Logo Inlo

Paris – Marseille

Recommandations de la CNIL sur les API

Partager

Contexte

La CNIL a récemment publié une recommandation technique concernant l’utilisation des API (Interfaces de Programmation Applicatives) pour le partage sécurisé de données à caractère personnel.

Cette recommandation intervient alors que la Commission constate ces « dernières années une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés », et donc nécessairement un risque accru de sécurité pour les données partagées.

Par cette recommandation, la Commission tient à rappeler la nécessité de mettre en place des mesures techniques adaptées afin de garantir un certain niveau de sécurité. Dans ce cadre, la Commission encourage le recours aux API qui fournissent selon elle un cadre technique favorable pour ces partages.

En effet, elle estime que le niveau de sécurité apporté par les API est généralement plus élevé que celui relatif à d’autres méthodes telles que les transferts de données personnelles par messagerie électronique ou sur une plateforme de partage.

Recommandations

Tout d’abord, des recommandations permettent d’identifier les cas dans lesquels la CNIL préconise l’utilisation des API pour le partage de données à caractère personnel et fournissent des conseils pratiques à mettre en place afin d’anticiper les risques.

La Commission rappelle ainsi que, comme tout outil, il existe un risque lors de l’utilisation des API qu’il convient d’identifier. Pour cela, elle propose une liste de facteurs de risques à prendre en considération :

  • type d’accès à la base de données : en lecture seule ou en écriture ; 
  • délivrance des autorisations et conditions d’accès aux données : si l’accès est soumis à une autorisation, quelles vérifications sont apportées afin de valider ces demandes ? 
  • niveau de sécurité des techniques d’authentification utilisées
  • nature des organismes impliqués dans le partage (maturité technique, gouvernance européenne ou non, capacités opérationnelles, etc.) ; 
  • autres mesures techniques (physiques ou logiques) et organisationnelles prévues pour améliorer le niveau de sécurité du système ; 
  • état des connaissances sur les techniques utilisées et les risques associés
  • catégories de données accessibles par l’API : certaines données sensibles au sens de l’article 9 du RGPD ou encore des données à caractère hautement personnel (tels que des données bancaires ou des données de géolocalisation) sont plus susceptibles de faire l’objet d’attaques ou d’entraîner des conséquences plus graves ; 
  • degré de précision des données et des requêtes : possibilité d’accéder uniquement à certaines informations ciblées.

La méthodologie proposée pour garantir la protection des données à caractère personnel s’organise autour de trois acteurs techniques que la CNIL invite à coopérer :

  • Les détenteurs de données 
  • Les gestionnaires d’API
  • Les réutilisateurs de données

Pour chacun de ces acteurs, la CNIL énonce certains conseils afin de les orienter au mieux vers les mesures permettant d’atteindre le niveau de sécurité recherché.

Les détenteurs de données

Il s’agit des organismes qui contrôlent des données personnelles de manière technique ou organisationnelle. A cet égard, les détenteurs de données agiront généralement en qualité de responsables de traitement de partage de données au sens du RGPD.

Selon la CNIL, ils devraient :

  • informer les personnes concernées du partage de leurs données ;
  • tenir une documentation à jour à destination des réutilisateurs, cette documentation devant fournir en termes clairs certaines informations telles que la provenance des données, la méthode de collecte utilisée, leur fréquence de mise à jour, leur format de transmission, leur historicité, leur fiabilité et les procédés de pseudonymisation ou d’anonymisation utilisés ;
  • accorder une attention particulière à l’exactitude et à l’intégrité des données avant et pendant leur transmission et mettre en place les mesures techniques et organisationnelles permettant de garantir que les réutilisateurs accèdent à des données exactes et à jour ;
  • assurer la sécurité des données, notamment :
    • assurer un système de cloisonnement entre les données ayant vocation à être accessibles via l’API et celles n’ayant pas vocation à être partagées et dont le partage pourrait engendrer des conséquences graves pour les personnes concernées ;
    • assurer la disponibilité des données pour éviter une compromission ou une indisponibilité de la base de données et pour en limiter l’impact le cas échéant ;
    • garantir la sécurité des secrets d’authentification, à savoirleur intégrité et leur confidentialité par exemple avec la mise en place d’un coffre-fort numérique ;
    • assurer une journalisation effective des accès et actions réalisées sur la base de données.

Les gestionnaires d’API

Il s’agit des organismes en charge de l’opération ou du développement des composants techniques sur lesquelles repose le partage de données. Ces organismes agissent généralement en qualité de sous-traitant, pour le compte et sous les instructions du détenteur de données et/ou du réutilisateur.

Selon la CNIL, ils devraient :

  • créer une documentation à l’intention des détenteurs de données et des réutilisateurs, suffisamment détaillée et transparente pour réduire les risques liés à une utilisation imprévue de l’outil ;
  • garantir la minimisation des données, notamment par la mise à disposition d’une version jumelle de l’API donnant accès à des données fictives, afin de permettre aux réutilisateurs de données de réaliser des expérimentations et de sélectionner plus précisément les données nécessaires au traitement ;
  • mette en œuvre les mesures techniques nécessaires afin de permettre aux détenteurs de données et aux réutilisateurs, le cas échéant, de répondre aux demandes d’exercice des droits des personnes concernées ;
  • respecter les obligations de sécurité résultant de l’article 32 du RGPD, à savoir, notamment :
    • garantir un haut niveau de confidentialité (exemple : le chiffrement des communications dans le cas d’une API en accès restreint) ;
    • mettre en place une journalisation des accès à l’API par les réutilisateurs.

Les réutilisateurs de données

Il s’agit de tout organisme envisageant d’accéder ou recevant des données par voie d’API en vue de les exploiter pour son propre compte. Cette catégorie répond généralement à celle de destinataire au sens du RGPD.

Selon la CNIL, ils devraient :

  • prendre connaissance et appliquer les instructions mises à leur disposition concernant l’utilisation et la sécurité de l’API ;
  • veiller à la licéité des usages qu’ils font des données ;
  • informer le détenteur de données et le gestionnaire d’API lorsqu’il constate un risque de sécurité.

Pour une mise en œuvre pratique de ces recommandations, la CNIL propose des exemples concrets et dresse une liste d’outils permettant la mise en œuvre des mesures recommandées (https://www.cnil.fr/fr/api-les-recommandations-de-la-cnil-sur-le-partage-de-donnees).

D'autre articles