Contexte

Dans le cadre d’un projet stratégique de la Région de Bruxelles-Capitale, géré par Paradigm.brussels, nous recherchons un·e consultant·e Data Protection Officer (DPO) pour épauler le DPO de Paradigm/IRISteam. La mission vise à renforcer la conformité au RGPD et à sécuriser les traitements de données sur l’ensemble du cycle de vie du projet.

Rattachement : hiérarchique à la Direction du projet ; fonctionnel au DPO de Paradigm/IRISteam (contrôle de conformité)

Régime de travail : minimum 3 jours par semaine

Mission

Apporter une expertise opérationnelle et réglementaire pour co-piloter la conformité du projet (privacy by design/by default), assurer la documentation d’accountability et conseiller les équipes (métier, IT, sécurité, juridique, achats) en coordination étroite avec le DPO responsable.

Responsabilités clés

Gouvernance et conseil

• Appuyer le DPO responsable pour conseiller les équipes sur l’application du RGPD, de la loi belge du 30/07/2018 et des lignes directrices de l’APD.
• Intégrer la protection des données dans la gouvernance du projet (comités, décisions, jalons, change management).
• Veiller à l’absence de conflits d’intérêts et à l’indépendance de la fonction.

Cartographie et registres

• Mettre à jour le registre des activités de traitement et les notices d’information.
• Identifier les bases légales, durées de conservation, catégories de données et destinataires.

AIPD/DPIA (analyses de risques)

• Co-animer les analyses d’impact (AIPD/DPIA), définir les mesures de mitigation et en suivre la mise en œuvre avec les organismes publics responsables du traitement.
• Appuyer le DPO responsable pour valider les check-lists de déclenchement d’AIPD et la documentation « privacy by design ».

Contrats et sous-traitance

• Revoir/adapter les clauses de l’article 28 RGPD avec les sous-traitants, y compris les clauses contractuelles types (SCC) et, le cas échéant, les Transfer Impact Assessments (TIA) dûment documentés.
• Vérifier les engagements de sécurité et d’assistance à l’exercice des droits des personnes.

Droits des personnes et gestion des incidents de protection des données

• Optimiser les procédures d’exercice des droits (accès, rectification, effacement, opposition, portabilité).
• Établir des engagements de niveau de service (SLA) adaptés aux traitements.
• Contribuer à la gestion des violations de données : triage, notification éventuelle à l’APD et communication aux personnes concernées.

Sécurité et conservation

• Travailler de concert avec le CISO : mesures techniques et organisationnelles (art. 32), journalisation, chiffrement, tests.
• Définir et suivre la mise en œuvre des politiques de conservation et d’anonymisation/pseudonymisation.

Sensibilisation et audit

• Animer des sessions de sensibilisation ciblées pour les équipes projet et participer aux réunions avec les organismes publics responsables du traitement et leurs DPO.
• Préparer et assister aux audits internes/externes et aux demandes de l’Autorité de protection des données.

Livrables attendus

• Matrice des bases légales (incluant, le cas échéant, des tests de mise en balance documentés pour les intérêts légitimes).
• Assistance à la conduite des AIPD et élaboration des plans de traitement des risques.
• Révision des modèles contractuels (art. 28 RGPD, SCC) et TIA documentés.
• Procédures relatives aux droits des personnes (proposition et formalisation) assorties de SLA et KPI (p. ex. délais de réponse, taux de demandes complètes).
• Plan de conservation et tableaux d’effacement.
• Plan de sensibilisation et supports associés.
• Tableau de bord d’accountability à destination de la Direction du projet.
• Registre des activités de traitement à jour et fiches de traitement validées.

Informations additionnelles :

La mission peut être reconduite pour une durée maximale (durée initiale comprise) de : 880 jours ouvrables