Une chose est claire, un gendarme à été désigné avant vous. C'est l'Autorité de Protection des Données.
Nulle n'est censé ignorer la loi encore moins Européenne.

Nous possédons maintenant nos traitements réalisés par les différents services, je vous suggère donc de numériser ceux-ci (en format .pdf par exemple) et de les référencer par un identifiant unique algorithmé.
(4 premières lettres du service + année + mois + jour + n°id ordre ascendant)
Soit pour le service informatique premier traitement à la date du jour:
info2021051401
Cette première étape alimente la base de données pour permettre au comité de pilotage de travailler.
Pour les éventuels services qui ne voudraient pas fournir leurs traitements, pensez à demander l'appui de la direction.
Il s'agit de mettre en conformité par rapport à une règlementation !!
Référencez ceux-ci dans le registre de traitements, ceci constituera votre pierre angulaire.
Vous avez maintenant cartographier vos traitements et construit en partie VOTRE REGISTRE DE TRAITEMENTS.
Votre registre de traitement est la pierre angulaire et vous permet maintenant de dégager des actions à prioriser. Nous partons du principe que la mise en conformité RGPD permet une au citoyen de pouvoir géré lui-même sa confidentialité, donc il est impératif de faire preuve de transparence.
On se focalise d'abord sur ce qui est visible !

Les priorisations se feront par le comité de pilotage par rapport à l'analyse de votre registre de traitements qui constitue à présent votre "Backlog"

Commençez d'abord par ce qui se voit !! Un site internet ?