4.1. Le responsable de traitement n'accède jamais aux données individuelles du SNDS et doit recourir, pour tous les traitements, à un laboratoire de recherche ou un bureau d'études indépendant, sous-traitant s'étant déclaré auprès de la CNIL conforme au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études, fixé par arrêté du 17 juillet 2017.
4.2. Cette obligation de recourir à un laboratoire de recherche et bureau d'études n'est pas applicable à ce dernier lorsqu'il agit en tant que responsable de traitement.
4.3. Conformément à cet arrêté et à l'article 28 du RGPD, les engagements respectifs du responsable de traitement et du laboratoire de recherche ou bureau d'études sont formalisés dans un contrat dont le contenu est défini par ces textes.
4.4. En outre, les sous-traitants :

- doivent désigner, le cas échéant, un délégué à la protection des données conformément à l'article 37 du RGPD ;
- doivent tenir un registre des catégories de traitements effectués pour le compte du responsable de traitement, conformément à l'article 30 du RGPD.

Le ou les responsables du traitement s'engagent à :

- ne pas avoir de liens d'intérêt avec le laboratoire de recherche ou le bureau d'études et l'objet du traitement de nature à constituer un conflit d'intérêts ;
- ne pas chercher à accéder aux données à caractère personnel mises à disposition du laboratoire de recherche ou du bureau d'études ;
- ne pas utiliser les résultats fournis pour l'une des finalités interdites.