4.1. Lorsque le responsable de traitement fait appel à un ou des sous-traitants, il s'assure que ceux-ci présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD et de la loi « informatique et libertés » et garantisse la protection des droits de la personne concernée.
4.2. Un responsable de traitement peut notamment choisir comme sous-traitant un établissement de santé, une fédération hospitalière ou un laboratoire de recherche ou bureau d'études.
4.3. Le responsable de traitement établit avec le sous-traitant un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les exigences de l'article 28 du RGPD.
4.4. Par ailleurs, les sous-traitants :

- doivent désigner, le cas échéant, un délégué à la protection des données conformément à l'article 37 du RGPD ;
- doivent tenir un registre des catégories de traitements effectués pour le compte du responsable de traitement, conformément à l'article 30 du RGPD.