Afin de conserver son caractère encadrant, le texte du RGPD ne fournit pas de réponse précise à cette question. Il laisse même une latitude importante à l'interprétation, puisqu'il estime que les garanties dépendent« de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, ...»
Le bon réflexe est de revenir à l'esprit du législateur européen et à son approche par les risques. Et plus simple encore, pourquoi ne pas se poser la question du « comme si » : si nous étions ce sous-traitant et non plus le responsable de traitement, quelles seraient les mesures que je proposerais pour encadrer le traitement ? Le bon sens, en tant que responsable de traitement, est d'imposer à ses sous-traitants les principes qu'il s'applique à lui-même. Je me reporterais à ma propre critérologie encadrant la conformité des traitements au sein de ma structure. Si je suis sous-traitant, j'emploierai la même méthodologie en l'appliquant systématiquement aux traitements qui me sont sous-traités.