Les contrats conclus avec les sous-traitants doivent comporter des clauses spécifiques, au regard des règles applicables sur le RGPD.
Les conditions de restitution et de destruction des données doivent être clairement établies.
S’assurer de la réalité et de l’efficience des garanties prévues dans le contrat comme les visites impromptues ou des audits de sécurité, sur lesquels le sous-traitant ne peut pas s’opposer.