Le contrôleur et le processeur de données sont tous deux soumis au Règlement Général sur la Protection des Données (RGPD), cependant leur rôle est différent. Le contrôleur de donnée détermine les finalités et les moyens de traitement des données personnelles. Il décide de la durée de conservation des données, de la manière de les utiliser, de l'endroit où les envoyer, du moment où les supprimer, etc. Il décide de la durée de conservation des données, de leur utilisation, de leur destination, de leur suppression, etc.
Le processeur de données agit pour le compte du contrôleur de données. Il reçoit les données d'un contrôleur et les "traite" selon les instructions de ce dernier. Le processeur (sous-traitant) n'a pas le droit d'utiliser ces données pour une autre raison.