La CNIL publie une recommandation technique relative au partage de données par API
La CNIL se prononce sur les bonnes pratiques à adopter pour partager des données personnelles par le biais des API. Ces outils de plus en plus utilisés pour transmettre des données sont recommandés par la CNIL dans certains cas, sous réserve de prendre des précautions élémentaires.
Le contexte
La CNIL observe depuis plusieurs années une augmentation des dispositifs visant à partager des données entre administrations, organismes privés ou encore directement avec des particuliers. L'utilisation des interfaces de programmation applicatives, ou API pour application programming interface, pour réaliser ces partages peut s’avérer vertueuse, notamment pour la protection des données personnelles. Elle ne doit toutefois pas se faire sans prendre en compte certaines bonnes pratiques lors de la conception, du déploiement et de leur utilisation.
Compte tenu des fonctionnalités offertes par les API en termes de sécurité, de minimisation des données ou de gestion des habilitations, la CNIL souhaite en promouvoir l’usage. En détaillant les principales applications, la nouvelle recommandation de la CNIL a vocation à nourrir la réflexion des organismes qui souhaitent partager des données dans leur choix des solutions techniques à adopter. Elle a ainsi pour objectif de les guider dans la mise en œuvre et l'utilisation des API sur l’ensemble de la chaîne du partage.
Tous les types de partages de données personnelles par API, qu’elles soient ouvertes ou à accès restreint, et tous les types d'organismes, publics ou privés, sont visés par cette recommandation.
La recommandation
La recommandation identifie les situations dans lesquelles l’utilisation d’API peut être recommandée, selon un faisceau de critères. Une liste de facteurs de risques est ensuite fournie afin de permettre aux organismes d’alimenter une analyse de risque et de s’orienter vers les principaux objectifs à atteindre pour suivre les recommandations de la CNIL.
Trois catégories d'acteurs que la CNIL a distinguées dans un partage de données par API y sont définies : les détenteurs de données, les gestionnaires d’API et les réutilisateurs de données. Ils sont incités à coopérer pour mettre en pratique la protection des données personnelles et prévoir le respect des droits des personnes dès la conception du traitement.
Des recommandations sont ensuite données à chaque catégorie pour les orienter vers les mesures leur permettant d’atteindre le niveau de sécurité recherché, mais également les mesures susceptibles de faciliter la conformité aux principes de la protection des données (exercice des droits, information, etc.). Il revient cependant aux organismes d’identifier les mesures s’appliquant à leur situation particulière selon le niveau de risque de leur traitement.
Retour sur la consultation
Cette recommandation avait fait l’objet d’une consultation publique au cours de laquelle la CNIL a recueilli les retours de 24 organismes. Ces retours ont été analysés et résumés dans une synthèse qui apporte des réponses à certaines des questions. La majorité des retours ont été pris en compte dans la nouvelle version du document.
En complément, la CNIL publiera prochainement sur son site web des contenus visant à spécifier les cas où les recommandations sont applicables.
Tous les acteurs concernés sont invités à prendre connaissance de la recommandation et à en tirer les conséquences sur les mesures à mettre en œuvre afin de respecter les obligations légales.