Recommandation tech­nique du 7 juillet 2023 rela­tive à l’utilisation des inter­faces de program­ma­tion appli­ca­tives (API) pour le partage sécu­risé de données à carac­tère person­nel 

Le 7 juillet 2023, la CNIL publie des recom­man­da­tions tech­niques rela­tives à l’utilisation des inter­faces de program­ma­tion appli­ca­tives (API, Application Programming Interface). Ces recom­man­da­tions ont été suivies d’une publi­ca­tion de la CNIL le 24 novembre 2023, appor­tant des clari­fi­ca­tions d’ordre géné­ral ainsi que sur la métho­do­lo­gie. Une liste d’outils a égale­ment été parta­gée, ainsi que des liens utiles concer­nant d’autres lignes direc­trices ou guides sur des sujets connexes. 

Les API sont des outils infor­ma­tiques permet­tant la commu­ni­ca­tion entre appli­ca­tions, souvent utili­sées dans l’objectif d’échanger des données ou services. Une API défi­nit l’ensemble des requêtes qu’une appli­ca­tion visant à utili­ser ce service peut effec­tuer. Elles sont créées par les déve­lop­peurs d’applications. 

L’API peut notam­ment être utili­sée dans le but d’obtenir des données. Ce serait notam­ment le cas d’une entre­prise permet­tant l’accès à des données de ses clients, sur la base de leur consen­te­ment, à des tiers agréés afin que ceux-ci puissent propo­ser à ces mêmes clients un service. Ces tiers accè­de­ront aux données par voie d’API. Un exemple de ce cas de figure est la possi­bi­lité de se connec­ter via Facebook, Google ou Apple sur certains sites, notam­ment de vente. En donnant son consen­te­ment, l’internaute permet à l’éditeur du site de vente (le réuti­li­sa­teur) de faire une requête envers, par exemple, Facebook (le déten­teur des données et égale­ment gestion­naire d’API) afin d’obtenir le nom et prénom de l’internaute et pouvoir l’afficher dans son compte utili­sa­teur. 

L’utilisation d’API est recom­man­dée dans le cadre de trai­te­ment de données person­nelles, car il permet de mini­mi­ser la quan­tité de données échan­gées, permet­tant à la personne faisant la requête d’obtenir unique­ment des données perti­nentes pour elle. Les mesures de sécu­rité et la gestion des droits d’accès sont un autre avan­tage de cet outil. Si l’on reprend l’exemple de l’API de Facebook, celle-ci sera défi­nie de manière à ce que les réuti­li­sa­teurs adressent des requêtes défi­nies, par exemple obte­nir le nom. Ceci permet de mini­mi­ser la quan­tité de données obte­nues, évitant ainsi un accès à l’intégralité des données déte­nues par Facebook sur un de ses utili­sa­teurs. 

Invoquant ces facteurs, la CNIL indique dans sa publi­ca­tion vouloir « promou­voir l’usage des API lorsqu’il est béné­fique ». En effet, les échanges de données et leur réuti­li­sa­tion peuvent être faci­li­tés par le recours à des API, que ce soit entre admi­nis­tra­tions publiques ou acteurs privés. De plus, les API sont une oppor­tu­nité d’intégrer les prin­cipes de privacy by design et by default si essen­tiels en matière de protec­tion des données. 

Les recom­man­da­tions de CNIL se divisent en quatre parties prin­ci­pales. La première partie est d’ordre géné­rale et analyse diffé­rents facteurs liés aux API. Les trois parties suivantes présentent des recom­man­da­tions spéci­fiques, visant chacune des parties prenantes dans l’utilisation d’une API, soit les déten­teurs des données, les gestion­naires d’API et les réuti­li­sa­teurs. 

La première partie présente les cas de figure dans lesquels l’utilisation des API est à privi­lé­gier – soit lorsque les données ou les mesures de sécu­ri­tés sont suscep­tibles d’être régu­liè­re­ment mises à jour, que les réuti­li­sa­teurs n’ont besoin que d’une partie des données ou que de manière ponc­tuelle –, ainsi que les risques liés à cette utili­sa­tion. La CNIL met en avant les bonnes pratiques à suivre pour s’assurer de leur respect en cas d’utilisation d’API. Outre le respect des prin­cipes géné­raux de la protec­tion des données, il est recom­mandé de mettre en place une gouver­nance effi­cace entre les diffé­rents acteurs impli­qués dans l’utilisation d’API. Cette gouver­nance peut être atteinte par la mise en place d’un cadre docu­men­taire, clari­fiant et décri­vant les rôles et respon­sa­bi­li­tés de chaque acteur ainsi que les moda­li­tés d’usage de l’API (l’art. 26 par. 1 RGPD prévoit que les respon­sa­bi­li­tés conjointes doivent être contrac­tuel­le­ment déter­mi­nées). Les proto­coles d’urgence devraient égale­ment être forma­lisés, prévoyant les mesures tech­niques à prendre en cas d’incident rela­tif à la sécu­rité des données. 

Similairement, il est recom­mandé de défi­nir une poli­tique de gestion des droits d’accès, qui devrait en parti­cu­lier porter sur les infor­ma­tions à four­nir par les réuti­li­sa­teurs afin de véri­fier la licéité de leur accès à l’API. Les infor­ma­tions à four­nir comportent, entre autres, l’identité du réuti­li­sa­teur, les fina­li­tés de réuti­li­sa­tion, les caté­go­ries de données néces­saires, ainsi que le volume, la fréquence et le type de requêtes envi­sa­gés. La CNIL recom­mande que ces infor­ma­tions soient trans­mises, tant pour les API en accès restreint que les API ouvertes, et que les habi­li­ta­tions soient accor­dées selon des niveaux, en fonc­tion de la durée des accès (usage unique ou durée déter­mi­née). 

Ces infor­ma­tions sont égale­ment néces­saires et pour­raient être four­nies aux personnes concer­nées. Les données rela­tives aux accès par des réuti­li­sa­teurs peuvent être collec­tées par des mesures de jour­na­li­sa­tion (logging). La CNIL précise les diffé­rentes infor­ma­tions à four­nir, prônant une trans­pa­rence élevée envers les personnes concer­nées, indi­quant que « a minima [les infor­ma­tions soient] présen­tées sur un site web porté à l’attention des personnes ». 

La deuxième partie vise les déten­teurs de données, qui pour­rait la plupart du temps tenir le rôle de respon­sable du trai­te­ment, du fait du contrôle qu’ils exercent sur les données, tant au niveau tech­nique qu’organisationnel. Les recom­man­da­tions spéci­fiques visent l’information des réuti­li­sa­teurs, des aspects rela­tifs à l’exactitude et l’intégrité des données et la sécu­rité. Sur les aspects sécu­ri­taires, la CNIL indique en parti­cu­lier les mesures rela­tives au cloi­son­ne­ment et la dispo­ni­bi­lité, l’authentification et la jour­na­li­sa­tion. Sur la jour­na­li­sa­tion, la CNIL indique qu’une analyse proac­tive doit être effec­tuée, tant pour les jour­naux internes qu’externes, dans l’objectif de véri­fier la légi­ti­mité des accès. Sur la durée de conser­va­tion des infor­ma­tions de jour­na­li­sa­tion, la Commission renvoie vers les recom­man­da­tions rela­tives à la durée de conser­va­tion (cf. Recommandation de la CNIL du 18 novembre 2021 rela­tive aux mesures de jour­na­li­sa­tion). 

La troi­sième partie concerne les gestion­naires d’API, qui sont les acteurs prin­ci­paux pouvant assu­rer la sécu­rité de la mise en œuvre de l’API. En effet, les gestion­naires d’API sont en charge de la gestion tech­nique de l’outil. Dans leurs acti­vi­tés, les gestion­naires d’API assurent le lien entre les déten­teurs et les réuti­li­sa­teurs, agis­sant souvent comme sous-trai­tants de l’un ou l’autre. Les recom­man­da­tions spéci­fiques à leur inten­tion portent sur la docu­men­ta­tion, la mini­mi­sa­tion — en parti­cu­lier sur l’utilisation de sand­box (bac à sable) compre­nant des données synthé­tiques avant d’avoir recours à des données réelles et un accent sur les mesures visant à éviter la réiden­ti­fi­ca­tion des données —, l’exercice des droits des personnes concer­nées et la sécu­rité. En matière de sécu­rité, la confi­den­tia­lité des commu­ni­ca­tions doit être garan­tie, la CNIL recom­man­dant d’avoir recours aux réfé­rences en matière cryp­to­gra­phique (cf. réfé­ren­tiel géné­ral de sécu­rité). 

Enfin, la dernière partie concerne les recom­man­da­tions à desti­na­tion des réuti­li­sa­teurs des données. Ceux-ci, dans le cadre d’utilisation d’API pour accé­der ou rece­voir des données, doivent stric­te­ment respec­ter les instruc­tions four­nies dans le cadre d’une charte ou licence de réuti­li­sa­tion. La CNIL préco­nise ici une sorte d’obligation de colla­bo­ra­tion des réuti­li­sa­teurs, notam­ment dans le cadre de l’information des personnes concer­nées et de mini­mi­sa­tion des données trai­tées. Comme pour les autres acteurs, des exigences parti­cu­lières de sécu­rité sont décrites, la prin­ci­pale visant la sécu­rité des clés. 

Les recom­man­da­tions de la CNIL comportent de plus des défi­ni­tions et cas d’usage parti­cu­liers permet­tant de clari­fier les diffé­rentes recom­man­da­tions faites. Cette ressource peut être parti­cu­liè­re­ment inté­res­sante pour les acteurs publics et privés concer­nés par les API et donner une ligne direc­trice dans l’élaboration d’une poli­tique spéci­fique en matière d’API ou tout autre docu­men­ta­tion visant à assu­rer la gouver­nance des données dans ce cadre. De manière plus géné­rale, ces recom­man­da­tions donnent des indi­ca­tions utiles sur les bonnes pratiques à suivre en cas de partage des données entre diffé­rents desti­na­taires. 

Au niveau suisse, le thème des API fait partie des trois thèmes prio­ri­taires dans la stra­té­gie Suisse numé­rique de la Confédération. Il est de la respon­sa­bi­lité du secteur de la Transformation numé­rique et gouver­nance de l’informatique (TNI) de la Chancellerie fédé­rale, qui soutient et coor­donne la trans­for­ma­tion numé­rique de l’administration fédé­rale en étroite colla­bo­ra­tion avec les départements.