- Analyser les spécificités de l'organisation en identifiant les rôles et responsabilités des parties prenantes, les activités, l'écosystème, les besoins afin de déterminer le cadre réglementaire et légal applicable en matière de protection des données (RGPD) et les sources (personnes, services) de traitements de données au sein de l'organisation.

- Analyser le système d'information (SI) existant au sein de la structure dans son intégralité, selon une méthode d’analyse adaptée et en établissant une cartographie, afin d’établir un diagnostic sur le système étudié.

- Effectuer une veille continue sectorielle, technologique, légale et réglementaire sur la protection des données en s’appuyant sur un processus organisé et en mobilisant des outils de veille et des sources d’informations fiables et diversifiées afin de pouvoir mesurer la conformité des processus de traitement des données de l’organisation et réaliser un audit de conformité.

-Réaliser un audit des mesures de sécurité des données existantes en réalisant des enquêtes et interviews et en analysant la base documentaire disponible afin de mettre en évidence les dysfonctionnement éventuels ou anomalies du SI existant.

- Rédiger un rapport d’audit de conformité comprenant les objectifs de l’audit, le périmètre, la méthodologie, les résultats et les constats effectués afin d’identifier des écarts mineurs ou majeurs en vue d’apporter des corrections et d’assurer une mise en conformité.

- Rédiger un rapport d’évaluation des risques en les classifiant en fonction de leur degré gravité et de leur impact, en décrivant les scénarios potentiels en cas d’incident de sécurité et en proposant des mesures pour réduire ou éliminer ces risques afin de détailler les risques identifiés lors de l’audit et permettre de déterminer les impacts des non-conformités relevés.

- Réaliser la matrice de conformité en listant les exigences légales et réglementaires, en évaluant le niveau de conformité et en indiquant les écarts identifiés afin de cartographier la conformité de l’organisation par rapport aux exigences réglementaires.

- Réaliser un rapport de tests techniques en résumant les tests mis en œuvre en collaboration avec le Responsable de la Sécurité du Système d’Information (RSSI) (tests d’intrusions, test de vulnérabilité, audit des systèmes de sécurité) et le résultat des tests afin de permettre d’établir des recommandations techniques et de définir le calendrier de remédiation associé.

- Proposer un plan d’actions correctives en décrivant les actions à entreprendre, les responsables des actions, le calendrier de mise en œuvre et les indicateurs de succès afin de définir les mesures à mettre en œuvre pour remédier aux non-conformités.

- Piloter le projet de mise en conformité règlementaire (accountability, RGPD et conformité RIA) en ayant au préalable constitué une équipe projet adaptée, et ce en tenant compte des spécificités de son équipe, notamment des personnes en situation de handicap, afin de s’assurer de la bonne mise en œuvre du projet et du respect du cadre organisationnel.

- Allotir le projet en déterminant les actions spécifiques en décomposant le projet en grandes séquences et en tenant compte des contraintes de délais, de coûts et de moyens afin de pouvoir ordonner les activités, les prioriser et formaliser une feuille de route (roadmap) ou un planning objectivé.

- Cartographier les traitements et les flux de données en indiquant leur origine et la destination des données, en établissant le registre obligatoire de traitement des données, afin d’identifier les données traitées et les bases légales et réglementaires.

- Repérer les risques liés aux traitements et au transfert de données (UE et Hors UE) en s’appuyant sur le registre de traitements des données et en supervisant ou réalisant les analyses d'impact sur la protection des données (AIPD) afin de garantir la conformité au RGPD et faciliter la prise de décisions éclairées sur la mise en œuvre ou la modification de certains traitements.

- Cartographier les systèmes d’IA en établissant une liste exhaustive de tous les systèmes d’IA internes et externes utilisés dans l’organisation (registre IA) afin d’identifier la réglementation applicable et la vigilance à prévoir dans le cadre du traitement des données.

- Classifier les systèmes d’IA par niveau de risque sur la base des critères définis par la RIA, en identifiant les systèmes d’IA nécessitant une attention particulière pour garantir la sécurité des données personnelles utilisées et le cas échéant, en extraire des bonnes pratiques à transmettre aux équipes.

- Établir la liste des actions prioritaires selon les risques et niveaux de risques associés en s’appuyant sur le registre des systèmes d’IA afin de rendre ses traitements conformes au RIA.

- Établir les enjeux techniques, juridiques, financiers et éthiques de l’organisation en faisant le lien avec les différents services, afin d’assurer la cohérence des propositions d’actions avec la stratégie de l’organisation en matière de protection des données.

- Concevoir une campagne de sensibilisation des équipes en réalisant des présentations accessibles, notamment aux personnes en situation de handicap, visuelles et synthétiques afin d’informer l’ensemble des collaborateurs et de partager les principes d’équité, de transparence, de protection des droits notamment dans les systèmes d’IA et d’initier une réflexion globale sur la protection des données à caractère personnel dans la structure.

- Animer une action de formation auprès des publics cibles en s’appuyant sur des contenus thématiques adaptés, notamment aux personnes en situation de handicap, afin de les guider dans l’appropriation des procédures et bonnes pratiques en matière de RGPD et de protection des données.

- Réaliser des actions de communication internes en élaborant des documents à destination des équipes pour que l’ensemble de collaborateurs l’identifient, comprennent son rôle dans l’organisation et puissent faire appel à lui et pour impliquer les collaborateurs dans la réussite des futurs plans d’actions.

- Participer à la création et à la révision des politiques de confidentialité et des procédures de gestion des données en collaborant avec la direction générale, le responsable de la sécurité des systèmes d’information, le responsable juridique et les responsables métiers afin de garantir l’efficacité et la régularité des mesures prises par l’organisation.

- Gérer le système documentaire de la gestion des données personnelles en collaborant avec le responsable qualité et en utilisant les outils de stockages adaptés (cloud, outils de GED…) afin de disposer des documents et des preuves nécessaires aux audits externes relatifs à la protection des données.

- Rédiger une procédure interne en prévision du contrôle de la CNIL en listant les modalités d'accueil, les personnes à prévenir et les informations à obtenir et en la diffusant aux parties prenantes afin de s’assurer que l’organisation est prête à accueillir un audit externe de l’institution.

- Déployer les mesures de sécurité applicatives et système en proposant des solutions techniques innovantes pour le système d'information en collaboration avec le responsable de la sécurité du SI (RSSI) de l’organisation afin de traiter chaque risque de façon spécifique et ainsi garantir la conformité règlementaire.

- Réaliser des tests réguliers de robustesse et d’équité en évaluant les systèmes d’IA utilisés dans l’organisation, en collaboration avec les équipes de développement, afin d’identifier et corriger les biais potentiels et de s’assurer que les modèles d’IA sont équitables et non discriminatoires.

- Gérer les signalements, les demandes d'accès, de rectification, d'effacement ou de portabilité des données personnelles conformément au RGPD, en proposant un formulaire dédié et en mobilisant des canaux de communication adaptés, notamment aux personnes en situation de handicap, afin de s’assurer que les réponses aux demandes sont fournies dans le respect des contraintes réglementaires.

- Déployer un registre de traitement de données personnelles, en collaborant avec les services de l’organisation qui traitent des données personnelles, afin de recenser de façon précise et documenter les différents traitements de données personnelles de l’organisation et de le transmettre, le cas échéant, à la CNIL.

- Déterminer la nature des incidents et l’étendue des violations en recueillant les signalements internes et/ou externes, en identifiant les données concernées et en réalisant des enquêtes préliminaires auprès des équipes techniques afin de documenter l’incident (recueillir des preuves) et d’adapter les actions correctives à mettre en place.

- Évaluer les dommages causés par les incidents en identifiant les données compromises, la durée d’exposition, le type de données, le volume de données afin de déterminer l’impact pour les parties prenantes concernées (fraude, usurpation d’identité, atteinte à la vie privée …) et pour l’organisation.

- Évaluer les conséquences juridiques, financières et réputationnelles des incidents en se référant au cadre réglementaire et légal et en collaboration avec la direction juridique et financière de l’organisation afin d’estimer les risques de sanctions pour l’organisation et de réaliser le cas échéant une communication appropriée avec la direction de la communication de l’organisation.

- Déployer les mesures correctives de sécurité, applicatives et système, en collaboration avec le responsable de la sécurité du SI (RSSI) (isoler les systèmes compromis, suspendre les accès, restaurer des sauvegardes …) afin de contenir les incidents et en tirer parti en termes d’usages à venir.