API et données personnelles : la Cnil fixe les règles

Clément Bohic,
Linkedin

La Cnil soumet à consultation publique un projet de recommandation sur l’usage des API pour le partage de données personnelles.

« Vous semble-t-il nécessaire de clarifier comment les rôles techniques usuels de fournisseur et consommateur d’API s’articulent avec les trois rôles retenus ? » La Cnil pose cette question dans le cadre d’une consultation publique ouverte jusqu’au 1er novembre.

Objet de cette consultation : une recommandation technique relative à l’utilisation des API pour le partage sécurisé de données personnelles. Les bonnes pratiques qu’elle contient s’articulent selon les trois rôles susmentionnés, définis comme suit.

définitions API

De manière générale, la Cnil recommande de favoriser les API lorsque :

– Les données sont partagées avec plusieurs réutilisateurs
– Elles sont fréquemment mises à jour
– Les réutilisateurs ont besoin d’y accéder régulièrement
– Il ne leur est pas utile de les stocker
– Ils n’ont pas systématiquement besoin d’accéder à l’intégralité des données
– Les méthodes utilisées pour garantir la sécurité des données sont susceptibles d’être mises à jour

Les API pour automatiser l’exercice des droits

L’autorité fournit une grille de lecture à prendre en considération. Parmi les éléments qui y figurent :

– Type d’accès à la base de données (lecture ou écriture ?)
– Conditions d’accès
– Niveau de sécurité des techniques d’authentification
– Nature des organismes impliqués dans le partage (maturité technique, capacités opérationnelles…)
– Types de données accessibles, granularité

Du cloisonnent physique ou logique au choix d’un format « pérenne, explicite et documenté », bien des recommandations ne sont pas exclusives au cas des API.

Pour ce qui est des éléments plus spécifiques, la Cnil met l’accent sur les capacités d’automatisation de l’exercice des droits des personnes concernées et des réutilisateurs. Elle traite par ailleurs distinctement les API ouvertes et celles en accès restreint. Tout en prônant globalement un principe de minimisation. Jusqu’au niveau des réutilisateurs. Qui « [devraient] interroger l’API à chaque fois qu'[ils entendent] traiter les données partagées, c’est-à-dire sans les conserver dans ses propres systèmes informatiques ». Et, lorsque la duplication des données est inévitable, la limiter au strict nécessaire.

Pour illustrer le cas dans lequel trois organismes distincts occupent les trois rôles, la Cnil donne l’exemple des agrégateurs bancaires. Pour le cas d’un organisme à la fois détenteur et gestionnaire, elle évoque l’API « Service national ». Avec elle, le ministère des Armées vérifie si les candidats sont en règle vis-à-vis de leurs obligations de service national. La télémétrie intégrée aux systèmes d’exploitation présente quant à elle un ca où un organisme est à la fois gestionnaire et réutilisateur.

Photo d’illustration © metamorworks – Adobe Stock