La CNIL a émis une nouvelle recommandation concernant les API. Il s’agit pour la CNIL d’identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en œuvre et leur utilisation, en fonction des acteurs impliqués.
L’API et ses avantages
Face au constat d’une augmentation globale des partages de données entre organismes publics et privés, la CNIL souligne la nécessité pour ces partages de données à caractère personnel d’être accompagnés des mesures techniques adaptées pour garantir un niveau de sécurité, dès la conception, et maintenu dans le temps en adéquation avec les risques. A cet égard, la CNIL affirme que le recours à une « API » (Application Programming Interface), peut fournir un cadre technique favorable à ces partages.
La CNIL définit les API comme étant : "une interface logicielle qui permet de « connecter » un logiciel ou un service à un autre logiciel ou service afin d’échanger des données et des fonctionnalités."
Le partage de données est entendu ici comme la faculté offerte, à certains réutilisateurs identifiés ou bien au public, de récupérer des données détenues par un organisme, ou la capacité des détenteurs de données de transmettre celles-ci à des fins de réutilisation par des tiers, lorsque cela est autorisé ou demandé par la réglementation. A ce titre, la CNIL rappelle que, bien que ces recommandations n’aient pas de caractère obligatoire, les principes applicables découlant du RGPD le sont. Dans cette mesure, le respect de ces recommandations favorisera la conformité des acteurs impliqués à leurs obligations découlant du RGPD.
Ainsi, plusieurs situations ont été identifiées dans lesquelles l’utilisation d’API est à favoriser, lorsque :
- les données sont partagées à plusieurs réutilisateurs,
- et/ou elles sont fréquemment mises à jour,
- et/ou les réutilisateurs ont besoin d’y accéder régulièrement,
- et/ou leur stockage par le réutilisateur n’est pas utile (utilisation unique ou traitement en continu sans nécessité d'historique),
- et/ou le ou les réutilisateurs n'ont pas systématiquement besoin d'accéder à l'intégralité des données mais seulement à un sous-ensemble des données non identifiable à l'avance,
- et/ou les méthodes utilisées pour garantir leur sécurité sont susceptibles d’être mises à jour.
Les avantages à l’utilisation d’un API sont nombreuses. En effet, le partage de données par ce biais permet une meilleure supervision, d’une part en contrôlant les accès, la granularité des données accédées et, le cas échéant, les finalités d’utilisation des données. D’autre part, elle permet, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisateur, la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits, etc.).
Les acteurs et les recommandations spécifiques quant à leur rôle respectifs
Les bonnes pratiques retenues par la CNIL sont ventilées entre les détenteurs de données, les gestionnaires d’API et les réutilisateurs. La Commission précise que plusieurs rôles peuvent être tenus par le même organisme. Cela sera le cas, par exemple, lorsque le détenteur de données développe lui-même une API : il est alors également gestionnaire d’API, et toutes les recommandations visant le détenteur de données et le gestionnaire d'API s'appliqueront alors à cet organisme.
En outre, la CNIL souligne que la mise en place d’une gouvernance efficace entre ces trois types d'acteurs représente un enjeu majeur pour le respect des grands principes « informatique et libertés ». En particulier, et quel que soit la répartition des responsabilités, il est recommandé que les organismes concernés par le traitement se coordonnent sur les modalités de mise en œuvre de la présente recommandation et synthétisent cette répartition dans un document accessible par tous les acteurs impliqués.
Source : recommandation de la CNIL du 25 mai 2023
Par ailleurs, et de manière générale, le recours à une API devra respecter les grands principes applicables aux traitements de données et notamment garantir l’information des personnes concernées ainsi que l’accès aux droits et la minimisation des données.
Les détenteurs de données
Un détenteur de données est caractérisé par le fait qu’il contrôle des données de manière technique ou organisationnelle. A cet égard, celui-ci sera généralement responsable de traitement de partage, dans la mesure où il aura librement décidé de le mettre en œuvre, à quelles fins et par quels moyens.
La Commission recommande que le détenteur de données tienne une documentation à jour à l'intention des réutilisateurs, concernant les données rendues accessibles. Cette documentation devrait fournir en termes clairs des informations générales telles que la provenance des données, la méthode de collecte utilisée, leur fréquence de mise à jour, leur format de transmission, leur historicité, leur fiabilité et les procédés de pseudonymisation ou d'anonymisation utilisés.
Il doit également accorder une attention particulière à l’exactitude et à l’intégrité des données avant leur transmission et mettre en place les mesures techniques et organisationnelles permettant de garantir que les réutilisateurs accèdent à des données exactes et à jour.
Les gestionnaires d’API
Un gestionnaire d’API est l’organisme en charge d’une partie ou de la totalité des composantes techniques sur lesquelles repose le partage de données. le gestionnaire de l’API agira généralement en tant que sous-traitant, c’est-à-dire pour le compte et sous les instructions du détenteur de données et/ou du réutilisateur. Il n’est toutefois pas exclu que le gestionnaire de l’API mette en œuvre le traitement de partage pour son propre compte, en qualité de responsable de traitement, notamment lorsqu’il agit en tant qu’intermédiaire.
Etant le plus à même d’assurer en pratique la sécurité de la mise en œuvre de l'API, la Commission recommande que le gestionnaire d'API crée une documentation à l'intention des détenteurs de données et des réutilisateurs, suffisamment détaillée et transparente pour réduire les risques liés à une utilisation imprévue de l'outil. Par ailleurs, afin de garantir la minimisation des données, la Commission recommande qu’une version jumelle de l’API (bac à sable), donnant accès à des données fictives, soit proposée afin de permettre aux réutilisateurs de données de réaliser des expérimentations et de sélectionner plus précisément les données nécessaires au traitement.
Les réutilisateurs
Le réutilisateur de données est tout organisme envisageant d’accéder ou recevant des données par voie d’API en vue d’une exploitation de celles-ci pour son propre compte. la qualification juridique du réutilisateur correspondra, souvent, et simplement, à celle de « destinataire » au sens du RGPD, sans préjudice de sa responsabilité à l’égard du traitement qu’il mettra en œuvre pour son propre compte dans la cadre de la réutilisation des données partagées.
Le réutilisateur de données devrait prendre connaissance des instructions à sa disposition concernant l'utilisation et la sécurité de l'API. Il lui appartient d’appliquer rigoureusement ces instructions et de s'assurer de la licéité des usages qu’il fait des données. Lorsque le réutilisateur constate que certaines instructions sont obsolètes, inadaptées, incomplètes ou non conformes à l’état de l’art en matière de sécurité, il devrait en informer le détenteur de données ou le gestionnaire d'API.
Et dans Dastra ?
Pour tous vos besoins de synchronisation, Dastra vous propose une API Rest ainsi que des connecteurs natifs totalement personnalisables. Simples à intégrer, toutes nos APIs sont protégés par l'authentification OAuth et des tests de pénétration sont effectués régulièrement.
Essayez notre outil gratuitement pendant 30 jours.