La CNIL a formulé sa nouvelle recommandation (non obligatoire) sur le partage des données personnelles par le biais d’API (une pratique recommandée). Une Interface de programmation applicative, ou application programming interface (API) permet la communication de machine à machine et la transmission de données dans un format structuré.
Privilégier le recours aux API
La Commission souligne que ces partages de données à caractère personnel doivent être accompagnés des mesures techniques adaptées pour garantir un niveau de sécurité dès la conception et maintenu dans le temps en adéquation avec les risques, et que les données partagées doivent être limitées au strict minimum.
A cet égard, elle considère que le recours aux interfaces de programmation applicatives, communément appelées « API » en référence à leur nom anglais « application programming interface », peut fournir un cadre technique favorable à ces partages dans de nombreux cas, sous réserve du respect de certains principes.
Identifier les cas de recours aux API
La recommandation vise à identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en œuvre et leur utilisation.
Le partage par le biais d’une API permet une meilleure supervision du partage des données, d’une part en contrôlant les accès, le degré de précision des données transmises et, le cas échéant, les finalités d’utilisation des données et, d’autre part, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisateur, en permettant la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits et notamment du droit à la portabilité, etc.).
En facilitant et en automatisant le partage de données, l’utilisation d’API présente toutefois des risques accrus de détournement de finalité, de perte de confidentialité et de contrôle des données ou encore concernant la transparence vis-à-vis des personnes concernées, qu’il est nécessaire de prendre en compte.
Les objectifs suivants devraient être considérés comme prioritaires lors de la mise en œuvre de mesures visant à réduire les risques :
– la minimisation des données échangées ;
– l’exactitude des données source ;
– la traçabilité des accès ;
– la gouvernance et le respect des droits ;
– la sécurité.
Exemple de déploiement
Une API peut par exemple être déployée de la façon suivante, selon les facteurs de vulnérabilité préalablement identifiés.
• Objectif #1 : l’information des personnes et la traçabilité des données.
Au vu de la gravité des conséquences que pourrait avoir une perte de disponibilité, d’intégrité ou de confidentialité des données dans cet exemple, des mesures importantes de traçabilité devraient être prises afin que le détenteur de données mais également la personne concernée puisse vérifier la légitimité des accès. Il est ici possible d’intégrer la personne concernée à cette vérification car les réutilisations sont théoriquement en faible nombre, et généralement initiées par la personne.
• Objectif #2 : la gouvernance et le respect des droits des personnes.
Les mesures de gouvernance devraient avoir pour objectif que seuls les organismes vérifiés puissent accéder aux données et cela, dans les conditions prévues. Les habilitations, les accès et la documentation devraient être à la mesure de la gravité des risques d’un accès illégitime aux données, d’un incident de sécurité ou d’une erreur lors du traitement.
Les mesures prises pour que les personnes puissent exercer leurs droits auprès du détenteur et des réutilisateurs devrait permettre à ceux-ci de vérifier que les utilisations de leurs données sont limitées à ce qui est prévu et de s’opposer à certaines utilisations lorsque le droit d’opposition n’est pas exclu.
• Objectif #3 : l’exactitude des données.
Au vu de l’impact pour les personnes d’une erreur dans leurs données lors de la fourniture du service essentiel, l’exactitude devrait être garantie.
• Objectif #4 : la minimisation des données.
Une perte de confidentialité des données partagées dans cet exemple pourrait avoir des conséquences graves pour les personnes. Ainsi en limitant les données partagées entre les organismes à ce qui est strictement nécessaire, ce risque peut être réduit.
• Objectif #5 : la sécurité des données.
Les mesures relatives à la sécurité devraient être considérées au cas par cas. En effet, bien qu’elles s’appliquent dans la majorité des cas, ces mesures doivent être mises en œuvre selon le niveau de risque évalué.