Les API au service de la Sécurité des données

Les API au service de la Sécurité des données
Article RGPD Événement

Les interfaces de programmation applicatives, communément appelées API, connaissent une adoption croissante dans le partage de données entre diverses entités. Que ce soit entre administrations, organismes privés, ou même directement avec des particuliers.

La CNIL encourage leur utilisation sous certaines précautions, comme le suggère sa récente recommandation. Cette démarche vise à promouvoir l’usage des API pour les avantages qu’elles offrent en termes de sécurité, de minimisation des données et de gestion des habilitations.

Contexte

L’utilisation des API dans le partage de données peut améliorer la sécurité par rapport à d’autres méthodes existantes. Les fonctionnalités des API, notamment en matière de sécurité et de gestion des habilitations, justifient l’intérêt croissant pour leur utilisation. La CNIL souhaite accompagner cette tendance en fournissant des recommandations techniques pour la mise en œuvre et l’utilisation des API. Cela concerne tous les acteurs impliqués dans la chaîne du partage.

Portée de la Recommandation

La recommandation s’applique à toutes les catégories d’API utilisées pour le partage de données personnelles. Trois rôles techniques sont définis :

  • le détenteur de données,
  • le gestionnaire d’API,
  • le réutilisateur de données.

Tous les types d’organismes, publics ou privés, impliqués dans un partage reposant sur une API, sont concernés. Que ce soit dans le cadre d’une obligation légale, d’une recherche scientifique, à des fins commerciales, avec ou sans restriction d’accès.

Clarifications générales

Sur la Portée Juridique : La recommandation se concentre sur les mesures techniques et ne vise pas à définir le cadre juridique général du partage de données par le biais des API.

Sur la Responsabilité Juridique : Les trois rôles introduits ne préjugent en aucun cas de la responsabilité juridique des organismes. Qui doit être déterminée au cas par cas.

Méthodologie proposée

La méthodologie recommandée vise à promouvoir les bonnes pratiques pour l’utilisation des API, complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI.

Cette méthode peut s’inscrire dans la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) et s’appuyer sur des grilles d’analyse tierces telles que le guide de la sécurité des données personnelles de la CNIL, la méthode EBIOS RM de l’ANSSI, et d’autres bonnes pratiques.

Facteurs de risques

La CNIL propose une méthodologie pour évaluer le niveau de risque général lié à une API, prenant en compte divers facteurs tels que le type d’accès à la base de données, les conditions d’accès aux données, le niveau de sécurité des techniques d’authentification, la nature des organismes impliqués, les autres mesures techniques et organisationnelles, l’état des connaissances, les catégories de données accessibles, et la granularité des données et des requêtes.

Mise en œuvre pratique des recommandations

La mise en œuvre pratique des recommandations peut s’appuyer sur divers outils, dont :

Exemples concrets

La recommandation de la CNIL est illustrée par plusieurs exemples concrets, tels que :

  • le partage restreint de données entre organismes avec contractualisation
  • le partage de données entre réseaux sociaux et chercheurs
  • l’ouverture de données de l’administration
  • le partage fermé de données entre services d’un organisme
  • le partage de données impliquant la personne concernée.

Pour faciliter la mise en œuvre de cette recommandation, la CNIL propose une méthodologie détaillée et divers exemples concrets. Encourageant ainsi l’adoption d’une approche sécurisée et responsable dans l’utilisation des API pour le partage de données.

La consultation publique tenue à l’automne 2022 a permis d’enrichir cette recommandation, reflétant ainsi les préoccupations et besoins des parties prenantes.

Les acteurs impliqués dans le partage de données par voie d’API sont invités à intégrer ces recommandations dans leurs pratiques pour assurer la protection des données et la conformité aux réglementations en vigueur.

Partager l'article

Articles similaires

RGPD : La conformité RGPD international
Article RGPD

RGPD : La conformité RGPD international

Le RGPD impact les entreprise dans leur dévelloppement à l'international. Il reste essentiel pour se développer dans un nouveau marché.
Lire la suite
Comment se passe un contrôle CNIL
Article RGPD

Comment se passe un contrôle CNIL

Lorsque vous n'êtes pas conformes à la conformité RGPD vous êtes exposés à des contrôles et sanctions CNIL.
Lire la suite