Les interfaces de programmation applicatives, communément appelées API, connaissent une adoption croissante dans le partage de données entre diverses entités. Que ce soit entre administrations, organismes privés, ou même directement avec des particuliers.
La CNIL encourage leur utilisation sous certaines précautions, comme le suggère sa récente recommandation. Cette démarche vise à promouvoir l’usage des API pour les avantages qu’elles offrent en termes de sécurité, de minimisation des données et de gestion des habilitations.
Contexte
L’utilisation des API dans le partage de données peut améliorer la sécurité par rapport à d’autres méthodes existantes. Les fonctionnalités des API, notamment en matière de sécurité et de gestion des habilitations, justifient l’intérêt croissant pour leur utilisation. La CNIL souhaite accompagner cette tendance en fournissant des recommandations techniques pour la mise en œuvre et l’utilisation des API. Cela concerne tous les acteurs impliqués dans la chaîne du partage.
Portée de la Recommandation
La recommandation s’applique à toutes les catégories d’API utilisées pour le partage de données personnelles. Trois rôles techniques sont définis :
- le réutilisateur de données.
Tous les types d’organismes, publics ou privés, impliqués dans un partage reposant sur une API, sont concernés. Que ce soit dans le cadre d’une obligation légale, d’une recherche scientifique, à des fins commerciales, avec ou sans restriction d’accès.
Clarifications générales
Sur la Portée Juridique : La recommandation se concentre sur les mesures techniques et ne vise pas à définir le cadre juridique général du partage de données par le biais des API.
Sur la Responsabilité Juridique : Les trois rôles introduits ne préjugent en aucun cas de la responsabilité juridique des organismes. Qui doit être déterminée au cas par cas.
Méthodologie proposée
La méthodologie recommandée vise à promouvoir les bonnes pratiques pour l’utilisation des API, complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI.
Cette méthode peut s’inscrire dans la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) et s’appuyer sur des grilles d’analyse tierces telles que le guide de la sécurité des données personnelles de la CNIL, la méthode EBIOS RM de l’ANSSI, et d’autres bonnes pratiques.
Facteurs de risques
La CNIL propose une méthodologie pour évaluer le niveau de risque général lié à une API, prenant en compte divers facteurs tels que le type d’accès à la base de données, les conditions d’accès aux données, le niveau de sécurité des techniques d’authentification, la nature des organismes impliqués, les autres mesures techniques et organisationnelles, l’état des connaissances, les catégories de données accessibles, et la granularité des données et des requêtes.
Mise en œuvre pratique des recommandations
La mise en œuvre pratique des recommandations peut s’appuyer sur divers outils, dont :
Exemples concrets
La recommandation de la CNIL est illustrée par plusieurs exemples concrets, tels que :
- le partage restreint de données entre organismes avec contractualisation
- le partage de données entre réseaux sociaux et chercheurs
- l’ouverture de données de l’administration
- le partage fermé de données entre services d’un organisme
- le partage de données impliquant la personne concernée.
Pour faciliter la mise en œuvre de cette recommandation, la CNIL propose une méthodologie détaillée et divers exemples concrets. Encourageant ainsi l’adoption d’une approche sécurisée et responsable dans l’utilisation des API pour le partage de données.
La consultation publique tenue à l’automne 2022 a permis d’enrichir cette recommandation, reflétant ainsi les préoccupations et besoins des parties prenantes.
Les acteurs impliqués dans le partage de données par voie d’API sont invités à intégrer ces recommandations dans leurs pratiques pour assurer la protection des données et la conformité aux réglementations en vigueur.
