L'institution de prévoyance ne doit pas conclure de contrat de traitement des données («Data Processing Agreement» ou «Controller to Processor Agreement») pour l'expert CP et l'organe de révision, étant donné qu'ils sont tous deux responsables (c.-à-d. qu'ils ne traitent pas les données sur mandat) selon la nLPD. L'institution de prévoyance doit plutôt convenir avec eux de ce que l'on appelle des «Controller to Controller Agreements» pour délimiter les responsabilités selon la nLPD. Cela n'exclut toutefois pas que l'expert de la CP exerce pour l'institution de prévoyance certaines activités pour lesquelles elle ou il joue le rôle de sous-traitant du point de vue de la protection des données. On peut penser à ce rôle par exemple lorsque l'institution de prévoyance dispose d'un pouvoir d'instruction concernant l'utilisation des données et décide quelles données personnelles sont mises à la disposition de l'expert de la CP et dans quel but.