Lorsqu’un traitement est effectué par un sous-traitant tel qu’un prestataire de service informatique ou un prestataire proposant un service impliquant de traiter les données pour le compte du responsable de traitement, celui-ci doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
Le guide du sous-traitant de la CNIL propose un exemple de clause de sous-traitance que les acteurs peuvent compléter en fonction de leur situation : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf