Le RGPD impose que la sous-traitance d’un traitement de données personnelles soit encadrée formellement via un contrat (ou autre acte juridique contraignant) qui "définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement" (art. 28).
Il s’agit en effet d’une nouvelle logique de responsabilisation des acteurs de la protection, c’est-à-dire : le responsable du traitement des données personnelles (qui décide des objectifs et des moyens du traitement), d’une part, et le sous-traitant (qui agit sur les instructions du responsable), d’autre part. Pour rappel, cet article précise les mentions de base que doit prévoir le contrat, à chacun d’apprécier la granularité desdites mentions…