Les API, la sécurité à tout prix

Le 24 novembre 2023 et après consultation publique, la CNIL s’est prononcée sur les bonnes pratiques à adopter pour partager des données personnelles par le biais des API.

En effet, ces outils de partage sont de plus en plus sollicités pour la transmission des données et sont même recommandés par la CNIL lorsqu’ils respectent un certain nombre de mesures de sécurité élémentaires.

Cet article revient donc sur l’intérêt des API et l’avis de la Cnil sur le sujet mais surtout sur la publication de recommandations spécifiques à respecter en la matière.

Le Contexte

C’est quoi une API ?

Une interface de programmation d’application (API) est une interface qui permet de « connecter » un logiciel ou un service à un autre logiciel ou service afin d’échanger des données et des fonctionnalités. Ces API peuvent etre payantes ou non et proposer diverses fonctionnalités telles que la création de campagnes publicitaires ou encore la portabilité des données de manière générale.

Plus simplement, une API permet à un ordinateur de demander une information à un autre ordinateur via internet. Cela ressemble à l’ancêtre du minitel : un annuaire téléphonique permet à un humain, de demander une information à un autre humain, par téléphone. Ici, l’API joue le rôle de l’annuaire. Internet remplace désormais le téléphone et les ordinateurs sont utilisés par les hommes pour réaliser leur demande.

Il existe en majorité des API publiques, comme des API permettant d’accéder à la liste des jours fériés en France ou encore à la base documentaire Gallica de la Bibliothèque nationale de France. On les appelle des API open data car les données sont accessibles par n’importe quelle personne qui en fait la recherche.

D’autres API sont accessibles mais seulement par une catégorie de personnes concernées et qui permettent d’accéder à des données importantes et/ou sensibles. Nous pouvons prendre comme exemple :

  • L’API Entreprise qui donne accès aux administrations aux données des entreprises ;
  • L’API Impôt particulier qui donne accès aux données fiscales des citoyens ;
  • L’API Particulier : bouquet d’API donnant accès à des données administratives des particuliers.

L’API a pour objectif de réaliser des partages de données entre administrations, organismes privés ou encore directement avec des particuliers et constitue donc une véritable innovation.

Et qu’en pense la Commission nationale de l’informatique et des libertés (CNIL) ?

La Cnil a identifié une augmentation soutenue des partages de données à caractère personnel entre organismes depuis quelques années. C’est dans ce cadre bien précis qu’elle s’est prononcée sur le sujet et a publié le 24 novembre 2023 une méthodologie à respecter lors de création et du déploiement d’une API. En effet, la Cnil souligne que « ces partages de données à caractère personnel doivent être accompagnés des mesures techniques adaptées pour garantir un niveau de sécurité dès la conception et maintenu dans le temps en adéquation avec les risques, et que les données partagées doivent être limitées au strict minimum. »

Selon la Cnil, ces API permettraient même d’atteindre un niveau de sécurité plus élevé que certaines autres méthodes déjà existantes sur le marché, sous réserve du respect de certains principes.

Il convient toutefois de préciser que cette recommandation a vocation à indiquer des mesures techniques préconisées par la CNIL, en aucun cas de préciser le cadre juridique général relatif au partage de données par voie d’API.

Les recommandations de la CNIL

Le principe

Tous les types de partages de données personnelles par voie d’API, qu’elles soient ouvertes ou à accès restreint, et tous les types d’organismes, qu’ils soient publics ou privés, sont visés par cette recommandation.

La CNIL précise que ces partages peuvent impliquer des organismes différents, internes, pour divers motifs légaux, scientifiques, commerciaux, avec ou sans restrictions d’accès.

Cette recommandation s’applique en complément de la législation qui s’impose aux organismes en fonction de leur cœur de métier. Par exemple, la directive sur les services de paiement (DSP2) concerne le secteur bancaire. De même, le code des relations entre le public et l’administration (CRPA) s’applique aux partages entre administrations.

Nous identifions désormais trois rôles techniques.

  • Le détenteur de données : organisme/personne détenant des données à caractère personnel, en contrôlant le cycle de vie et les modalités d’accès.

Les données sont destinées à être partagées via une API, que ce soit sous leur forme originale ou après transformation, telle que l’anonymisation.

  • Le gestionnaire d’API : organisme/personne en charge de développer les composants techniques pour le partage des données via l’API.

Plusieurs acteurs peuvent assumer le rôle de gestionnaire d’API lorsque la gestion et le développement des outils impliquent plusieurs organismes.

  • Le réutilisateur de données : tout organisme ou personne public ou privé ayant accès aux données partagées par l’API.

Les trois rôles définis par la CNIL assignent des recommandations selon l’implication technique dans le partage de données. Cependant, ils ne précisent pas la responsabilité juridique de chaque organisme.

Il est important de souligner qu’un même organisme peut occuper plusieurs rôles.

Quelle est la responsabilité de ces 3 acteurs ?

Les organismes participant au partage examinent individuellement la responsabilité. Cependant, la CNIL a déjà identifié certains aspects de cette responsabilité :

  • Organismes qualifiés de Responsable de traitement : lorsque le partage est prévu par un texte ou lorsque l’API est mise en œuvre par un organisme privé qui détient les données, sur son initiative.
  • Responsabilités conjointes lorsque l’API est accessible sans restriction ou en open data : les réutilisateurs ne sont responsables que de leurs propres traitements et distincts du traitement d’ouverture des données par le biais de l’API.

Respect des recommandations énoncées par la Cnil

Afin de sécuriser l’ensemble du traitement de données, il est nécessaire de procéder en deux temps :

– Réaliser une analyse de risques ;

– Prise en compte des bonnes pratiques applicables à l’utilisation des API.

1. Phase d’analyse de risques

Les entreprises peuvent intégrer directement la phase d’analyse des risques dans la réalisation d’une analyse d’impact relative à la protection des données (AIPD) ou la mener indépendamment.

Selon la Cnil et afin d’être la plus pertinente possible, cette analyse devrait etre réalisée en prenant en compte les grilles d’analyse tierces, telles que :

2. Méthodologie de la Cnil

La CNIL estime crucial d’examiner chaque facteur de risque et de les évaluer individuellement. Lorsque la méthode indique une priorité pour l’un des objectifs mentionnés, les recommandations correspondantes doivent être mises en priorité.

a) Les facteurs de risques

Les facteurs de risques à prendre en compte sont les suivants :

  • Type d’accès à la base de données (en lecture seule ou en écriture) ;
  • Conditions d’accès aux données : (Eligibilité en termes d’accès, accès restreint ; revue à fréquence régulière des accès, etc.) ;
  • Méthode d’authentification ;
  • Organismes impliqués dans le partage : (Maturité technique, gouvernance européenne ou non, capacités opérationnelles, types de réutilisations, etc.) ;
  • Autres mesures techniques (physiques ou logiques) et organisationnelles prévues pour améliorer le niveau de sécurité du système (Stockage des données, chiffrement, journalisation, etc.) ;
  • État des connaissances sur les techniques utilisées et les risques associés : (Techniques d’anonymisation, maîtrise des systèmes d’informations utilisés, etc.) ;
  • Catégories de données accessibles par l’API : (Données à caractère personnel, données sensibles, données hautement personnelles comme des données bancaires, etc.) ;
  • Granularité des données et des requêtes : (Quantité de données sur une même personne fournies pour chaque requête, caractère identifiant des données, risque de réidentification par recoupement des résultats de plusieurs requêtes, etc.)
b) Les objectifs

En fonction des facteurs de risques, il convient de déterminer des objectifs ;

  • Respect du principe de minimisation des données ;
  • Information des personnes ;
  • Traçabilité des données ;
  • Gouvernance et respect des droits des personnes ;
  • Sécurité des données ;
  • Exactitude des données.

Une fois que nous établissons les objectifs, nous entreprenons l’implémentation des mesures de sécurité adéquates. Cela en tenant compte des facteurs de vulnérabilité identifiés. La détermination des objectifs intégrera également le contexte du traitement et les contraintes des organismes impliqués.

Pour aller plus loin

Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel (cnil.fr)

Pour conclure, la recommandation de la CNIL représente la première étape vers un contrôle approfondi des API. Espérons que les acteurs concernés prendront en considération cette recommandation. Ansi, ils mettront en place les mesures nécessaires pour assurer la sécurité de leurs API.

Tout notre contenu en replay sur notre chaîne Youtube.

Visionner notre dernier CyberZone.

Aude Aubry
Aude Aubry
Aude est un membre de notre équipe de rédaction, apportant une expertise de plus de 5 ans dans le domaine de la protection des données personnelles. Spécialisée en RGPD (Règlement général sur la protection des données), Aude a aidé de nombreuses entreprises et collectivités à se conformer à ces réglementations strictes et à protéger efficacement les informations sensibles. Outre son expertise en RGPD, Aude s'occupe actuellement de la mise en place de certifications ISO 27001 et HDS (Hébergement de données de santé).

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie