L'avant-projet vise à modifier l'actuelle loi APD, et le manque de moyens qui lui sont alloués.

Dans un communiqué évoquant l'avis qu'elle a également transmis en ce sens à la Cour des comptes, au Conseil d'Etat, ainsi qu'à la Commission européenne et ses homologues européens réunis au sein du Comité européen de protection des données, l'Autorité salue l'intention de l'avant-projet de renforcer l'APD et son comité de direction.

Mais elle conclut que l'avant-projet crée une nouvelle insécurité et des risques de procédures d'infraction, en raison, entre autres, de l'érosion des garanties pour son indépendance; un risque de paralysie, "alors que la plupart des organes fonctionnent correctement, surtout compte tenu du manque structurel de moyens"; et un affaiblissement des procédures légales au sein de l'Autorité, qui implique notamment des risques pour la mise en application de la loi.

L'autorité redoute aussi un contrôle renforcé par le Parlement, "alors que la loi actuelle va déjà au-delà de ce que le droit européen et international autorise, à savoir uniquement un contrôle des aspects financiers et un contrôle juridictionnel".

Selon l'APD, l'avant-projet instaure notamment une ingérence du Parlement dans son organisation interne et dans l'établissement de ses priorités. Il conditionne le renouvellement du mandat de ses directeurs à une évaluation positive de la Chambre, sans que les critères objectifs de celle-ci ne soient prévus par l'avant-projet. "Ce système pourrait conduire à une 'obéissance anticipée' à la Chambre. La Cour de justice européenne a déjà jugé que 'le seul risque' d'une influence politique suffit pour entraver l'exercice indépendant des missions des autorités de contrôle nationales".

Par ailleurs, l'APD a dit constater que ses demandes répétées pour des moyens humains et financiers supplémentaires, qui ont été motivées par la Cour des comptes et une étude externe, ont jusqu'à présent été largement rejetées. Elle a rappelé ainsi qu'elle ne disposait que de 45,9 gestionnaires de dossiers (ETP) pour effectuer les 21 missions différentes prévues par le Règlement Général de la Protection des Données, et que l'écart se creusait ainsi encore davantage par rapport à ses homologues européens.