Une recommandation CNIL very API
Le 7 juillet 2023, la CNIL a publié une recommandation technique portant l’utilisation des « interfaces de programmation applicatives » ou Application Programming Interface (API) sur le partage de données à caractère personnel.
Les acteurs concernés par la recommandation
Cette recommandation est destinée à l’ensemble des entités qui interviennent dans le cadre d’un partage de données par API. Elle définit les grandes obligations attachées à chacun des rôles suivants :
- le détenteur de données – entité contrôlant le cycle de vie et les modalités d’accès aux données. Ces données ont vocation à être partagées à des tiers via une API ;
- le gestionnaire d’API – entité en charge de l’opération et/ou du développement des composants techniques permettant le partage des données via l’API ;
- le réutilisateur de données – entité ayant accès aux données partagées par API.
API oui, mais si elle est sécurisée !
La lecture de cette recommandation montre que la CNIL semble envisager favorablement la modalité de partage des données que constitue la mise en place d’une API (notamment au regard de la sécurisation des données et à la gestion de l’exercice des droits des personnes qu’elle permet). Toutefois, elle souhaite clairement guider sa mise en œuvre. Pour cela, la CNIL articule sa recommandation autour de préconisations générales et de préconisations dédiées à chacun des types d’acteurs présentés précédemment. La CNIL semble attirer l’attention des acteurs notamment sur les points suivants :
- le rappel des points d’attention et des risques liés à l’utilisation des API (notamment au regard de la gravité des conséquences potentielles pour les personnes concernées) ;
- la nécessité de réaliser préalablement une analyse de la situation pouvant prendre la forme d’une analyse d’impact sur la vie privée (PIA), le cas échéant ;
- l’information des personnes concernées ;
- le rappel des obligations en matière de journalisation des actions ;
- le fait que chaque acteur devrait adapter ses politiques internes de sécurité afin de prendre en compte les risques spécifiques liés aux API.
Les communautés de l’API
La CNIL semble également mettre l’accent sur le renforcement souhaitable des liens entre les différentes entités impliquées dans une chaîne de partage de données à caractère personnel par API. Le but sus-jacent semble être celui d’accroître le niveau de sécurité appliqué à l’usage de ce type de technologie, via notamment :
- la création d’une gouvernance commune entre les acteurs impliqués dans un partage de données à caractère personnel par API, documentée et mise à jour. La CNIL s’attache à en décrire le contenu minimum (informations et procédures notamment) ;
- la définition concertée des données nécessaires au traitement réalisé par le réutilisateur de données après une phase dite de test en bac à sable réalisée à l’aide de données fictives ;
- la création d’obligations croisées en matière de gestion des authentifiants d’accès à l’API ;
- l’application de standards de sécurité ou de chiffrement minimum par un acteur « quelque soit le niveau de maturité technique » des autres acteurs impliqués dans le partage de données à caractère personnel par API. C’est, notamment, le cas en matière de chiffrement des communications.
En pratique :
La CNIL inscrit sa recommandation dans un contexte normatif plus global. Elle se réfère ainsi non seulement aux recommandations publiées par ses soins (ou à venir[1]), mais également aux publications de l’ANSSI et aux normes sectorielles applicables. De plus, la CNIL rappelle que :
« La présente recommandation ne présente pas de caractère obligatoire, sauf lorsqu’elle rappelle les exigences découlant du règlement général sur la protection des données (RGPD) et de la loi du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »). Cependant, le respect de ces recommandations est de nature à contribuer grandement au respect par les acteurs de leurs obligations, en particulier l’obligation de protection des données dès la conception et de protection des données par défaut prévue à l’article 25 du RGPD«
Rappelons à cet égard les apports de la délibération de sanction de la CNIL (formation restreinte) du 11 mai 2023 qui vont dans le même sens :
« La formation restreinte considère que si les recommandations de l’ANSSI et le guide de la CNIL n’ont pas un caractère impératif, ils sont mobilisés à titre d’éclairage et exposent néanmoins les précautions élémentaires de sécurité correspondant à l’état de l’art »
Il semble donc essentiel que chacune des entités impliquées dans des chaînes de partage de données :
- étudie cette recommandation au contenu riche ;
- mène une étude approfondie de la situation considérée (but du partage, données à caractère personnel envisagées, acteurs impliqués dans ce partage ainsi que des risques pour les personnes concernées, etc.)
- et se réunisse avec les autres entités afin de définir une implémentation opérationnelle concertée.
[1] Des obligations spécifiques sont définies en cas de réalisation de traitements critiques par le réutilisateur, étant entendu que cette notion fait l’objet d’un projet de recommandation de la CNIL qui ne sera publié que postérieurement à la recommandation portant sur l’usage des API.