Les API au service de la Sécurité des données

Les API au service de la Sécurité des données
Article RGPD Événement

Les interfaces de programmation applicatives, communément appelées API, connaissent une adoption croissante dans le partage de données entre diverses entités. Que ce soit entre administrations, organismes privés, ou même directement avec des particuliers.

La CNIL encourage leur utilisation sous certaines précautions, comme le suggère sa récente recommandation. Cette démarche vise à promouvoir l’usage des API pour les avantages qu’elles offrent en termes de sécurité, de minimisation des données et de gestion des habilitations.

Contexte

L’utilisation des API dans le partage de données peut améliorer la sécurité par rapport à d’autres méthodes existantes. Les fonctionnalités des API, notamment en matière de sécurité et de gestion des habilitations, justifient l’intérêt croissant pour leur utilisation. La CNIL souhaite accompagner cette tendance en fournissant des recommandations techniques pour la mise en œuvre et l’utilisation des API. Cela concerne tous les acteurs impliqués dans la chaîne du partage.

Portée de la Recommandation

La recommandation s’applique à toutes les catégories d’API utilisées pour le partage de données personnelles. Trois rôles techniques sont définis :

  • le détenteur de données,
  • le gestionnaire d’API,
  • le réutilisateur de données.

Tous les types d’organismes, publics ou privés, impliqués dans un partage reposant sur une API, sont concernés. Que ce soit dans le cadre d’une obligation légale, d’une recherche scientifique, à des fins commerciales, avec ou sans restriction d’accès.

Clarifications générales

Sur la Portée Juridique : La recommandation se concentre sur les mesures techniques et ne vise pas à définir le cadre juridique général du partage de données par le biais des API.

Sur la Responsabilité Juridique : Les trois rôles introduits ne préjugent en aucun cas de la responsabilité juridique des organismes. Qui doit être déterminée au cas par cas.

Méthodologie proposée

La méthodologie recommandée vise à promouvoir les bonnes pratiques pour l’utilisation des API, complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI.

Cette méthode peut s’inscrire dans la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) et s’appuyer sur des grilles d’analyse tierces telles que le guide de la sécurité des données personnelles de la CNIL, la méthode EBIOS RM de l’ANSSI, et d’autres bonnes pratiques.

Facteurs de risques

La CNIL propose une méthodologie pour évaluer le niveau de risque général lié à une API, prenant en compte divers facteurs tels que le type d’accès à la base de données, les conditions d’accès aux données, le niveau de sécurité des techniques d’authentification, la nature des organismes impliqués, les autres mesures techniques et organisationnelles, l’état des connaissances, les catégories de données accessibles, et la granularité des données et des requêtes.

Mise en œuvre pratique des recommandations

La mise en œuvre pratique des recommandations peut s’appuyer sur divers outils, dont :

Exemples concrets

La recommandation de la CNIL est illustrée par plusieurs exemples concrets, tels que :

  • le partage restreint de données entre organismes avec contractualisation
  • le partage de données entre réseaux sociaux et chercheurs
  • l’ouverture de données de l’administration
  • le partage fermé de données entre services d’un organisme
  • le partage de données impliquant la personne concernée.

Pour faciliter la mise en œuvre de cette recommandation, la CNIL propose une méthodologie détaillée et divers exemples concrets. Encourageant ainsi l’adoption d’une approche sécurisée et responsable dans l’utilisation des API pour le partage de données.

La consultation publique tenue à l’automne 2022 a permis d’enrichir cette recommandation, reflétant ainsi les préoccupations et besoins des parties prenantes.

Les acteurs impliqués dans le partage de données par voie d’API sont invités à intégrer ces recommandations dans leurs pratiques pour assurer la protection des données et la conformité aux réglementations en vigueur.

Partager l'article

Articles similaires

Le RIA : Comment être conforme avec l’IA
Article RGPD

Le RIA : Comment être conforme avec l’IA

e 12 juillet 2024 marque un tournant dans la régulation de l'intelligence artificielle au sein de l'Union Européenne, avec l'adoption du Règlement Européen sur l'Intelligence Artificielle (RIA). Comment Allier l'ia à la conformité RGPD ?
Lire la suite
Sanction CNIL : Vinted écope d’une amende de 2,3 Millions d’Euros
Article RGPD Sanctions CNIL

Sanction CNIL : Vinted écope d’une amende de 2,3 Millions d’Euros

Le 2 juillet 2024, la société Vinted UAB a été condamnée à une amende de 2 385 276 euros par l'autorité lituanienne de protection des données, en collaboration avec la CNIL (Commission Nationale de l'Informatique et des Libertés). Cette sanction CNIL Vinted fait suite à plusieurs manquements concernant le traitement des données personnelles des utilisateurs de la plateforme.
Lire la suite