De gauche à droite : Sarah Sak (Analyste en Gouvernance des Données & DPD chez PoAB), Lisa De Smet (Consultante Principale en Vie Privée chez CRANIUM) & Shauni Willems (DPD & Juriste chez PoAB)

Anvers, 23 janvier 2023 – La fusion entre les ports d’Anvers et de Zeebruges est devenue officielle fin avril 2022. Bien sûr, les préparatifs de cette fusion se préparaient depuis beaucoup plus longtemps, tant sur le plan opérationnel, organisationnel qu’administratif. Pour gérer l’aspect RGPD et protection des données, c’est à CRANIUM que le deuxième plus grand port d’Europe a fait appel pour son DPO as a Service

« Bien sûr, cela fait longtemps que nous travaillons sur le RGPD et tout ce qui l’accompagne, au Port », commence Sarah Sak, analyste en gouvernance des données et DPD. « Mais, lorsque la décision a été prise de fusionner le port d’Anvers avec celui de Zeebrugge, nous avons décidé de faire appel à une aide et une expertise extérieures. Une opération comme celle-ci a un impact à tous les niveaux de l’organisation : IT, RH, finance et marcom, mais aussi innovation technique, etc. Par conséquent, malgré les connaissances et l’expérience que nous avons acquises en interne au cours des dernières années, nous n’aurions pas été en mesure de mener à bien tout cela par nous-mêmes. Par exemple, l’intégration des registres de traitement des données personnelles était une tâche énorme à accomplir.

Le meilleur du marché

Ainsi, l’Autorité portuaire étant un organisme public, un appel d’offres a été lancé. De celui-ci, CRANIUM est arrivé en tête, après une évaluation approfondie qui a pris en compte la qualité, les références, ainsi que le prix.

« Il y a quelques années, lorsque le RGPD est entré en vigueur, nous nous étions déjà appuyés sur CRANIUM une fois pour une analyse de la confidentialité. Ils avaient également été le candidat le plus fort à l’époque. Le travail d’équipe entre les différentes équipes (telles que notre RSSI, Cyber Résilience et l’équipe RGPD, …) s’était très bien déroulé. Évidemment, nous étions très heureux de travailler à nouveau avec eux », ajoute Shauni Willems, avocate et DPD de l’Autorité portuaire.

« Le prix a été un facteur important à cet égard, mais ce n’était certainement pas le seul : dans leur dossier, ils répondaient également très bien à nos besoins spécifiques. Nous avons trouvé chaussure à notre pied, à tous les niveaux. »

Partenariat structurel et extension extérieure

L’équipe RGPD de l’Autorité Portuaire a ainsi été renforcée par deux consultants CRANIUM, qui agissent comme une extension externe de l’équipe RGPD interne. Ce qui a commencé comme une coopération basée sur des projets s’est transformé organiquement en un partenariat structurel au fil du temps.

Les deux parties travaillent ensemble pour s’assurer que tous les traitements de données possibles dans le cadre des opérations quotidiennes de l’Autorité portuaire sont effectués conformément aux règles.

« La liste des façons dont nous pouvons offrir un soutien est longue. L’assistance aux DPDs internes dans le traitement des questions de conseil au sein de l’organisation (par exemple, comment travailler conformément au RGPD avec des partenaires et des parties prenantes externes) et la garantie proactive que, en tant qu’entreprise publique, les bons protocoles de traitement des données sont conclus et suivis en font partie. De plus, nous les aidons à sensibiliser l’interne et à s’assurer que la politique de protection des données et les processus connexes sont à jour. Nous veillons à ce qu’ils puissent continuer à fonctionner conformément au RGPD et à la protection de la vie privée dès la conception à long terme ; et ainsi de suite », explique Lisa De Smet, consultante principale en protection des données, DPD, avocate en TI/PI et directrice commerciale chez CRANIUM, qui assure le suivi de Louis Longeval, consultant en protection de la vie privée à l’Autorité portuaire.

« Le rôle de CRANIUM à cet égard est double : d’une part, ils nous soulagent en prenant en charge une partie du travail ; d’autre part, ils agissent également comme un comité de réflexion concernant l’interprétation des règles. Ces interprétations peuvent varier, d’ailleurs, comme il s’agit d’une forme récente de législation, les règles ne sont pas gravées dans le marbre. Il est donc crucial d’être et de rester informé », poursuit Shauni Willems, avocate et DPD à l’Autorité portuaire.

Crédibilité et confiance

« Le plus grand défi en tant que DPD, que ce soit interne ou externe, était et est de créer une prise de conscience, d’être visible et trouvable au sein de l’organisation d’une part ; et de construire la crédibilité nécessaire sur l’autre.

Cela exige de l’ouverture et des efforts de la part des deux parties. La communication fréquente et les commentaires des consultants de CRANIUM, par exemple, ont été très importants pour permettre à cette confiance de se développer de manière organique et nous ont permis de devenir une machine bien huilée dans notre coopération. L’Autorité portuaire est donc un client très satisfait », conclut Sarah Sak, analyste en gouvernance des données et DPD à l’Autorité portuaire.