ING Banque pour un Projet Bancassurance ING BANK NV & AXA
Fort d’une expérience significative dans le conseil et la protection des données, j’ai rejoint le groupe ING en 2019 comme DPO externe
puis comme DPO interne après avoir construit une base solide de 11 ans dans le conseil, 25 ans en tant que directeur des systèmes
d'information et chef de projet.
J’ai la charge de la coordination des sujets protection des données personnelles d’un projet Bancassurance international (France, Italie,
Allemagne, République Tchèque, Australie, Autriche) en partenariat entre le groupe ING et AXA.
Missions
Mise en conformité du projet à la règlementation sur le RGPD en coordination avec les DPO locaux, les équipes data, les départements
légaux. La rédaction des DPIA, l’accompagnement sur la définition des bases légales des nouveaux traitements, le conseil sur les solutions
de protection de données (contrôle d’accès RBAC/Audit/ Analyse des logs/Chiffrement/Pseudonimisation/Anonymisation/ Hashing )
En application de la règlementation sur la protection des données personnelles, du projet j’ai :
o Mis en place une roadmap en coordination avec les pays
o Organisé des meetings réguliers pour le suivi d’avancement des livrables avec les DPO/Départements légaux/ Équipes data/IT
Sec
o Organisé des meetings réguliers avec les équipes Risk/ITSEC s’agissant des IAM/Sécurité des assets/Chiffrement « at Rest et at
Transit », etc..
o Organisé des meetings réguliers pour le suivi d’avancement des livrables API/Data Analytics/Dev/DATA/Marketing
o BCP : Rédigé le scénario du test BCP et coordonné le test in situ du Business Continuity Plan (BCP) avec le déclenchement de la
cellule de crise. J’ai présenté les conclusions de ce test au siège de la banque.
o Présenté les points mensuels de suivi de projet RGPD en comité NFRC (Non Financial Risk Comitee)
o Mis en place un suivi de projet hebdomadaire à ma ligne fonctionnelle (COO) ainsi qu’au DPO du Siège
o Conseillé les équipes Achats/Légales/DPO/IT/IT SEC du siège d’un projet d’achat d’une solution de paiement en ligne pour le
groupe
o Participé à toutes les réunions groupe sur les sujets Fraude
o Rédigé le Fraud Management Plan du Projet
o Rédigé le Fraud Management Plan d’ING Luxembourg en animant toutes les réunions avec les équipes locales
o Documenté tous les nouveaux process analytiques
o Documenté toutes les API développées dans le cadre de ce partenariat
o Créé la base de registre
o Définis les bases légales de chacun des nouveaux traitements
o Conçu le registre d’incident
o Rédigé la procédure en cas de fuite ou perte de données personnelles
o Évalué et suivi les risques règlementaires s’agissant des données personnelles
J’ai par ailleurs délivré des formations RPGD spécifiques à nos collaborateurs notamment sur les cookies, mais également la procédure à
appliquer en cas de fuite ou perte de données
Enfin j’ai organisé avec les équipes DATA (data scientistes) plusieurs sessions sur les problématiques éthiques notamment s’agissant de
l’implémentation du machine learning.
Accompagn ement des organisations dans leur mise en conformité au règlement européen
sur la protection des données personnelles des expertises organisationnelles
et technologiques indispensables à une mise en œuvre opérationnelle.
MISE EN ŒUVRE DU RGPD :
•Accompagnement organisationnel du Comité RGPD,Rédaction des comptes rendus,Planning, Matrice RACI,Gestion des traitements, Droit d’effacement, Droit à l’oubli,
Archivage numérique, Archivage papier, Violation de données...
•Accompagnement du DPO dans la constitution de la documentions RGPD(Lettre de mission, Cartographie des risques, PSSI,
Matrice de responsabilité, Planning de sensibilisation des collaborateurs, PI
A, BCR etc.)
•Assistance au DPO en cas de contrôle de la CNIL
•DPO (Data Protection Officer) Externe certifié.
•Rédaction des procédures internes , de la politique externe/interne de protection des données
•Audit et inventaire des traitements des données à caractère personnel
(Licéité, limitation de la finalité, minimisation des données, limitation de la conservation, intégrité et confidentialité,cartographie des traitements et des données sensibles)
•Audit des sites web de conformité à la CNIL
•AMOA
-Conseils dans la mise en place de solutions de protection des données personnelles (Security by default)
•Direction de projet
-Intégration de solutions techniques :Gestion des registres de traitement avec workflow , Antivirus , Antis pam, Restauration, Archivage numérique,
Classification des données sensibles Formation et sensibilisation:En relais des services de l’ État (SISSE à Bercy),j’anime des conférences «EUCLES» de sensibilisation à la sécurité sur les risques et les menaces qui pèsent sur les entreprises
(Fuites ou perte de données , Phishing, Cryptolocker, Fraudes au président, Élicitation, Vol de données, Pertes de compétences clés, Protection du capital, Attaques sur l’image, Attaques de la réputation, Protection de la propriété intellectuelle (Brevets, enveloppes Soleau...)
Protection de l’E -réputation –protection de la marque :Mise en place de veille et d’analyse du web, des réseaux sociaux, des blogs afin de détecter les signaux faibles sur des attaques sur l’E -réputation ou la marque d’une organisation Intégration de logiciels de protection des données:
•Un EDR (EndPoint Detection & Response) basé sur l'intelligence artificielle qui détecte et stoppe immédiatement toute menace
connue,mais surtout inconnue
•Deux solutions de protection des données grâce à a classification.
•Une solution de gestion des documents de l'entreprise sécurisée (sauvegardes, échanges de données, BoardKnox)
•Un Anti -spam / Antivirus pour la messagerie professionnelle
•Une solution de chiffrement du poste de travail, des données au repos et en transit
•Un outil de réservation de salles / Way Finding /Afficheurs /lutte contre les réunions fantômes/Calcul du nombre de personnes dans une salle /ouverture automatisée des salles par SmartCard
ESTEL/MICA -RESEARCH (Région parisienne -Chine) , Un institut d’études de marché et de sondage d’opinion.
Management:
•Membre du comité de direction
•Gouvernance du SI
•Élaboration des tableaux de bord et du reporting
•Mise en place d’un management coopératif.
•Mise en place du « Juste à Temps »: «zéro papier », « zéro défaut »,«zéro délai»
•Gestion des équipes et gestion du planning. Garant du respect des délais.
•Définition des plans de formations
•Accompagnement des utilisateurs
•Conseil et assistance auprès des directions métiers
•Optimisation des infrastructures réseau
•Mise en place d’une organisation pour un service 24h/24 et 7j/7
•Gestion des prestataires externes: animation, suivi et pilotage (contrats, budgets)
•Partenariats avec les Universités Paris Descartes/Sorbonne/UTC pour l’intégration d’étudiants (stages/alternances)Sécurité/Sûreté:
•PCA/PRA:
Mise en place d’un plan de continuité/plan de reprise d’activité
✓Définition du périmètre
✓Identification des menaces
✓Analyse des contrôles en place
✓Analyse de la vraisemblance des scénarios
✓Mesure de contournement
✓Réalisation d’un BIA(Busines Analyse Impact) quantitatif
✓Catégorisation des applicatifs (Critiques/Essentiels/Supportables/Non essentiels)
✓Priorisation des fonctions critiques
✓Estimation du MTDT(Maximum Tolérable Down Time) et du RPO(Recovery Point Objective)
✓Estimation du RTO(Recovery Time Objective) et du WRT (Work recovery Time)
✓Mise en place d’un site de repli(«Warm Site»)/ Tests de simulation tous les ans
✓Documentations
•Mise en œuvre de la protection du système d’information: Chiffrement/Sécurisation des postes de travail/Sécurité
périmétrique/Rédaction d’une charte utilisateur/Contrôles des accès logiques et physiques
•Sensibilisation du personnel à la sécurité/Audit de la sécurité
•Sécurisation des données en transit lors de la restitution de résultats aux clients
•Mise en place d’une politique de sauvegarde/restauration/archivage des données «chaudes et froides»
Développement d’applicatifs métiers:
•Conception /développement/implémentation de nombreux applicatifs métiers
•Conception et réalisation d’un outil propriétaire d’analyses de données permettant l’industrialisation des traitements statistiques
•Programmation /Scripting de formulaires de saisie dans toutes les langues (scénarios complexes) avec affichage conditionnel de pages, des questions, affichage aléatoire de l’ordre de présentation des questions, exécution de scripts de calcul de scores, exécution de requêtes, masquage de zones, etc.
•Mise en place d’indicateurs de mesure de la qualité des véhicules automobiles produits dans le monde
Analyse de données/datamining :
•Traitements statistiques, analyse de données, tests de significativité, segmentations, pondération, Khi2...
•Analyses statistiques :Sondages d’opinion pour la Présidence de la République Française
•Analyses statistiques : Études d’observation sociale pour de grands groupes internationaux
•Analyses statistiques : Études de satisfaction internationales
•Analyses et production de rapports statistiques automatisés sur de grandes volumétries de données