Les API au service de la Sécurité des données

Les API au service de la Sécurité des données
Article RGPD Événement

Les interfaces de programmation applicatives, communément appelées API, connaissent une adoption croissante dans le partage de données entre diverses entités. Que ce soit entre administrations, organismes privés, ou même directement avec des particuliers.

La CNIL encourage leur utilisation sous certaines précautions, comme le suggère sa récente recommandation. Cette démarche vise à promouvoir l’usage des API pour les avantages qu’elles offrent en termes de sécurité, de minimisation des données et de gestion des habilitations.

Contexte

L’utilisation des API dans le partage de données peut améliorer la sécurité par rapport à d’autres méthodes existantes. Les fonctionnalités des API, notamment en matière de sécurité et de gestion des habilitations, justifient l’intérêt croissant pour leur utilisation. La CNIL souhaite accompagner cette tendance en fournissant des recommandations techniques pour la mise en œuvre et l’utilisation des API. Cela concerne tous les acteurs impliqués dans la chaîne du partage.

Portée de la Recommandation

La recommandation s’applique à toutes les catégories d’API utilisées pour le partage de données personnelles. Trois rôles techniques sont définis :

  • le détenteur de données,
  • le gestionnaire d’API,
  • le réutilisateur de données.

Tous les types d’organismes, publics ou privés, impliqués dans un partage reposant sur une API, sont concernés. Que ce soit dans le cadre d’une obligation légale, d’une recherche scientifique, à des fins commerciales, avec ou sans restriction d’accès.

Clarifications générales

Sur la Portée Juridique : La recommandation se concentre sur les mesures techniques et ne vise pas à définir le cadre juridique général du partage de données par le biais des API.

Sur la Responsabilité Juridique : Les trois rôles introduits ne préjugent en aucun cas de la responsabilité juridique des organismes. Qui doit être déterminée au cas par cas.

Méthodologie proposée

La méthodologie recommandée vise à promouvoir les bonnes pratiques pour l’utilisation des API, complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI.

Cette méthode peut s’inscrire dans la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) et s’appuyer sur des grilles d’analyse tierces telles que le guide de la sécurité des données personnelles de la CNIL, la méthode EBIOS RM de l’ANSSI, et d’autres bonnes pratiques.

Facteurs de risques

La CNIL propose une méthodologie pour évaluer le niveau de risque général lié à une API, prenant en compte divers facteurs tels que le type d’accès à la base de données, les conditions d’accès aux données, le niveau de sécurité des techniques d’authentification, la nature des organismes impliqués, les autres mesures techniques et organisationnelles, l’état des connaissances, les catégories de données accessibles, et la granularité des données et des requêtes.

Mise en œuvre pratique des recommandations

La mise en œuvre pratique des recommandations peut s’appuyer sur divers outils, dont :

Exemples concrets

La recommandation de la CNIL est illustrée par plusieurs exemples concrets, tels que :

  • le partage restreint de données entre organismes avec contractualisation
  • le partage de données entre réseaux sociaux et chercheurs
  • l’ouverture de données de l’administration
  • le partage fermé de données entre services d’un organisme
  • le partage de données impliquant la personne concernée.

Pour faciliter la mise en œuvre de cette recommandation, la CNIL propose une méthodologie détaillée et divers exemples concrets. Encourageant ainsi l’adoption d’une approche sécurisée et responsable dans l’utilisation des API pour le partage de données.

La consultation publique tenue à l’automne 2022 a permis d’enrichir cette recommandation, reflétant ainsi les préoccupations et besoins des parties prenantes.

Les acteurs impliqués dans le partage de données par voie d’API sont invités à intégrer ces recommandations dans leurs pratiques pour assurer la protection des données et la conformité aux réglementations en vigueur.

Partager l'article

Articles similaires

Linkedin sanctionnée pour violation RGPD
Article RGPD Sanctions CNIL

Linkedin sanctionnée pour violation RGPD

Une nouvelle sanction RGPD infligée par la DPC (Data Protection Commission) irlandaise à l’encontre de LinkedIn, pour non-respect des règles de protection des données personnelles en lien avec le RGPD (Règlement Général sur la Protection des Données).
Lire la suite
RGPD et concurrence déloyale : ce que vous devez savoir
Actualité Article RGPD

RGPD et concurrence déloyale : ce que vous devez savoir

Respecter le RGPD (Règlement Général sur la Protection des Données) n’est pas une mince affaire. La conformité requiert des investissements économiques et humains considérables, et certains peuvent être tentés de contourner ces règles pour obtenir un avantage concurrentiel. Mais que se passe-t-il si un concurrent profite de son non-respect du RGPD pour proposer des prix plus attractifs ? Peut-on contester cette pratique pour concurrence déloyale ? La réponse de la CJUE est claire : oui !
Lire la suite