Par Haas Avocats
D’une manière générale, la CNIL promeut l’usage des API (Application Programming Interface) en soulignant leurs apports au regard de la protection des données.
Qu'est ce qu'une API ?
Une API est une interface qui permet à un logiciel, ou un service numérique d’échanger des données avec un autre logiciel ou service numérique. Ces outils révèlent leur efficacité dans le cadre de la portabilité des données, de la mise en place de campagnes publicitaires, de programmes d’affiliation ou encore lors de l’intégration des fonctionnalités d’un site sur un autre.
Cette recommandation a été élaborée dans le cadre d’une consultation publique réunissant des délégués à la protection des données (DPO) et des Responsables de la Sécurité des Systèmes d’information (RSSI) des organismes publics et privés utilisant ou fournissant des API. Elle s’adresse aux 3 acteurs intervenant dans l’utilisation des API, à savoir :
- les détenteurs de données ;
- les gestionnaires d’API ;
- les ré-utilisateurs des données.
Les recommandations de la CNIL pour le partage de données par API
Ainsi, la CNIL a publié des recommandations générales auxquelles s’ajoutent des recommandations spécifiques à chaque acteur intervenant dans le partage des données via des API.
Les recommandations générales de la CNIL pour le partage de données par API
Parmi les recommandations générales figurent :
- la prévenance d’un usage illicite des données personnelles collectées et traitées par les API: afin de prévenir tout détournement de finalité, la CNIL recommande aux acteurs de contrôler et de tracer les accès aux bases de données personnelles. En sus elle rappelle aux acteurs qu’ils sont tenus à une obligation de minimisation, d’exactitude et de sécurisation des données compte tenu des exigences du RGPD.
- l’information des personnes concernées: la CNIL recommande aux différents acteurs d’informer les personnes concernées sur le traitement de leurs données au moyen d’une mention d’information accessible sur leur site Web ou en la leur adressant directement sous un format intelligible. Les éléments d’information doivent notamment prévoir une description détaillée des données partagées, leur fréquence d’échantillonnage, les opérations réalisées en amont de leur partage (ex : leur pseudonymisation ou l’anonymisation) ainsi que les mesures de sécurité encadrant les accès aux données. Au surplus, lorsque survient une tentative d’accès illégitime vraisemblable, il est nécessaire d’informer la personne concernée de la liste exhaustive des accès horodatés aux données sur une période pertinente afin de lui permettre d’identifier un accès illégitime.
- une gestion des accès: les acteurs participant au partage des données personnelles doivent implémenter un mécanisme assurant la licéité de tous les accès à l’API. La CNIL recommande que le détenteur de données et le gestionnaire rédigent ensemble une procédure de gestion d’accès /d’attribution d’habilitations garantissant une réutilisation sécure des données collectées par l’API. Ainsi, l’étendue et la période d’habilitation doit être déterminée en fonction du besoin d’en connaitre du ré-utilisateur concerné et de la durée de validité des données. Enfin, des stress-tests devraient être réalisés afin de vérifier la robustesse du dispositif face aux tentatives d’intrusion.
- la gestion interne des API : La CNIL recommande à chaque acteur intervenant dans le partage de données d’intégrer dans sa politique de sécurité du système d’information des éléments formalisant les procédures et les protocoles d’urgence à employer en cas de survenance d’un incident relatif à la sécurité des données.
Les recommandations spécifiques de la CNIL pour le partage de données par API
A ces observations générales sont jointes des recommandations spécifiques aux :
- Détenteurs de données: la CNIL leur recommande de tenir à jour une documentation à l’intention des ré-utilisateurs de données concernant les données rendues accessibles. Celle-ci doit faire état de la provenance des données, de la méthode de collecte utilisée, de fréquence de leur mise à jour, du format de leur transmission, de leur fiabilité ou encore des procédés de pseudonymisation ou d’anonymisation utilisés. Il leur est également nécessaire d’instaurer, au bénéfice des ré-utilisateurs, des canaux de transmission leur permettant de signaler aux détenteurs de données, tout problème technique ou risque relatif à la confidentialité des données partagées. Au surplus, la CNIL leur recommande d’assurer la sécurité des données confiées aux gestionnaires API et d’implémenter des mesures techniques et organisationnelles garantissant leur exactitude et leur intégrité.
- Gestionnaires d’API: la CNIL leur recommande d’élaborer une procédure à l’intention des détenteurs et des ré-utilisateurs de données afin de documenter la procédure d’accès aux API, le format et la sécurité des données et métadonnées utilisées, les mesures sécurisant l’API ainsi que le point de contact permettant à toute personne de signaler un problème de sécurité. Les gestionnaires d’API doivent également implémenter des mesures techniques assurant la minimisation et la sécurité des données collectées. Enfin, ils doivent permettre aux personnes concernées par le partage de données d’exercer leurs droits.
- ré-utilisateurs des données: la CNIL rappelle qu’il leur appartient de respecter les instructions encadrant l’utilisation et la sécurité des API, et qu’ils doivent le cas échéant, signaler au détenteur de données ou au gestionnaire d’API la non-conformité des instructions transmises à l’état de l’art en matière de sécurité. Ils sont également tenus de veiller à la sécurité des données et à leur minimisation en s’assurant notamment que les données traitées n’ont pas fait l’objet d’une opposition.
Cette recommandation est le fruit d’une première réflexion commune qui pave la voie vers une régulation en profondeur des API.
On sait que les API sont de plus en plus utilisées par les acteurs économiques non seulement en matière de protection des données pour les demandes d’exercice de droits, mais aussi, par exemple, pour gérer les prospects, faciliter le contact avec les clients, joindre son support informatique, … On ne peut donc que se réjouir d’une clarification complète du point de vue de plusieurs acteurs pour mettre en conformité et sécuriser un tel outil.
Espérons que l’information se diffuse et que les acteurs ne fassent pas la sourde oreille face à ces recommandations de sécurisation.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.