à la Cnil du pays où son établissement principal se situe « les violations graves de données à caractère personnel ». De même, les utilisateurs devraient avoir un accès facilité aux données détenues par les services qui les collectent. Ils bénéficieraient en outre d'un droit à la portabilité de leurs informations.
Enfin, le droit à l'oubli serait renforcé et l'utilisateur d'un service pourrait demander à ce que des informations le concernant puissent être totalement effacées si son détenteur n'a aucun motif légitime de les conserver.
De son côté, Facebook a répondu à Reuters en expliquant craindre « que certains aspects du rapport ne favorisent pas le développement d'un marché numérique européen unique florissant ni l'innovation sur internet », explique Erika Mann, responsable de la politique européenne de Facebook. Le projet doit donc encore séduire avant d'être accepté de tous.