Une fois par an, les autorités de protection des données personnelles réunies dans le GPEN (Global Privacy Enforcement Network) réalisent une étude baptisée « Sweep ». Pour la France, le contributeur est la CNIL. En 2017, l'étude portait sur les sites web. L'édition 2018 se consacre aux sous-traitants informatiques dont le rôle est désormais reconnu par la réglementation au travers des dispositions dédiées du RGPD. Les sous-traitants respectent-ils leurs nouvelles obligations issues du RGPD ? Globalement, le résultat est plutôt positif, même s'il existe des marges de progression.

Ainsi, l'étude de leur situation juridique (sous-traitant ou co-traitant) et de la nécessité ou non de nommer un DPO a bien été menée dans la grande majorité des cas. La diffusion de la culture de la donnée et de sa protection au sein des collaborateurs est également menée de manière ambitieuse, allant d'abondantes documentations à des sessions de formation. Enfin, l'introduction de la protection des données dès la conception des projets commence à être effective.

A l'inverse, il reste des sous-traitants qui n'ont aucune procédure formelle pré-établie si jamais survient un incident de sécurité sur les données personnelles. De même, les analyses d'impact sur la protection des données (AIPD) ou les procédures de réponse à l'exercice des droits des personnes sont rarement définies. Enfin, au niveau mondial, le contrôle interne est globalement déficient.