1. Cartographier les traitements de données à caractère personnel en précisant la base juridique du traitement (licéité), les catégories de données (minimisation des données), les durées de conservation des données (limitation des durée), les moyens de sécurité (sécurité et confidentialité) etc. afin de compléter le registre des activités de traitement. 2. Cartographier les traitements de données à caractère personnel relatifs aux différents services (ressources humaines, paie, informatique, relation client etc.) en déterminant les mesures appropriées et le contenu de l'information à fournir aux personnes concernées afin de garantir le respect des principes de loyauté et de transparence. 3. Gérer les relations avec les autorités de contrôle, en répondant à leurs sollicitations et en facilitant leur action (instruction des plaintes et contrôles en particulier) afin de permettre aux responsables de traitement de se mettre en conformité dans le cadre d’une feuille de route réaliste. 4. Identifier l'existence de transferts de données hors Union européenne et les instruments juridiques de transfert susceptibles d'être utilisés en s’appuyant sur la cartographie des traitements (et la documentation liée) afin de mettre en œuvre l’ingénierie contractuelle la plus pertinente et garantir l’information des personnes concernées. 5. Organiser et participer à des audits en matière de protection des données en utilisant un logiciel de tenue du Registre et de pilotage de la conformité, pour constituer l’inventaire de l’ensemble des traitements, élaborer un plan d’action et des feuilles de route opérationnelles. 6. Déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact en s’appuyant sur le logiciel open source PIA proposé par la CNIL, afin de garantir la sécurité des traitements présentant un risque élevé pour les droits et libertés des personnes concernées. 7. Dispenser des conseils en matière d'analyse d'impact relative à la protection des données (en particulier sur la méthodologie, l’éventuel sous-traitance, les mesures techniques et organisationnelles à adopter) afin de diffuser la méthodologie proposée par l’autorité de contrôle en matière d’analyse d’impact. 8. Gérer les demandes d'exercice des droits des personnes concernées à l’aide d’une procédure et de lettres types adaptées à l’exercice de différents droits (accès, opposition …) pour répondre aux dites personnes. 9. Élaborer et mettre en œuvre une politique ou des règles internes en matière de protection des données en s’appuyant sur le registre d'activités de traitement, ainsi que la documentation nécessaire, pour prouver la conformité à la réglementation en matière de protection des données. 10. Identifier des mesures de protection des données dès la conception et par défaut adaptées aux risques et à la nature des opérations de traitement, afin de garantir la sécurité et la confidentialité des dites données. 11. Identifier les violations de données personnelles nécessitant une notification à l'autorité de contrôle et celles nécessitant une communication aux personnes concernées, en s’appuyant sur les éléments factuels de l’incident afin de répondre aux obligations précitées.