Isabelle GONTHIER IGO Conseil
Isabelle GONTHIER
Directrice Confiance Numérique / Digital Trust OfficerInformations
Réseaux Sociaux
Présentation IGO Conseil
Je suis Isabelle Gonthier, fondatrice d’IGO Conseil, cabinet expert en Confiance Numérique. Économiste actuaire de formation, j’ai conduit pendant vingt-cinq ans des programmes de conformité et de gouvernance des données pour de grands groupes bancaires et assurantiels — AXA, BPCE, Matmut, Coface, CCF, Rabobank — en dirigeant des équipes jusqu’à trente personnes et en interlocution directe avec les régulateurs (ACPR, CNIL).
Ce parcours m’a appris une chose : la conformité ne tient pas si elle n’est pas ancrée simultanément dans la réalité organisationnelle, dans la maîtrise technique des systèmes, et dans la lecture rigoureuse des textes réglementaires. C’est cette triple approche — gouvernance, cyber, réglementation — que j’ai formalisée dans IGO Conseil.
Certifiée DPO (référentiel CNIL), spécialisée en droit de la cybersécurité et du RGPD, qualifiée EBIOS RM et ISO 27001 Lead Implementer, et actuellement en formation sur la cybersécurité des projets IA à l’École Polytechnique Executive Education, j’interviens auprès de toute structure — TPE, PME, ETI, secteur public, organismes de formation — qui souhaite transformer ses obligations numériques en actifs de confiance.
Membre du CLUSIF et de l’AFCDP, Aidant Cyber ANSSI, j’exerce avec l’indépendance et la rigueur qu’exige la Confiance Numérique.
Confiance numérique : données personnelles, cyber et IA sous contrôle. Je transforme les risques du cyberespace en confiance opérationnelle.
Protection des données personnelles - DPO externe
La protection des données personnelles est une obligation légale pour tout organisme qui traite des données. Mais c’est aussi, bien conduite, un signal de sérieux et de maturité vis-à-vis de vos clients, partenaires et régulateurs.
En qualité de DPO externe désignée sur la base d’un contrat de service (article 37.6 du RGPD), j’assure l’intégralité des missions prévues aux articles 37 à 39 du RGPD, et bien au-delà :
Mise en conformité initiale
- Audit de l’existant et cartographie des traitements de données personnelles
- Constitution et tenue du registre des activités de traitement (article 30 RGPD)
- Rédaction et mise à jour des mentions légales, politiques de confidentialité et clauses contractuelles
- Mise en conformité des contrats de sous-traitance (article 28 RGPD)
- Mise en place du dispositif de gestion des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition)
Pilotage opérationnel continu
- Veille réglementaire RGPD et textes connexes (AI Act, NIS2, CRA, DORA)
- Réalisation des analyses d’impact relatives à la protection des données (AIPD / article 35 RGPD)
- Gestion des violations de données : qualification, notification CNIL, communication aux personnes concernées
- Formation et sensibilisation des équipes aux obligations de protection des données
- Point de contact unique avec la CNIL
Interlocution réglementaire
- Représentation auprès de la CNIL en cas de contrôle ou de mise en demeure
- Accompagnement dans la réponse aux plaintes et réclamations des personnes concernées
- Conseil sur les transferts de données hors Union Européenne (clauses contractuelles types, BCR)
Cyber résilience
La cybersécurité n’est plus une affaire de DSI : c’est un enjeu de direction générale. Les réglementations européennes (NIS2, DORA, CRA) imposent désormais à un nombre croissant d’organisations de structurer, documenter et démontrer leur posture cyber. IGO Conseil vous accompagne de l’évaluation des risques à la mise en place d’un système de management opérationnel.
Analyse et évaluation des risques
- Conduite d’analyses de risques selon la méthode EBIOS Risk Manager (EBIOS RM), référentiel de l’ANSSI
- Identification des scénarios de menace et cotation des risques pesant sur vos actifs numériques
- Définition de l’appétit au risque et des mesures de traitement proportionnées
- Cartographie des surfaces d’attaque et des dépendances critiques
Système de Management de la Sécurité de l’Information (SMSI)
- Accompagnement à la mise en place d’un SMSI conforme à la norme ISO 27001:2022
- Rédaction de la politique de sécurité, des procédures et des plans de traitement des risques
- Préparation aux audits de certification
- Définition des indicateurs de pilotage (KPI/KRI) et animation de la gouvernance sécurité
Conformité réglementaire cyber
- Évaluation de la conformité aux exigences NIS2 (directive sur la sécurité des réseaux et des systèmes d’information)
- Accompagnement à la mise en conformité DORA pour les entités du secteur financier
- Analyse des obligations du Cyber Resilience Act (CRA) pour les fabricants et éditeurs de produits numériques
- Intégration des exigences cyber dans les politiques d’achat et les contrats fournisseurs
IA de confiance
L’intelligence artificielle transforme les organisations — et crée de nouveaux risques pour les données personnelles, la cybersécurité et la conformité réglementaire. L’AI Act (RIA), entré en application, impose des obligations concrètes selon le niveau de risque des systèmes d’IA. IGO Conseil vous aide à déployer l’IA sans exposer votre organisation.
Conformité AI Act (RIA)
- Qualification des systèmes d’IA par niveau de risque (inacceptable, élevé, limité, minimal)
- Évaluation de la conformité des systèmes d’IA à usage interne ou déployés auprès de tiers
- Rédaction de la documentation technique et des notices d’information requises par le RIA
- Mise en place du système de gestion des risques IA (article 9 AI Act)
- Accompagnement à l’enregistrement dans la base de données EU IA pour les systèmes à haut risque
Gouvernance des données d’IA
- Évaluation des pratiques de collecte, de préparation et d’utilisation des données d’entraînement au regard du RGPD
- Privacy by design des systèmes d’IA : intégration de la protection des données dès la conception des modèles
- Analyse des biais algorithmiques et de leurs impacts sur les droits des personnes
- Mise en place d’une gouvernance de la donnée IA (traçabilité, documentation, auditabilité)
Risques cyber des projets IA
- Évaluation des risques de sécurité spécifiques aux systèmes d’IA (adversarial attacks, data poisoning, model inversion)
- Intégration des exigences cyber de l’AI Act dans les pratiques de développement (secure by design)
- Accompagnement des équipes projet dans la prise en compte des risques IA dès la phase de conception
- Articulation entre les exigences de l’AI Act, du RGPD et du CRA pour les systèmes d’IA embarqués
Et sinon ? Avec quoi engager la conversation ?
Mes autres sujets de prédilection sont les enjeux de souveraineté numérique (audit du patrimoine numérique) et l'OSINT - à suivre !
Et sinon, cavalière et plongeuse (naan, pas en même temps !), musicienne (flûte et je commence perpétuellement le piano), germanophile mais pas assez ∼phone, accro à Duolingo et responsable d'aumônerie.
Enfin un pied à La Baule et un autre à Blois, mon coeur reste aux étangs de Corot de Ville d'Avray.










