🟧 DĂ©libĂ©ration CNIL du 25 mai 2023 portant adoption d’une recommandation technique relative Ă  l’utilisation des interfaces de programmation applicatives (API) pour le partage sĂ©curisĂ© de donnĂ©es Ă  caractĂšre personnel

Références

NOR : CNIL2316369X
Source : JORF n°0147 du 27 juin 2023, texte n° 81

En-tĂȘte

La Commission nationale de l’informatique et des libertĂ©s,
Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 8-I-2°-b ;

Article

AprĂšs avoir entendu le rapport M. Claude CASTELLUCCIA, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission nationale de l’informatique et des libertĂ©s (la Commission) a observĂ© au cours des derniĂšres annĂ©es une augmentation soutenue des partages de donnĂ©es Ă  caractĂšre personnel entre organismes, qu’ils soient publics ou privĂ©s. Cette tendance, expliquĂ©e par l’intĂ©rĂȘt croissant dans la rĂ©utilisation des donnĂ©es pour diverses finalitĂ©s, est confirmĂ©e par le souhait du lĂ©gislateur de renforcer la possibilitĂ© de ces Ă©changes entre administrations mais Ă©galement entre organismes publics et privĂ©s.
La Commission souligne que ces partages de donnĂ©es Ă  caractĂšre personnel doivent ĂȘtre accompagnĂ©s des mesures techniques adaptĂ©es pour garantir un niveau de sĂ©curitĂ© dĂšs la conception et maintenu dans le temps en adĂ©quation avec les risques, et que les donnĂ©es partagĂ©es doivent ĂȘtre limitĂ©es au strict minimum. A cet Ă©gard, elle considĂšre que le recours aux interfaces de programmation applicatives, communĂ©ment appelĂ©es « API » en rĂ©fĂ©rence Ă  leur nom anglais « application programming interface », peut fournir un cadre technique favorable Ă  ces partages dans de nombreux cas, sous rĂ©serve du respect de certains principes.

Article 1

PĂ©rimĂštre de la recommandation

La prĂ©sente recommandation vise Ă  identifier les cas dans lesquels l’utilisation d’une API est prĂ©conisĂ©e afin de partager de maniĂšre sĂ©curisĂ©e des donnĂ©es Ă  caractĂšre personnel ou des informations issues de leur anonymisation, et Ă  diffuser certaines bonnes pratiques concernant leur mise en Ɠuvre et leur utilisation. Est ici entendue par « partage de donnĂ©es » la facultĂ© offerte, Ă  certains rĂ©utilisateurs identifiĂ©s ou bien au public, de rĂ©cupĂ©rer des donnĂ©es dĂ©tenues par un organisme, ou la facultĂ© des dĂ©tenteurs de donnĂ©es de transmettre celles-ci Ă  des fins de rĂ©utilisation par des tiers, lorsque cela est autorisĂ© ou demandĂ© par la rĂ©glementation. La prĂ©sente recommandation ne prĂ©sente pas de caractĂšre obligatoire, sauf lorsqu’elle rappelle les exigences dĂ©coulant du rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) et de la loi du 6 janvier 1978 modifiĂ©e (ci-aprĂšs loi « informatique et libertĂ©s »). Cependant, le respect de ces recommandations est de nature Ă  contribuer grandement au respect par les acteurs de leurs obligations, en particulier l’obligation de protection des donnĂ©es dĂšs la conception et de protection des donnĂ©es par dĂ©faut prĂ©vue Ă  l’article 25 du RGPD.
Cette recommandation identifie les acteurs les plus Ă  mĂȘme de mettre en Ɠuvre les diffĂ©rentes catĂ©gories de mesures nĂ©cessaires vis-Ă -vis de leur rĂŽle fonctionnel, sans prĂ©juger de leur qualification juridique. En pratique, cette qualification juridique devra ĂȘtre dĂ©terminĂ©e pour chaque cas particulier sur la base des critĂšres dĂ©finis par le RGPD, afin de dĂ©terminer les responsabilitĂ©s et les obligations qui en rĂ©sultent (voir les prĂ©cisions fournies plus bas Ă  ce sujet). Les bonnes pratiques retenues par la CNIL sont ainsi ventilĂ©es entre les dĂ©tenteurs de donnĂ©es, les gestionnaires d’API et les rĂ©utilisateurs. Une dĂ©finition de ces trois rĂŽles est proposĂ©e en annexe I et les paragraphes suivants dĂ©taillent les modalitĂ©s de leur coordination.
En outre, les mesures prĂ©cisĂ©es ne visent pas l’exhaustivitĂ©, mais ciblent les points d’attention techniques les plus importants dans la mise en Ɠuvre d’un partage de donnĂ©es par voie d’API. Certaines rĂšgles et bonnes pratiques sectorielles applicables aux partages de donnĂ©es par voie d’API devraient Ă©galement ĂȘtre prises en compte le cas Ă©chĂ©ant, telles que le rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© (RGS) (1) dans le cas d’un partage de donnĂ©es impliquant une administration, ou encore les autres recommandations de la CNIL (2).
La Commission souligne que les capacitĂ©s techniques liĂ©es Ă  chacun de ces trois rĂŽles peuvent grandement varier en pratique. Par ailleurs, plusieurs rĂŽles peuvent ĂȘtre tenus par le mĂȘme organisme. Cela sera le cas, par exemple, lorsque le dĂ©tenteur de donnĂ©es dĂ©veloppe lui-mĂȘme une API : il est alors Ă©galement gestionnaire d’API, et toutes les recommandations visant le dĂ©tenteur de donnĂ©es et le gestionnaire d’API s’appliqueront alors Ă  cet organisme. A contrario, plusieurs organismes peuvent avoir le mĂȘme rĂŽle. Cette situation est courante pour le rĂŽle de rĂ©utilisateur de donnĂ©es ; toutefois, elle peut Ă©galement exister pour les autres rĂŽles.
Le rĂŽle de gestionnaire d’API peut ĂȘtre tenu par plusieurs organismes lorsque la gestion et le dĂ©veloppement des outils techniques sur lesquels repose le partage sont rĂ©partis entre diffĂ©rents intervenants. Il arrive Ă©galement que seul un des trois rĂŽles existe Ă  un certain stade du traitement. En particulier, lorsqu’un gestionnaire d’API dĂ©veloppe un outil technique « sur Ă©tagĂšre », c’est Ă  dire dans la perspective de le mettre Ă  disposition d’autres organismes, la prĂ©sente recommandation devrait ĂȘtre prise en compte bien que ni le dĂ©tenteur de donnĂ©es, ni les rĂ©utilisateurs ne soient encore identifiĂ©s.
Enfin, le partage peut schĂ©matiquement ĂȘtre sĂ©quencĂ© afin que chacune de ses Ă©tapes principales corresponde Ă  l’organisation proposĂ©e.
L’annexe II prĂ©sente plusieurs cas d’usages frĂ©quemment observĂ©s, dans lesquels les rĂŽles de chacun sont identifiĂ©s et expliquĂ©s.

Vous pouvez consulter l’intĂ©gralitĂ© du texte avec ses images Ă  partir de l’extrait du Journal officiel Ă©lectronique authentifiĂ© accessible en bas de page

Figure 1. – SchĂ©ma relationnel entre les trois rĂŽles de dĂ©tenteur de donnĂ©es, de gestionnaire d’API et de rĂ©utilisateur

Un dĂ©tenteur de donnĂ©es est caractĂ©risĂ© par le fait qu’il contrĂŽle des donnĂ©es de maniĂšre technique ou organisationnelle. Un gestionnaire d’API est l’organisme en charge d’une partie ou de la totalitĂ© des composantes techniques sur lesquelles repose le partage de donnĂ©es. Enfin, le rĂ©utilisateur de donnĂ©es est tout organisme envisageant d’accĂ©der ou recevant des donnĂ©es par voie d’API en vue de les exploiter pour son propre compte.
Ces trois rĂŽles permettent de formuler des recommandations Ă  l’intention des acteurs selon leur rĂŽle technique dans le parcours des donnĂ©es, indĂ©pendamment de leur qualification juridique au regard du RGPD et des relations contractuelles pouvant exister entre eux, et ont de ce fait Ă©tĂ© privilĂ©giĂ©s par rapport aux rĂŽles habituels de fournisseur et de consommateur d’API (voir annexe I). Toutefois, l’articulation entre ces diffĂ©rents rĂŽles est gĂ©nĂ©ralement la suivante :

– Le dĂ©tenteur de donnĂ©es sera :
– fournisseur d’API, lorsqu’il est Ă©galement gestionnaire d’API. C’est le cas le plus courant ;
– consommateur d’API, lorsqu’il transmet lui-mĂȘme les donnĂ©es (ou rĂ©alise d’autres actions) via l’API ;
– Le gestionnaire d’API sera :
– fournisseur d’API, dans la majoritĂ© des cas ;
– ni fournisseur, ni consommateur lorsque son rĂŽle est liĂ© Ă  la mise en Ɠuvre technique du partage de donnĂ©es mais accessoire au fonctionnement de l’API (c’est le cas d’un site rĂ©pertoriant l’API pour le compte du dĂ©tenteur de donnĂ©es, par exemple) ;
– Le rĂ©utilisateur sera :
– consommateur d’API, dans la majoritĂ© des cas ;
– fournisseur d’API, lorsqu’il est Ă©galement gestionnaire d’API et reçoit les donnĂ©es des dĂ©tenteurs par des requĂȘtes en Ă©criture.

Les API prĂ©sentent une grande variĂ©tĂ©. La plupart des API ne sont ouvertes qu’Ă  certaines personnes autorisĂ©es Ă  accĂ©der aux donnĂ©es (API en accĂšs restreint), tandis que d’autres sont un moyen technique permettant de mettre des donnĂ©es Ă  la disposition du public, et sont accessibles Ă  tous (API ouvertes). Certaines API prĂ©voient des requĂȘtes permettant aux rĂ©utilisateurs d’accĂ©der aux donnĂ©es (requĂȘtes en lecture, dĂ©finies en annexe I), alors que d’autres prĂ©voient des requĂȘtes permettant aux dĂ©tenteurs de donnĂ©es de partager activement leurs donnĂ©es (requĂȘtes en Ă©criture, Ă©galement dĂ©finies en annexe I). Cette recommandation et les trois rĂŽles prĂ©cĂ©dents s’appliquent de façon identique Ă  ces diffĂ©rentes situations.
S’agissant de la qualification juridique des acteurs, il peut ĂȘtre relevĂ© que le dĂ©tenteur de donnĂ©es sera gĂ©nĂ©ralement responsable du traitement de partage, dans la mesure oĂč il aura librement dĂ©cidĂ© des finalitĂ©s et des moyens du traitement ou lorsqu’il aura Ă©tĂ© contraint lĂ©galement de le mettre en Ɠuvre ; par voie de consĂ©quence, les recommandations exposĂ©es ci-dessous le concerneront pleinement. Il pourra aussi, en cas de dĂ©termination conjointe des finalitĂ©s et moyens du traitement, en ĂȘtre « responsable conjoint » avec un ou plusieurs des autres acteurs, en particulier avec le rĂ©utilisateur si celui-ci a, en droit ou en pratique, exercĂ© une influence dĂ©terminante sur les objectifs et conditions de mise en Ɠuvre du traitement en cause. Toutefois, la qualification du rĂ©utilisateur correspondra souvent, et simplement, Ă  celle de « destinataire » au sens du RGPD, sans prĂ©judice de sa responsabilitĂ© Ă  l’Ă©gard du traitement qu’il mettra en Ɠuvre pour son propre compte dans la cadre de la rĂ©utilisation des donnĂ©es partagĂ©es. De son cĂŽtĂ©, le gestionnaire de l’API agira gĂ©nĂ©ralement en tant que sous-traitant, c’est-Ă -dire pour le compte et sous les instructions du dĂ©tenteur de donnĂ©es et/ou du rĂ©utilisateur. Il n’est toutefois pas exclu que le gestionnaire de l’API mette en Ɠuvre le traitement de partage pour son propre compte, en qualitĂ© de responsable de traitement, notamment lorsqu’il agit en tant qu’intermĂ©diaire.
Il ressort de ce qui prĂ©cĂšde qu’une analyse au cas par cas est indispensable pour dĂ©finir la qualification juridique des acteurs, et ainsi dĂ©terminer sur quel(s) acteur(s), Ă  quel titre et dans quelle mesure, pĂšse la responsabilitĂ© de tenir compte des recommandations, ou obligations le cas Ă©chĂ©ant, exposĂ©es ci-dessous. La prĂ©sente recommandation formule des « bonnes pratiques fonctionnelles » concernant chacun des trois rĂŽles. Chaque recommandation est attribuĂ©e Ă  l’acteur techniquement le plus Ă  mĂȘme de les mettre en Ɠuvre, sans prĂ©judice de la rĂ©partition juridique des responsabilitĂ©s rĂ©sultant du RGPD ou d’autres textes rĂ©glementaires.

Article 2

Recommandations générales

Sur les motifs justifiant le recours Ă  une API :
L’utilisation d’API est Ă  favoriser lorsque :

– les donnĂ©es sont frĂ©quemment mises Ă  jour, et/ou les rĂ©utilisateurs ont besoin d’y accĂ©der rĂ©guliĂšrement ; et/ou
– leur stockage par le rĂ©utilisateur n’est pas utile (utilisation unique ou traitement en continu sans nĂ©cessitĂ© d’historique) ; et/ou
– le ou les rĂ©utilisateurs n’ont pas systĂ©matiquement besoin d’accĂ©der Ă  l’intĂ©gralitĂ© des donnĂ©es mais seulement Ă  un sous-ensemble des donnĂ©es non identifiable Ă  l’avance ; et/ou
– les mĂ©thodes utilisĂ©es pour garantir leur sĂ©curitĂ© sont susceptibles d’ĂȘtre mises Ă  jour.

Dans tous les cas de la liste prĂ©cĂ©dente, la Commission recommande l’utilisation d’une API pour le partage de donnĂ©es Ă  caractĂšre personnel. Elle le recommande d’autant plus si les donnĂ©es sont partagĂ©es Ă  de nombreux rĂ©utilisateurs, voire mises Ă  disposition du public. Elle dĂ©conseille en principe, dans ces cas, le recours Ă  une plateforme de partage de donnĂ©es ou Ă  un service de communication Ă©lectronique (tels que dĂ©finis en annexe I). Dans les autres cas, l’utilisation d’une API peut Ă©galement ĂȘtre pertinente, mais son opportunitĂ© doit ĂȘtre Ă©valuĂ©e en comparaison avec les autres techniques de partage de donnĂ©es possibles.
En effet, la Commission a observĂ© que le niveau de sĂ©curitĂ© apportĂ© par les API est gĂ©nĂ©ralement plus Ă©levĂ© que celui relatif Ă  ces autres mĂ©thodes, notamment en ce qui concerne la sĂ©curitĂ© des communications par messagerie Ă©lectronique ou encore la gouvernance des donnĂ©es une fois que celles-ci ont Ă©tĂ© partagĂ©es par messagerie Ă©lectronique ou sur une plateforme de partage, ou que ces modes d’Ă©change nĂ©cessitaient la transmission de grandes quantitĂ©s de donnĂ©es, parfois inutilement.
Par consĂ©quent, le partage par le biais d’une API permet une meilleure supervision du partage des donnĂ©es, d’une part en contrĂŽlant les accĂšs, le degrĂ© de prĂ©cision des donnĂ©es transmises et, le cas Ă©chĂ©ant, les finalitĂ©s d’utilisation des donnĂ©es et, d’autre part, grĂące Ă  la mise en place d’une interface d’Ă©change standardisĂ©e entre dĂ©tenteur, gestionnaire et rĂ©utilisateur, en permettant la transmission sĂ©curisĂ©e d’informations associĂ©es Ă  l’Ă©change de donnĂ©es (durĂ©e de conservation, gestion de l’exercice des droits et notamment du droit Ă  la portabilitĂ©, etc.).
Sur les risques liĂ©s Ă  l’utilisation d’une API :
En facilitant et en automatisant le partage de donnĂ©es, l’utilisation d’API prĂ©sente toutefois des risques accrus de dĂ©tournement de finalitĂ©, de perte de confidentialitĂ© et de contrĂŽle des donnĂ©es ou encore concernant la transparence vis-Ă -vis des personnes concernĂ©es, qu’il est nĂ©cessaire de prendre en compte. Les objectifs suivants devraient ĂȘtre considĂ©rĂ©s comme prioritaires lors de la mise en Ɠuvre de mesures visant Ă  rĂ©duire les risques :

– la minimisation des donnĂ©es Ă©changĂ©es ;
– l’exactitude des donnĂ©es source ;
– la traçabilitĂ© des accĂšs ;
– la gouvernance et le respect des droits ;
– la sĂ©curitĂ©.

Les objectifs prĂ©cĂ©dents sont Ă  considĂ©rer dans le contexte du partage de donnĂ©es, selon la vraisemblance et la gravitĂ© des risques associĂ©s. Les facteurs suivants, que la Commission considĂšre comme particuliĂšrement importants dans le cadre d’un partage de donnĂ©es par voie d’API, devraient ĂȘtre pris en compte :

– type d’accĂšs Ă  la base de donnĂ©es : en lecture seule ou en Ă©criture ;
– dĂ©livrance des autorisations et conditions d’accĂšs aux donnĂ©es : si l’accĂšs est soumis Ă  une autorisation, quelles vĂ©rifications sont apportĂ©es afin de valider ces demandes ? ;
– niveau de sĂ©curitĂ© des techniques d’authentification utilisĂ©es ;
– nature des organismes impliquĂ©s dans le partage (maturitĂ© technique, gouvernance europĂ©enne ou non, capacitĂ©s opĂ©rationnelles, etc.) ;
– autres mesures techniques (physiques ou logiques) et organisationnelles prĂ©vues pour amĂ©liorer le niveau de sĂ©curitĂ© du systĂšme ;
– Ă©tat des connaissances sur les techniques utilisĂ©es et les risques associĂ©s ;
– catĂ©gories de donnĂ©es accessibles par l’API : certaines donnĂ©es sensibles au sens de l’article 9 du RGPD ou encore des donnĂ©es Ă  caractĂšre hautement personnel (tels que des donnĂ©es bancaires ou des donnĂ©es de gĂ©olocalisation) sont plus susceptibles de faire l’objet d’attaques ou d’entraĂźner des consĂ©quences plus graves ;
– degrĂ© de prĂ©cision des donnĂ©es et des requĂȘtes : possibilitĂ© d’accĂ©der uniquement Ă  certaines informations ciblĂ©es.

Cette liste de facteurs devrait ĂȘtre considĂ©rĂ©e par chacun des acteurs concernĂ©s par le partage de donnĂ©es, quel que soit leur rĂŽle. Une documentation recensant les choix faits doit ĂȘtre constituĂ©e et conservĂ©e. Lorsqu’elles ne relĂšvent pas d’une obligation lĂ©gale, les recommandations prĂ©conisĂ©es dans le reste de ce document seront Ă  considĂ©rer au cas par cas, selon le niveau de risque dĂ©terminĂ© et selon les moyens techniques susceptibles d’ĂȘtre mis en Ɠuvre par l’organisme.
Lorsque le traitement de partage mis en Ɠuvre est susceptible d’engendrer un risque Ă©levĂ© pour les droits et libertĂ©s des personnes concernĂ©es, cette analyse technique devra ĂȘtre intĂ©grĂ©e Ă  une analyse plus large, appelĂ©e analyse d’impact relative Ă  la protection des donnĂ©es, conformĂ©ment aux dispositions de l’article 35 du RGPD et aux lignes directrices en la matiĂšre (3).

Sur la coordination fonctionnelle des organismes :
Bien que la prĂ©sente recommandation prĂ©conise des bonnes pratiques correspondant Ă  chacun des rĂŽles fonctionnels prĂ©cĂ©demment exposĂ©s (dĂ©tenteur de donnĂ©es, gestionnaire d’API et rĂ©utilisateur des donnĂ©es), la mise en place d’une gouvernance efficace entre ces trois types d’acteurs reprĂ©sente un enjeu majeur pour le respect des grands principes « informatique et libertĂ©s ».
En particulier, et quelle que soit la rĂ©partition des responsabilitĂ©s rĂ©sultant des qualifications juridiques des acteurs prĂ©cĂ©demment Ă©voquĂ©e, il est recommandĂ© que les organismes concernĂ©s par le traitement se coordonnent sur les modalitĂ©s de mise en Ɠuvre de la prĂ©sente recommandation. Cette coordination fonctionnelle devrait ĂȘtre formalisĂ©e sous la forme d’une documentation, dĂ©finissant d’une maniĂšre gĂ©nĂ©rale les rĂŽles et responsabilitĂ©s de chaque acteur, et prĂ©cisant les procĂ©dures mises en Ɠuvre dans le cadre de cette recommandation afin de s’assurer de leur prise en compte par chacun des acteurs. Cette documentation, qui n’est pas nĂ©cessairement spĂ©cifique Ă  chaque partage, devrait toutefois ĂȘtre suffisamment prĂ©cise et complĂšte pour prĂ©voir et encadrer chaque cas d’usage.

Sur l’information des personnes :
Les organismes impliquĂ©s dans le partage de donnĂ©es devraient se coordonner pour fournir une information claire et complĂšte aux personnes, concernant le traitement de mise Ă  disposition de leurs donnĂ©es Ă  caractĂšre personnel. La Commission recommande que les mesures de traçabilitĂ© permises par les API, et en particulier la journalisation des accĂšs et des actions, soient utilisĂ©es afin de collecter des informations statistiques concernant l’utilisation des donnĂ©es. Ces informations pourront ĂȘtre agrĂ©gĂ©es grĂące Ă  un procĂ©dĂ© automatisĂ© dont la prĂ©cision devrait ĂȘtre adaptĂ©e notamment Ă  la gravitĂ© des consĂ©quences pour les personnes que pourraient entraĂźner une utilisation dĂ©tournĂ©e de l’API ou un accĂšs illĂ©gitime aux donnĂ©es. Lorsqu’une tentative d’accĂšs illĂ©gitime aux donnĂ©es est particuliĂšrement vraisemblable et qu’elle pourrait entraĂźner des consĂ©quences particuliĂšrement graves, comme cela est le cas pour certaines API accessibles par FranceConnect, les informations fournies Ă  la personne devraient inclure la liste exhaustive des accĂšs aux donnĂ©es sur la pĂ©riode pertinente, ainsi que leur horodatage afin de permettre Ă  la personne concernĂ©e d’identifier un accĂšs illĂ©gitime, en complĂ©ment des autres mesures de sĂ©curitĂ© mises en Ɠuvre par le responsable de traitement. Dans le cas gĂ©nĂ©ral, la Commission souligne que la liste des rĂ©utilisateurs devra ĂȘtre portĂ©e Ă  la connaissance des personnes concernĂ©es, lorsqu’elle est connue. Elle considĂšre Ă©galement comme une bonne pratique le fait de rendre publics ou de fournir aux personnes, pour chacune des API et Ă©ventuellement selon plusieurs niveaux d’information dont le premier serait comprĂ©hensible pour le grand public :

– une description dĂ©taillĂ©e des donnĂ©es partagĂ©es, de leur frĂ©quence d’Ă©chantillonnage, des opĂ©rations rĂ©alisĂ©es en amont de leur partage, telles que des processus de pseudonymisation ou d’anonymisation ;
– des informations concernant les accĂšs aux donnĂ©es rĂ©alisĂ©s via l’API, telles que leur frĂ©quence, leur volume ou leur profondeur historique ;
– les objectifs de sĂ©curitĂ© visĂ©s.

Ces informations devraient ĂȘtre mises Ă  jour au grĂ© de leur Ă©volution, de maniĂšre automatisĂ©e lorsque le dispositif le permet. Les modifications devraient ĂȘtre portĂ©es Ă  la connaissance des personnes concernĂ©es de maniĂšre individuelle lorsqu’elles changent substantiellement la nature du partage, notamment lorsque les donnĂ©es sont partagĂ©es pour une nouvelle finalitĂ© ou lorsque les restrictions d’accĂšs les concernant Ă©voluent de façon significative.
La Commission recommande que les informations prĂ©cĂ©demment citĂ©es soient a minima prĂ©sentĂ©es sur un site web portĂ© Ă  l’attention des personnes ou qu’elles leur soient communiquĂ©es directement, sous un format accessible et comprĂ©hensible. Lorsque cela est pertinent au regard du niveau de risque Ă©valuĂ©, en particulier au regard du besoin de confidentialitĂ© des donnĂ©es concernĂ©es, ainsi que de la criticitĂ© du traitement, l’accĂšs Ă  ces informations devra ĂȘtre sĂ©curisĂ© au moyen d’une mĂ©thode d’authentification conforme aux recommandations de la Commission, telle que FranceConnect dans la sphĂšre publique.

Sur la sélection des données :
Pour assurer le respect des textes en vigueur encadrant d’ores et dĂ©jĂ  le partage de donnĂ©es, et en application du principe de minimisation, la Commission encourage le dĂ©tenteur de donnĂ©es Ă  mener une rĂ©flexion avec les rĂ©utilisateurs des donnĂ©es sur les donnĂ©es strictement nĂ©cessaires aux rĂ©utilisations que chacun d’eux prĂ©voit, pour limiter le partage Ă  ces seules donnĂ©es dans le respect des Ă©ventuels textes encadrant le partage, en particulier lorsque celui-ci implique des organismes publics. A cet Ă©gard, elle souligne les Ă©lĂ©ments suivants.
Les catĂ©gories de donnĂ©es, leur format, leur profondeur historique, leur prĂ©cision, leur frĂ©quence d’Ă©chantillonnage, leur frĂ©quence de mise Ă  jour et les mesures de pseudonymisation ou d’anonymisation qui leur sont appliquĂ©es, devront notamment ĂȘtre choisies pour rĂ©pondre strictement aux besoins relatifs aux rĂ©utilisations prĂ©vues.
Le dĂ©tenteur de donnĂ©es devrait poursuivre cette rĂ©flexion avec les rĂ©utilisateurs aprĂšs l’ouverture des accĂšs, afin de recueillir leurs retours, notamment lorsque ces derniers n’ont pas pu ĂȘtre inclus dans la rĂ©flexion initiale.
Les donnĂ©es concernĂ©es par le partage devraient ĂȘtre frĂ©quemment recensĂ©es, afin d’identifier celles dont le partage ne serait plus pertinent et d’y mettre fin. Le format des donnĂ©es choisi devrait ĂȘtre pĂ©renne, univoque et documentĂ© pour limiter les risques liĂ©s Ă  une erreur d’interprĂ©tation humaine ou logicielle.
Afin de garantir que les donnĂ©es partagĂ©es par l’API soient au format attendu, l’utilisation d’un outil de validation des donnĂ©es est recommandĂ©e.
L’infrastructure technique, le format des donnĂ©es et les modalitĂ©s d’interrogation de l’API, telles que le niveau de prĂ©cision autorisĂ© dans les requĂȘtes, devraient ĂȘtre choisis pour respecter au mieux les recommandations prĂ©cĂ©dentes et Ă©viter le partage de donnĂ©es non pertinentes vis-Ă -vis de chacun des rĂ©utilisateurs, qu’il s’agisse des organismes ayant Ă  connaĂźtre des donnĂ©es ou des personnes physiques appartenant Ă  l’organisme rĂ©utilisateur lorsque plusieurs niveaux d’accĂšs sont prĂ©vus au sein de cet organisme selon le niveau d’habilitation des personnes. Ces mesures devraient ĂȘtre intĂ©grĂ©es directement dans l’API.
Enfin, lorsque les catĂ©gories de donnĂ©es pertinentes ne peuvent pas ĂȘtre prĂ©cisĂ©ment identifiĂ©es en amont du traitement, comme cela peut ĂȘtre le cas en matiĂšre de recherche, la Commission recommande qu’une phase d’expĂ©rimentation prĂ©alable soit mise en Ɠuvre afin de vĂ©rifier la pertinence de certaines catĂ©gories sur des volumes restreints de donnĂ©es. Cette phase d’expĂ©rimentation, menĂ©e en coopĂ©ration avec le gestionnaire d’API et les rĂ©utilisateurs, devrait permettre de confirmer la pertinence des choix faits et le respect des recommandations Ă©noncĂ©es dans les paragraphes prĂ©cĂ©dents. Cette phase d’expĂ©rimentation devrait utiliser l’infrastructure technique prĂ©vue en conditions rĂ©elles dans une version « bac Ă  sable » et se limiter, autant que possible, Ă  des donnĂ©es fictives ou altĂ©rĂ©es.

Sur l’exercice des droits sur le partage des donnĂ©es :
Les droits des personnes concernĂ©es par un traitement consistant Ă  partager leurs donnĂ©es au moyen d’une API recouvrent :

– le droit d’accĂšs, de rectification, d’effacement et de portabilitĂ© sur la base source utilisĂ©e par l’API ;
– le droit Ă  l’information sur les partages opĂ©rĂ©s ;
– le droit Ă  l’opposition ou au retrait du consentement au partage, ainsi que le droit Ă  la limitation du traitement.

Recourir Ă  une API permet d’automatiser un certain nombre d’opĂ©rations de traitement et de faciliter les demandes d’exercice des droits sur le partage, participant Ă  leur prise en compte effective. Il est recommandĂ© de limiter les opĂ©rations manuelles relatives au traitement de ces demandes.
Lorsqu’une personne concernĂ©e par le partage retire son consentement, exerce son droit d’opposition ou Ă  la limitation, l’API devrait intĂ©grer un dispositif technique permettant d’exclure automatiquement du champ du partage les donnĂ©es concernĂ©es.
Dans certains cas, comme lorsque la temporalitĂ© du traitement justifie une rĂ©ponse rapide Ă  une demande d’exercice des droits ou lorsqu’une erreur dans les donnĂ©es pourrait avoir des consĂ©quences graves pour les personnes, l’API devrait Ă©galement intĂ©grer un dispositif spĂ©cifique permettant au dĂ©tenteur de donnĂ©es d’informer chaque rĂ©utilisateur auquel les donnĂ©es ont Ă©tĂ© communiquĂ©es, de toute rectification, effacement de donnĂ©es ou limitation de traitement faisant suite Ă  l’exercice des droits par les personnes concernĂ©es, cette information pouvant ĂȘtre obligatoire dans certains cas en vertu de l’article 19 du RGPD. De maniĂšre plus gĂ©nĂ©rale, ce dispositif devrait aussi permettre au dĂ©tenteur d’informer activement les rĂ©utilisateurs sur les Ă©ventuelles restrictions aux rĂ©utilisations, qui pourraient notamment rĂ©sulter de l’exercice des droits (p. ex. : opposition Ă  certaines finalitĂ©s de rĂ©utilisation). Il appartiendrait Ă  ces derniers de les prendre en compte, de prĂ©fĂ©rence de maniĂšre automatisĂ©e lorsque le dispositif prĂ©vu par le dĂ©tenteur le permet.
Ce dispositif spĂ©cifique peut notamment reposer sur une API dĂ©diĂ©e Ă  la communication d’informations relatives Ă  l’exercice des droits, un balisage des donnĂ©es (voir annexe I) ou sur l’association de mĂ©tadonnĂ©es aux donnĂ©es lors de leur communication. En effet, l’utilisation d’un fichier indiquant les restrictions de rĂ©utilisation des donnĂ©es afin que celles-ci soient prises en compte par les rĂ©utilisateurs n’est pas Ă  privilĂ©gier.
Il convient de noter que la base lĂ©gale qui fonde le traitement de partage de donnĂ©es a des consĂ©quences sur les droits des personnes concernĂ©es, certains droits pouvant ĂȘtre Ă©cartĂ©s en fonction de celle-ci ou en vertu de textes rĂ©glementaires.

Sur la gestion des accĂšs :
Lorsque l’API est soumise Ă  une restriction d’accĂšs (« API en accĂšs restreint »), la Commission recommande que le mĂ©canisme de demande d’accĂšs mis en place exige de chaque rĂ©utilisateur qu’il apporte les informations nĂ©cessaires Ă  la vĂ©rification de la licĂ©itĂ© de son accĂšs Ă  l’API. Lorsque ce n’est pas obligatoire, il est gĂ©nĂ©ralement recommandĂ© au rĂ©utilisateur d’informer le dĂ©tenteur des donnĂ©es de la finalitĂ© pour laquelle il accĂšde aux donnĂ©es, ainsi que des catĂ©gories de donnĂ©es nĂ©cessaires. La Commission recommande que le rĂ©utilisateur informe le dĂ©tenteur du volume, de la profondeur historique, de la frĂ©quence et du type de requĂȘtes envisagĂ©s afin de dimensionner les moyens techniques Ă  mettre en Ɠuvre.
Dans le cas d’une « API ouverte », la Commission recommande, Ă  titre de bonne pratique, qu’un systĂšme de registre public facultatif et ne restreignant pas l’accĂšs Ă  l’API permette de connaĂźtre ces mĂȘmes informations et l’identitĂ© des destinataires. Ce registre pouvant porter atteinte Ă  la vie privĂ©e ou aux donnĂ©es Ă  caractĂšre personnel des destinataires, son opportunitĂ© doit ĂȘtre Ă©valuĂ©e au cas par cas.
Le dĂ©tenteur de donnĂ©es et le gestionnaire d’API devraient se coordonner pour mettre en Ɠuvre une procĂ©dure de gestion des accĂšs et, le cas Ă©chĂ©ant, d’attribution des habilitations, rĂ©pondant aux objectifs de sĂ©curitĂ©, traçabilitĂ© et minimisation. Lorsque l’accĂšs Ă  l’API est soumis Ă  une validation prĂ©alable, les procĂ©dures correspondantes devraient ĂȘtre formalisĂ©es au sein d’une politique de gestion des habilitations prĂ©cisant les procĂ©dures d’attribution des secrets d’authentification, les conditions de leur transmission, de leur sauvegarde, de leur rĂ©vocation et de leur renouvellement. L’authentification donnant accĂšs Ă  l’API devrait ĂȘtre rĂ©alisĂ©e par un systĂšme robuste et Ă©prouvĂ© de vĂ©rification de clĂ© reposant sur des protocoles cryptographiques conformes aux recommandations de la Commission.
Les habilitations devraient ĂȘtre accordĂ©es selon plusieurs niveaux, ne donnant accĂšs qu’aux donnĂ©es nĂ©cessaires au traitement et n’accordant que les permissions nĂ©cessaires. Cette diffĂ©renciation peut avoir lieu par rĂ©utilisateur, mais aussi ĂȘtre mise en Ɠuvre en interne par le rĂ©utilisateur afin de limiter les accĂšs de ses agents ou employĂ©s aux donnĂ©es strictement nĂ©cessaires. Les accĂšs devraient ĂȘtre donnĂ©s pour une durĂ©e dĂ©terminĂ©e, cohĂ©rente avec les besoins du rĂ©utilisateur et avec la durĂ©e de validitĂ© des donnĂ©es (certaines donnĂ©es, comme celles concernant la situation gĂ©ographique ou encore financiĂšre des personnes par exemple, pouvant nĂ©cessiter des mises Ă  jour rĂ©guliĂšres). En particulier, des accĂšs Ă  usage unique ou Ă  trĂšs courte durĂ©e devraient ĂȘtre fournis pour rĂ©aliser des expĂ©rimentations ponctuelles. La sĂ©curitĂ© du mĂ©canisme d’authentification utilisĂ© devrait ĂȘtre vĂ©rifiĂ©e et ses instructions d’utilisation rigoureusement suivies. Des mesures de sĂ©curitĂ© devraient notamment ĂȘtre mises en place afin de protĂ©ger le systĂšme d’information des intrusions et des attaques par dĂ©ni de service, par exemple en bloquant temporairement un accĂšs aprĂšs un nombre trop important de tentatives de connexions infructueuses. La possibilitĂ© devrait Ă©galement ĂȘtre laissĂ©e aux rĂ©utilisateurs de rĂ©voquer unilatĂ©ralement leurs accĂšs, notamment en cas de dĂ©tection de compromission de leurs secrets d’authentification.
Lorsque les dĂ©tenteurs de donnĂ©es rĂ©alisent le partage de leurs donnĂ©es au moyen d’une requĂȘte en Ă©criture, les mesures de sĂ©curitĂ© dĂ©crites dans le paragraphe prĂ©cĂ©dent devraient leur ĂȘtre appliquĂ©es. Les droits d’Ă©criture qui leur sont accordĂ©s devraient ĂȘtre limitĂ©s Ă  ce qui est strictement nĂ©cessaire, afin d’Ă©viter la compromission de donnĂ©es dĂ©jĂ  sauvegardĂ©es. Lorsque plusieurs bases coexistent, l’accĂšs ne devrait ĂȘtre fourni qu’aux bases auxquelles le dĂ©tenteur a besoin d’accĂ©der. Une distinction entre les privilĂšges de lecture, d’ajout, de modification des donnĂ©es et de l’architecture de la base et d’Ă©criture devrait ĂȘtre faite, afin de limiter les privilĂšges accordĂ©s Ă  ceux strictement nĂ©cessaires.
Pour garantir la disponibilitĂ© des services pour les rĂ©utilisateurs de donnĂ©es, ces derniers devraient ĂȘtre notifiĂ©s Ă  l’avance quand leur secret d’authentification arrive Ă  expiration et un moyen de le renouveler sans interrompre leur service devrait leur ĂȘtre fourni.

Sur la gestion interne des API :
La Commission recommande qu’une gouvernance dĂ©diĂ©e soit mise en place chez chacun des acteurs pour le partage de donnĂ©es par voie d’API. Cette dĂ©marche devrait ĂȘtre documentĂ©e et faire l’objet d’un suivi rĂ©gulier pour garantir son effectivitĂ©.
Une documentation facilement accessible Ă  tous les intervenants ayant Ă  en connaĂźtre devrait formaliser les procĂ©dures et, notamment, les protocoles d’urgence Ă  mettre en Ɠuvre en cas de survenance d’un Ă©vĂ©nement concernant la sĂ©curitĂ© des donnĂ©es. Cette documentation devrait Ă©galement comporter une description technique permettant l’intĂ©gration, le dĂ©veloppement, la mise Ă  jour et l’interruption des systĂšmes liĂ©s aux API.
La Commission recommande qu’un outil de gestion des versions (voir annexe I) soit utilisĂ© afin de suivre les modifications apportĂ©es au code source du systĂšme permettant le partage. Une procĂ©dure devrait permettre de revenir Ă  une version antĂ©rieure du systĂšme lorsqu’un risque est identifiĂ©. Une attention particuliĂšre devrait ĂȘtre apportĂ©e au cloisonnement du code source sauvegardĂ© sur cet outil et des donnĂ©es n’ayant pas Ă  y figurer, telles que les clĂ©s de chiffrement, dont la prĂ©sence peut ĂȘtre dĂ©tectĂ©e grĂące Ă  un outil vĂ©rifiĂ© de recherche des secrets dans le code source (voir annexe I). D’une maniĂšre gĂ©nĂ©rale, l’Ă©criture pĂ©renne, ou « en dur », de secrets dans le code source, devrait ĂȘtre Ă©vitĂ©e et l’utilisation d’un gestionnaire ou d’un dĂ©tecteur de secrets devrait ĂȘtre privilĂ©giĂ©e pour en Ă©viter la divulgation ou pour la dĂ©tecter.
Plus gĂ©nĂ©ralement, la gestion des API devrait s’inscrire dans la politique de sĂ©curitĂ© des systĂšmes d’information de chacun des acteurs. Leur intĂ©gration devrait ĂȘtre prise en compte dans les procĂ©dures de sĂ©curitĂ© existantes et ces derniĂšres devraient ĂȘtre adaptĂ©es pour tenir compte des risques spĂ©cifiques aux API.

Article 3

Recommandations spĂ©cifiques Ă  l’intention des dĂ©tenteurs de donnĂ©es

Sur l’information des rĂ©utilisateurs :
La Commission recommande que le dĂ©tenteur de donnĂ©es tienne une documentation Ă  jour Ă  l’intention des rĂ©utilisateurs, concernant les donnĂ©es rendues accessibles. Cette documentation devrait fournir en termes clairs des informations gĂ©nĂ©rales telles que la provenance des donnĂ©es, la mĂ©thode de collecte utilisĂ©e, leur frĂ©quence de mise Ă  jour, leur format de transmission, leur profondeur historique, leur fiabilitĂ© et les procĂ©dĂ©s de pseudonymisation ou d’anonymisation utilisĂ©s. Le dĂ©tenteur de donnĂ©es devrait s’assurer que les rĂ©utilisateurs ont pris connaissance de cette documentation avant tout accĂšs effectif aux donnĂ©es.
La Commission recommande par ailleurs l’utilisation de mĂ©tadonnĂ©es associĂ©es aux donnĂ©es ou Ă  un groupe de donnĂ©es, indiquant par exemple la date de collecte des donnĂ©es, leur fiabilitĂ© ou encore leur durĂ©e de validitĂ©. Le dĂ©tenteur de donnĂ©es devrait s’assurer de la fiabilitĂ© des mĂ©tadonnĂ©es, en particulier lorsque celles-ci dĂ©crivent la qualitĂ©, le statut, la disponibilitĂ© de la donnĂ©e ou encore ses conditions de rĂ©utilisation.
Enfin, le dĂ©tenteur de donnĂ©es devrait mettre en place un canal de communication avec les rĂ©utilisateurs de donnĂ©es, afin que ces derniers puissent signaler tout problĂšme technique ou risque relatif Ă  la confidentialitĂ©, l’intĂ©gritĂ© et la disponibilitĂ© des donnĂ©es, notamment les risques de rĂ©identification identifiĂ©s a posteriori. A cet Ă©gard, plusieurs points de contact devraient exister, en fonction du niveau d’urgence des signalements, permettant ainsi au dĂ©tenteur de donnĂ©es de prendre connaissance des risques signalĂ©s dans les meilleurs dĂ©lais.

Sur l’exactitude et l’intĂ©gritĂ© des donnĂ©es :
Le dĂ©tenteur des donnĂ©es, gĂ©nĂ©ralement responsable du traitement de mise Ă  disposition, doit accorder une attention particuliĂšre Ă  l’exactitude et Ă  l’intĂ©gritĂ© des donnĂ©es avant et pendant leur transmission et mettre en place les mesures techniques et organisationnelles permettant de garantir que les rĂ©utilisateurs accĂšdent Ă  des donnĂ©es exactes et Ă  jour. En particulier, une vĂ©rification rĂ©guliĂšre de l’exactitude des donnĂ©es devrait ĂȘtre menĂ©e. Lorsqu’un risque particulier relatif Ă  l’intĂ©gritĂ© des donnĂ©es existe, des mesures reposant notamment sur des procĂ©dĂ©s cryptographiques, tels que des empreintes cryptographiques ou condensats (dits « hachĂ©s » ou « hash »), devraient ĂȘtre utilisĂ©es pour la garantir.
Lorsque le dĂ©tenteur de donnĂ©es rĂ©alise lui-mĂȘme la transmission des donnĂ©es au rĂ©utilisateur au moyen d’une requĂȘte en Ă©criture, il devrait s’assurer d’avoir suivi la procĂ©dure dĂ©crite pour garantir leur intĂ©gritĂ© et Ă©viter tout risque de compromission d’une partie ou de la totalitĂ© de la base existante. Le dĂ©tenteur de donnĂ©es devrait porter une attention particuliĂšre aux messages retournĂ©s par le serveur distant, ceux-ci pouvant indiquer qu’une erreur a eu lieu lors d’une requĂȘte en Ă©criture.

Sur la sécurité :

Objectifs généraux :
Le dĂ©tenteur de donnĂ©es doit assurer la sĂ©curitĂ© des donnĂ©es qu’il produit et qu’il confie au gestionnaire d’API pour mise Ă  disposition aux rĂ©utilisateurs.
Le dĂ©tenteur de donnĂ©es devrait Ă©tudier la sĂ©curitĂ© du systĂšme prĂ©vu pour le partage de donnĂ©es en lien avec le gestionnaire d’API et informer ce dernier de tout risque de sĂ©curitĂ© identifiĂ©. En particulier, la sĂ©curitĂ© de l’interface entre l’API et la base de donnĂ©es devrait ĂȘtre rigoureusement vĂ©rifiĂ©e. En effet, un partage de donnĂ©es par voie d’API, en tant qu’interconnexion entre deux systĂšmes d’information, notamment lorsqu’un des deux appartient Ă  une entitĂ© tierce, constitue une modification significative du systĂšme d’information. Ce changement devrait donc entraĂźner un renouvellement anticipĂ© d’une Ă©ventuelle homologation du systĂšme d’information pour prendre en compte les menaces et risques rĂ©sultant de cette interconnexion.

Cloisonnement et disponibilité :
La Commission recommande que les donnĂ©es dont l’accĂšs est prĂ©vu par l’API (« base source » de l’API) soient sĂ©parĂ©es des autres catĂ©gories de donnĂ©es lorsque le partage de ces derniĂšres n’est pas prĂ©vu et que leur divulgation pourrait entraĂźner des consĂ©quences graves pour les personnes. En particulier, lorsqu’un procĂ©dĂ© de pseudonymisation ou d’anonymisation est prĂ©vu, les donnĂ©es brutes devraient ĂȘtre physiquement ou logiquement sĂ©parĂ©es des donnĂ©es issues de ce procĂ©dĂ©. La base source de l’API pourra alors ĂȘtre alimentĂ©e par un procĂ©dĂ© d’exportation de donnĂ©es automatisĂ© et sĂ©curisĂ©, sous rĂ©serve que la latence introduite par ce procĂ©dĂ© n’entraĂźne pas d’indisponibilitĂ© des donnĂ©es.
Lorsque les rĂ©utilisations prĂ©vues par les rĂ©utilisateurs sont des traitements critiques dont une indisponibilitĂ© (mĂȘme temporaire) pourrait entraĂźner des consĂ©quences graves, le dĂ©tenteur de donnĂ©es devrait accorder une importance particuliĂšre Ă  la disponibilitĂ© des donnĂ©es. Il devrait mettre en place les mesures techniques nĂ©cessaires pour Ă©viter une compromission ou une indisponibilitĂ© de la base de donnĂ©es et pour en limiter l’impact le cas Ă©chĂ©ant, comme la redondance des infrastructures ou la mise en Ɠuvre rĂ©guliĂšre de tests d’intĂ©gritĂ© des donnĂ©es et de leurs sauvegardes.

Authentification :
Lorsque le dĂ©tenteur de donnĂ©es s’authentifie pour accĂ©der Ă  l’API, ce qui peut ĂȘtre le cas notamment lorsqu’il rĂ©alise lui-mĂȘme l’Ă©criture sur la base du rĂ©utilisateur, il devrait mettre en place les mesures techniques et opĂ©rationnelles garantissant la sĂ©curitĂ© des secrets d’authentification et, notamment, leur intĂ©gritĂ© et leur confidentialitĂ©. Un systĂšme de sĂ©curisation des secrets d’authentification adaptĂ© aux risques liĂ©s Ă  une compromission de l’accĂšs Ă  l’API, tel qu’un coffre-fort numĂ©rique, devrait ĂȘtre utilisĂ©. Lorsqu’un risque relatif Ă  la sĂ©curitĂ© des secrets est identifiĂ©, le rĂ©utilisateur devrait en informer le gestionnaire d’API dans les plus brefs dĂ©lais, pour que celui-ci procĂšde Ă  leur rĂ©vocation lorsque c’est nĂ©cessaire.

Journalisation :
Le dĂ©tenteur de donnĂ©es devrait s’assurer qu’une journalisation effective des accĂšs et actions rĂ©alisĂ©es sur la base de donnĂ©es a lieu : cette journalisation peut ĂȘtre techniquement rĂ©alisĂ©e par le dĂ©tenteur des donnĂ©es et/ou par le gestionnaire d’API. Dans tous les cas, le dĂ©tenteur des donnĂ©es devrait conserver une copie de ces traces, pour une durĂ©e conforme aux recommandations de la Commission.
La journalisation des accĂšs externes, par les rĂ©utilisateurs autorisĂ©s Ă  utiliser l’API, devrait ĂȘtre rĂ©alisĂ©e avec un niveau de dĂ©tail dĂ©pendant de l’importance du risque que reprĂ©sente une intrusion dans la base de donnĂ©es ou une utilisation dĂ©tournĂ©e du traitement. Dans le cas gĂ©nĂ©ral, la Commission recommande que les opĂ©rations de crĂ©ation, consultation, modification et suppression des donnĂ©es Ă  caractĂšre personnel auxquels la journalisation est appliquĂ©e fassent l’objet d’un enregistrement comprenant l’auteur individuellement identifiĂ©, l’horodatage, la nature de l’opĂ©ration rĂ©alisĂ©e ainsi que la rĂ©fĂ©rence des donnĂ©es concernĂ©es par l’opĂ©ration avec un degrĂ© de prĂ©cision adaptĂ© Ă  la gravitĂ© des consĂ©quences que pourraient entraĂźner pour les personnes une utilisation dĂ©tournĂ©e de l’API ou un accĂšs illĂ©gitime aux donnĂ©es.
Une analyse proactive et rĂ©guliĂšre des journaux internes et externes devrait ĂȘtre menĂ©e afin de vĂ©rifier la lĂ©gitimitĂ© des actions rĂ©alisĂ©es. Celle-ci peut ĂȘtre automatisĂ©e (gĂ©nĂ©rant des alertes revues par des opĂ©rateurs) ou bien mise en Ɠuvre par des mesures organisationnelles (par exemple, gĂ©nĂ©ration de rapports rĂ©guliers et contrĂŽle humain des accĂšs aux donnĂ©es). Plus particuliĂšrement, dans les cas oĂč un comportement inhabituel peut facilement ĂȘtre identifiĂ©, une journalisation et une analyse spĂ©cifiques devraient avoir lieu et faire l’objet d’un signalement permettant d’en vĂ©rifier la lĂ©gitimitĂ©. Lorsqu’un dĂ©tournement du traitement pourrait entraĂźner des consĂ©quences importantes pour les personnes, tout accĂšs supposĂ© illĂ©gitime aux donnĂ©es devrait leur ĂȘtre signalĂ© dans les plus brefs dĂ©lais.
Les journaux pourraient Ă©galement ĂȘtre utilisĂ©s afin de vĂ©rifier que les rĂ©utilisateurs ont bien pris en compte une Ă©ventuelle mise Ă  jour des donnĂ©es. La prĂ©cision et la durĂ©e de conservation des donnĂ©es doit ĂȘtre adaptĂ©e Ă  chacune des finalitĂ©s de journalisation. Dans ce cas, le dĂ©tenteur des donnĂ©es pourrait ainsi alerter les rĂ©utilisateurs. Les informations issues de la journalisation permettent Ă©galement d’assurer une traçabilitĂ© sur les accĂšs effectifs aux donnĂ©es, dont les rĂ©sultats pourraient ĂȘtre fournis aux personnes concernĂ©es, notamment Ă  des fins de transparence ou dans le cadre de l’exercice de son droit d’accĂšs. Le dĂ©tenteur des donnĂ©es devrait s’assurer que ces informations leur sont restituĂ©es dans un format accessible et aisĂ©ment comprĂ©hensible, notamment par le recours Ă  des procĂ©dĂ©s statistiques.

Article 4

Recommandations spĂ©cifiques Ă  l’intention des gestionnaires d’API

Le gestionnaire d’API est le mieux Ă  mĂȘme d’assurer en pratique la sĂ©curitĂ© de la mise en Ɠuvre de l’API, que ce soit en tant que responsable de traitement auquel cette obligation incombe, ou bien en tant que sous-traitant auquel le responsable de traitement confie contractuellement la mise en Ɠuvre de cette obligation. Il rĂ©alise le lien entre le dĂ©tenteur de donnĂ©es et les rĂ©utilisateurs et s’assure que le systĂšme est conforme Ă  leurs besoins.

Sur la documentation :
La Commission recommande que le gestionnaire d’API crĂ©e une documentation Ă  l’intention des dĂ©tenteurs de donnĂ©es et des rĂ©utilisateurs, suffisamment dĂ©taillĂ©e et transparente pour rĂ©duire les risques liĂ©s Ă  une utilisation imprĂ©vue de l’outil. Un gĂ©nĂ©rateur automatique de documentation (voir annexe I) reconnu pourra ĂȘtre utilisĂ© Ă  cet effet. Cette documentation pour ĂȘtre complĂšte devrait reposer sur plusieurs supports (fichiers « readme », site web de type « wiki », commentaires apportĂ©s au code si celui-ci est ouvert, infolettre informant sur les mises Ă  jour et nouveautĂ©s, etc.).
Cette documentation devrait dĂ©crire en premier lieu la procĂ©dure d’accĂšs aux API. Lorsque l’accĂšs Ă  l’API est soumis Ă  une validation prĂ©alable, les conditions Ă  remplir pour y accĂ©der devraient ĂȘtre clairement dĂ©crites. Lorsque l’accĂšs Ă  l’API peut ĂȘtre donnĂ© selon diffĂ©rents niveaux d’habilitation, les accĂšs prĂ©vus pour chacun de ces niveaux et les profils de rĂ©utilisateurs attendus, par leur finalitĂ© notamment, devraient ĂȘtre clairement dĂ©crits. Des indications concernant les modalitĂ©s d’utilisation et de stockage des secrets d’authentification devraient ĂȘtre fournies.
En deuxiĂšme lieu, le format des donnĂ©es et des mĂ©tadonnĂ©es et les dĂ©cisions spĂ©cifiques prises concernant leur reprĂ©sentation devraient ĂȘtre dĂ©crits dans la documentation. Le gestionnaire d’API devrait indiquer la signification de chacune des variables dĂ©crivant les donnĂ©es, et en proposer des exemples d’utilisation clairs. Le gestionnaire d’API devrait dĂ©crire prĂ©cisĂ©ment les variables relatives Ă  la sĂ©curitĂ© des donnĂ©es ou dĂ©crivant leurs conditions techniques d’utilisation telles que leur durĂ©e de validitĂ© ou leur fiabilitĂ©. De plus, la documentation devrait prĂ©ciser les catĂ©gories de requĂȘtes et leur format. Elle devrait Ă©galement dĂ©crire les paramĂštres devant ou pouvant ĂȘtre passĂ©s dans ces requĂȘtes. Des exemples reprĂ©sentatifs des usages prĂ©vus de l’API devraient ĂȘtre fournis pour illustrer les informations prĂ©cĂ©dentes.
En troisiĂšme lieu, la Commission recommande que la documentation dĂ©crive les aspects relatifs Ă  la sĂ©curitĂ© du systĂšme. Les limites de l’API devraient y ĂȘtre indiquĂ©es, en particulier le volume et la frĂ©quence maximale des requĂȘtes. Les capacitĂ©s du systĂšme, notamment en cas de forte demande, devraient y ĂȘtre Ă©galement dĂ©crites et, lorsque des pĂ©riodes de forte demande peuvent ĂȘtre anticipĂ©es, les pĂ©riodes Ă  privilĂ©gier devraient ĂȘtre indiquĂ©es. Les standards, normes et certifications auxquels se conforme l’API devraient Ă©galement ĂȘtre dĂ©crits.
En dernier lieu, la documentation devrait indiquer plusieurs points de contact permettant Ă  quiconque de signaler un problĂšme concernant la sĂ©curitĂ© de l’API. Un moyen de communication rĂ©actif devrait ĂȘtre choisi pour traiter les demandes urgentes.

Sur la minimisation :
Le gestionnaire, en ce qu’il rĂ©alise l’implĂ©mentation technique de l’API, est le mieux Ă  mĂȘme de mettre en Ɠuvre les mesures techniques de minimisation dĂ©cidĂ©es lors de la concertation entre le dĂ©tenteur de donnĂ©es et le rĂ©utilisateur dĂ©taillĂ©e Ă  l’article 2.

Expérimentations dans un « bac à sable » :
La Commission recommande qu’une version jumelle de l’API, donnant accĂšs Ă  des donnĂ©es fictives, soit proposĂ©e afin de permettre aux rĂ©utilisateurs de donnĂ©es de rĂ©aliser des expĂ©rimentations et de sĂ©lectionner plus prĂ©cisĂ©ment les donnĂ©es nĂ©cessaires au traitement. L’accĂšs Ă  cette version devrait ĂȘtre facilitĂ© et une aide technique devrait ĂȘtre proposĂ©e aux rĂ©utilisateurs.

Limitations :
La Commission recommande que le gestionnaire d’API mette en Ɠuvre des limitations au traitement des requĂȘtes afin d’assurer la disponibilitĂ© du systĂšme et de prĂ©venir toute utilisation dĂ©tournĂ©e de l’API. Ces limitations devraient s’appliquer Ă  chacune des requĂȘtes, ainsi que par rĂ©utilisateur de donnĂ©es. Les limitations pourraient porter sur le volume, la profondeur historique et la prĂ©cision des donnĂ©es. Ces limitations devraient prendre en compte les besoins rĂ©els des rĂ©utilisateurs et ne devraient pas empĂȘcher l’accĂšs Ă  des donnĂ©es Ă  jour, faute de quoi les rĂ©utilisateurs risqueraient d’utiliser des donnĂ©es inexactes.
Pour les usages d’API dont l’objectif est de ne pas rĂ©vĂ©ler de donnĂ©es Ă  caractĂšre personnel (donnĂ©es anonymisĂ©es ou agrĂ©gĂ©es), des mĂ©thodes visant Ă  prĂ©server la confidentialitĂ© des donnĂ©es de chacune des personnes enregistrĂ©es dans la base devraient ĂȘtre mises en Ɠuvre par le gestionnaire d’API. La robustesse de ces mĂ©thodes devrait ĂȘtre vĂ©rifiĂ©e, en particulier vis-Ă -vis de mĂ©thodes de rĂ©identification telles que les attaques par corrĂ©lation. En effet, mĂȘme lorsque les donnĂ©es ne sont pas directement identifiantes, un rĂ©utilisateur pourrait ĂȘtre en capacitĂ© de rĂ©identifier une personne en rĂ©alisant des requĂȘtes croisĂ©es sur la base de donnĂ©es, en effectuant un suivi longitudinal sur des donnĂ©es temporelles, ou en utilisant des informations tierces accessibles en dehors de cette base.

Sur l’exercice des droits concernant le partage de donnĂ©es :
La Commission recommande que le gestionnaire d’API mette en Ɠuvre les mesures techniques nĂ©cessaires afin de permettre aux dĂ©tenteurs de donnĂ©es et aux rĂ©utilisateurs, le cas Ă©chĂ©ant, de rĂ©pondre aux demandes d’exercice des droits comme prĂ©vu Ă  l’article 2.
Ces mesures devraient ĂȘtre prĂ©cisĂ©es dans les documents dĂ©crivant les modalitĂ©s de coordination entre dĂ©tenteur de donnĂ©es, gestionnaire d’API et rĂ©utilisateur.

Sur la sécurité :

Objectifs généraux :
Le gestionnaire d’API s’assure du respect des obligations de sĂ©curitĂ© rĂ©sultant de l’article 32 du RGPD, en s’appuyant notamment sur les recommandations de la CNIL en vigueur, telles que son guide de la sĂ©curitĂ© des donnĂ©es Ă  caractĂšre personnel. Pour la mise en Ɠuvre des API, la Commission recommande que le gestionnaire d’API se conforme aux normes techniques communĂ©ment admises, telles que le rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© (RGS) (4) de l’Agence nationale de sĂ©curitĂ© des systĂšmes d’information et ses recommandations applicables au type de systĂšme considĂ©rĂ©, les rĂ©fĂ©rences « RFC » (pour « requests for comments » en anglais) relatives Ă  des protocoles standardisĂ©s, ainsi que des solutions Ă©prouvĂ©es.

Communications :
En particulier, dans le cas d’une API en accĂšs restreint, le chiffrement appliquĂ© aux communications devrait garantir un haut niveau de confidentialitĂ©. Pour rappel, la Commission considĂšre que les rĂšgles et recommandations dĂ©crites dans les annexes B1 et B2 du RGS sont la rĂ©fĂ©rence en ce qui concerne l’Ă©tat de l’art de la cryptographie. Le gestionnaire d’API devrait mettre en Ɠuvre les mesures nĂ©cessaires afin que ce niveau de chiffrement soit appliquĂ© Ă  toutes les communications, quel que soit le niveau de maturitĂ© technique du dĂ©tenteur de donnĂ©es ou des rĂ©utilisateurs. En particulier, le gestionnaire d’API devrait dĂ©finir et imposer des mesures de chiffrement minimales aux rĂ©utilisateurs.

SĂ©curitĂ© des systĂšmes d’information :
Le gestionnaire d’API devrait assurer la sĂ©curitĂ© du systĂšme d’information dans sa globalitĂ© et dans le temps, en appliquant les normes et pratiques Ă  l’Ă©tat de l’art dans le domaine, telles que les normes ISO 9001 et ISO 27001. Le gestionnaire d’API devrait mettre en Ɠuvre les mesures nĂ©cessaires pour se prĂ©munir contre les attaques les plus connues et pouvant vraisemblablement ĂȘtre anticipĂ©es, telles que les injections de code ou les attaques exploitant des vulnĂ©rabilitĂ©s entre sites de type « cross-site request forgery » (CSRF). La Commission recommande Ă  cet Ă©gard l’utilisation de requĂȘtes prĂ©parĂ©es et de mesures visant Ă  prĂ©munir contre les attaques de type CSRF. Les outils tiers devraient faire l’objet d’une analyse a priori afin de garantir leur sĂ©curitĂ© et leur pĂ©rennitĂ©. Les composants logiciels tiers mettant en Ɠuvre des API liĂ©es au traitement devraient ĂȘtre analysĂ©s et les instructions relatives Ă  leur utilisation, et en particulier Ă  leur sĂ©curitĂ©, connues et appliquĂ©es. Les points d’accĂšs non utilisĂ©s devraient ĂȘtre identifiĂ©s et rĂ©voquĂ©s. Lors de la mise Ă  jour d’un outil logiciel, la version antĂ©rieure devrait ĂȘtre conservĂ©e pendant une pĂ©riode permettant d’assurer la compatibilitĂ© des accĂšs pendant une pĂ©riode de recouvrement. Lors de la fermeture d’une API ou d’une de ses versions, une attention particuliĂšre devrait ĂȘtre apportĂ©e Ă  la rĂ©vocation effective des accĂšs afin de garantir que les rĂ©utilisateurs n’ont accĂšs qu’aux seules versions des API dont l’ouverture est effectivement prĂ©vue.
Le gestionnaire d’API devrait s’assurer de la fiabilitĂ© et de la robustesse des mĂ©tadonnĂ©es et autres informations relatives Ă  la sĂ©curitĂ© du systĂšme. Des informations dĂ©crivant la qualitĂ©, la validitĂ©, et la disponibilitĂ© des donnĂ©es et des indications concernant le statut de l’API, telles que la charge instantanĂ©e ou des statistiques relatives Ă  son utilisation, devraient ĂȘtre fournies aux rĂ©utilisateurs.
Les interruptions de la disponibilitĂ© de l’API devraient ĂȘtre prĂ©vues longtemps Ă  l’avance, et les rĂ©utilisateurs de l’API devraient en ĂȘtre informĂ©s. Cette information devrait inclure les Ă©lĂ©ments nĂ©cessaires Ă  l’information des personnes concernĂ©es, dans l’hypothĂšse oĂč cette indisponibilitĂ© programmĂ©e aurait un impact sur celles-ci.
Lorsque les rĂ©utilisations prĂ©vues par les rĂ©utilisateurs sont des traitements critiques dont une indisponibilitĂ©, qu’elle rĂ©sulte d’un acte malveillant ou accidentel, pourrait entraĂźner des consĂ©quences graves, le gestionnaire d’API devrait accorder une importance particuliĂšre Ă  la disponibilitĂ© de l’API et prĂ©voir un dispositif alternatif Ă  celle-ci garantissant un niveau de sĂ©curitĂ© similaire. Il devrait prioriser les traitements en question et mettre en place les mesures techniques permettant de mesurer le niveau de disponibilitĂ© de l’API et de garantir que celui-ci reste suffisant.

Journalisation :
La Commission recommande vivement que le gestionnaire d’API mette en Ɠuvre des outils permettant une journalisation des accĂšs Ă  l’API par les rĂ©utilisateurs conforme Ă  la recommandation de la CNIL. Les fonctionnalitĂ©s des API facilitant la traçabilitĂ© devraient ĂȘtre exploitĂ©es. Selon le niveau de risque Ă©valuĂ©, la quantitĂ© d’information journalisĂ©e devrait ĂȘtre adaptĂ©e, selon le cadre gĂ©nĂ©ral dĂ©crit Ă  l’article 3.
Ainsi, une analyse rĂ©guliĂšre et proactive devrait pouvoir ĂȘtre rĂ©alisĂ©e par les outils mis en Ɠuvre par le gestionnaire d’API, afin de vĂ©rifier la lĂ©gitimitĂ© des actions rĂ©alisĂ©es. Les procĂ©dures prĂ©vues devraient permettre de dĂ©tecter les surcharges du systĂšme et l’indisponibilitĂ© des donnĂ©es. Ces analyses devraient donner lieu Ă  des signalements internes ou au dĂ©tenteur de donnĂ©es. Il est recommandĂ© que des informations statistiques relatives Ă  la disponibilitĂ© du systĂšme et Ă  son utilisation soient fournies au dĂ©tenteur de donnĂ©es et aux rĂ©utilisateurs.

Article 5

Recommandations spĂ©cifiques Ă  l’intention des rĂ©utilisateurs

Il appartient au rĂ©utilisateur de donnĂ©es d’appliquer rigoureusement les instructions Ă  sa disposition concernant l’utilisation et la sĂ©curitĂ© de l’API et de s’assurer de la licĂ©itĂ© des usages qu’il fait des donnĂ©es. Lorsque le rĂ©utilisateur constate que certaines instructions sont obsolĂštes, inadaptĂ©es, incomplĂštes ou non conformes Ă  l’Ă©tat de l’art en matiĂšre de sĂ©curitĂ©, il devrait en informer le dĂ©tenteur de donnĂ©es ou le gestionnaire d’API.
Lorsqu’une charte ou licence de rĂ©utilisation est fournie, le rĂ©utilisateur devrait en prendre connaissance et la diffuser Ă  chacun de ses agents ou employĂ©s ayant accĂšs aux donnĂ©es.

Sur l’information des personnes concernĂ©es :
L’information des personnes concernĂ©es sur le partage de leurs donnĂ©es avec les rĂ©utilisateurs relĂšve de la ou des entitĂ©s qui endossent la responsabilitĂ© de traitement de ce partage, ce qui est en principe toujours le cas du dĂ©tenteur, et peut ĂȘtre, dans certaines hypothĂšses, celui du rĂ©utilisateur. Outre les catĂ©gories de donnĂ©es et les finalitĂ©s de leur accĂšs par le rĂ©utilisateur, la Commission recommande que ce dernier informe les personnes concernĂ©es sur les mesures de minimisation prises et le niveau de sĂ©curitĂ© appliquĂ© aux donnĂ©es, et, Ă  titre de bonne pratique, sur la volumĂ©trie et la frĂ©quence attendues des requĂȘtes.
Sur la minimisation :
Lorsqu’un accĂšs temporaire ou restreint est proposĂ© dans le cadre d’une expĂ©rimentation de l’API, le rĂ©utilisateur devrait en profiter pour dĂ©terminer les donnĂ©es strictement nĂ©cessaires Ă  ses besoins.
Pour des besoins ponctuels ou concernant des donnĂ©es peu volumineuses, le rĂ©utilisateur de donnĂ©es devrait interroger l’API chaque fois qu’il entend traiter les donnĂ©es partagĂ©es, c’est-Ă -dire sans les conserver dans ses propres systĂšmes informatiques. En requĂȘtant systĂ©matiquement au moyen de l’API les donnĂ©es dont il a besoin, il s’assure ainsi d’obtenir les donnĂ©es les plus Ă  jour, limite leur surface d’exposition et prend en compte au plus tĂŽt toute modification faisant suite Ă  une demande d’exercice des droits. Lorsque la duplication des donnĂ©es est inĂ©vitable, le rĂ©utilisateur doit notamment limiter celle-ci au strict nĂ©cessaire, dĂ©finir une durĂ©e de conservation maximale et s’assurer que les conditions de sĂ©curitĂ© des donnĂ©es sont adĂ©quates. Lorsque la flexibilitĂ© de l’API ne permet pas une sĂ©lection suffisamment fine des donnĂ©es pertinentes, ou lorsque les donnĂ©es dont l’accĂšs est donnĂ© par l’API sont utilisĂ©es pour rĂ©aliser un traitement permettant d’obtenir la donnĂ©e pertinente requise, les donnĂ©es sources non pertinentes ou devenues inutiles doivent en principe ĂȘtre supprimĂ©es sous les plus brefs dĂ©lais.
Le rĂ©utilisateur doit utiliser les informations Ă  sa disposition afin de s’assurer que les donnĂ©es traitĂ©es sont Ă  jour et, le cas Ă©chĂ©ant, n’ont pas fait l’objet d’une opposition par les personnes pour la finalitĂ© correspondant Ă  leur traitement.

Sur la sécurité :

Gestion des risques :
Lorsque le rĂ©utilisateur identifie un risque relatif Ă  la confidentialitĂ© des donnĂ©es ou un risque de sĂ©curitĂ© de l’API, il devrait en informer le dĂ©tenteur de donnĂ©es et le gestionnaire d’API dans les plus brefs dĂ©lais.

Sécurisation des clés :
Lorsque l’accĂšs Ă  l’API est sĂ©curisĂ© au moyen d’une technique d’authentification reposant sur un Ă©change de clĂ©s, le rĂ©utilisateur de donnĂ©es devrait sĂ©curiser les clĂ©s lui permettant d’accĂ©der aux donnĂ©es en hĂ©bergeant ces derniĂšres dans un rĂ©pertoire sĂ©curisĂ©, voire un systĂšme de sĂ©curisation des clĂ©s, tel qu’un coffre-fort numĂ©rique sĂ©curisĂ©, lorsque la gravitĂ© des risques liĂ©s Ă  une compromission de l’accĂšs Ă  l’API le justifie. Lorsqu’il dĂ©tecte ou suspecte une compromission de ses clĂ©s d’accĂšs, il les rĂ©voque immĂ©diatement et demande la gĂ©nĂ©ration de nouvelles clĂ©s au gestionnaire d’API.

Journalisation :
Dans le cas oĂč le rĂ©utilisateur de donnĂ©es (que ce soit avec l’aide d’un gestionnaire d’API ou qu’il endosse Ă©galement ce rĂŽle) met Ă  disposition l’API permettant aux dĂ©tenteurs de donnĂ©es de partager activement leurs donnĂ©es par une requĂȘte en Ă©criture, il doit mettre en Ɠuvre les recommandations figurant Ă  l’article 3 pour assurer une journalisation des modifications dĂ©coulant de l’usage de l’API par le dĂ©tenteur. Cette journalisation devrait permettre d’identifier en particulier les actions ou tentatives d’action visant Ă  porter atteinte Ă  l’intĂ©gritĂ© des donnĂ©es ou de la base de donnĂ©es.
La présente délibération sera publiée au Journal officiel de la République française.

Annexe

ANNEXES I
DÉFINITIONS

Interface de programmation applicative, ou application programming interface (API) : tout ensemble abstrait de fonctions, de procédures, de définitions et de protocoles qui permet la communication de machine à machine et la transmission de données dans un format structuré.

DĂ©tenteur de donnĂ©es : tout organisme ou personne public ou privĂ© qui dĂ©tient des donnĂ©es, ici Ă  caractĂšre personnel, c’est-Ă -dire qui en contrĂŽle le cycle de vie et les modalitĂ©s d’accĂšs, ces donnĂ©es ayant vocation Ă  ĂȘtre partagĂ©es Ă  des tiers via l’utilisation d’une API, sous leur forme originale ou aprĂšs l’application d’une transformation telle qu’un procĂ©dĂ© d’anonymisation.

Gestionnaire d’API : tout organisme ou personne public ou privĂ© en charge de l’opĂ©ration et/ou du dĂ©veloppement des composants techniques permettant le partage des donnĂ©es via l’API. Le rĂŽle de gestionnaire d’API peut ĂȘtre tenu par plusieurs organismes lorsque la gestion et le dĂ©veloppement des outils techniques implique plusieurs acteurs. En particulier, lorsque l’API est mise en Ɠuvre au moyen d’un outil dĂ©veloppĂ© par un tiers, l’organisme qui dĂ©tient la licence sur cet outil est gestionnaire d’API, tout comme celui qui est en charge du dĂ©ploiement de cet outil dans le systĂšme d’information permettant le partage des donnĂ©es.

RĂ©utilisateur des donnĂ©es : tout organisme ou personne public ou privĂ© ayant accĂšs aux donnĂ©es partagĂ©es par l’API.

Fournisseur d’API : tout organisme ou personne qui expose une API ouvrant la possibilitĂ© pour un consommateur d’utiliser un service que le fournisseur met Ă  disposition, tel qu’un accĂšs Ă  des donnĂ©es.

Consommateur d’API : tout organisme utilisant l’API exposĂ©e par un fournisseur afin d’utiliser le service qu’il met Ă  disposition, comme pour accĂ©der Ă  des donnĂ©es ou pour les transmettre.

Plateforme de partage de données : service reposant sur serveur partagé auquel le détenteur de données et le réutilisateur ont accÚs afin de partager des données. Les données sont généralement contenues dans des fichiers.

Service de tĂ©lĂ©communication : service permettant l’Ă©change d’informations par des procĂ©dĂ©s numĂ©riques, tel qu’un service de messagerie Ă©lectronique.

RequĂȘte Ă  l’API : toute demande reposant sur une interrogation de l’API et contenant des instructions dĂ©crivant l’action Ă  rĂ©aliser. Les requĂȘtes les plus frĂ©quentes, dans le protocole HTTP, sont GET, POST (qui sont respectivement des exemples de requĂȘtes en lecture et en Ă©criture) ou encore PATCH, qui permet de mettre Ă  jour partiellement des donnĂ©es, et DELETE, qui permet d’en supprimer.

RequĂȘte en lecture : interrogation de l’API permettant d’obtenir des donnĂ©es. Ce type de requĂȘte s’accompagne gĂ©nĂ©ralement de l’identifiant des donnĂ©es recherchĂ©es ou de rĂšgles permettant de les retrouver, et le cas Ă©chĂ©ant de paramĂštres destinĂ©s Ă  sĂ©lectionner l’information retournĂ©e et nĂ©cessite un droit de lecture sur la base de donnĂ©es sous-jacente.

RequĂȘte en Ă©criture : message envoyĂ© via l’API contenant des instructions telles que l’inscription de donnĂ©es contenues dans le message. Ce type de requĂȘte nĂ©cessite un droit d’Ă©criture sur la base de donnĂ©es.

Métadonnée : information permettant de décrire une donnée ou un ensemble de données (telle que sa date de création, son type, des informations relatives à sa provenance ou à sa validité, etc.).

DiffĂ©renciation des accĂšs et permissions par niveau : limitation des accĂšs aux donnĂ©es Ă  caractĂšre personnel Ă  celles strictement nĂ©cessaires pour chacun des agents ayant Ă  en connaĂźtre et limitation des permissions (lecture, Ă©criture, suppression, etc.) aux seules actions nĂ©cessaires pour chacun des agents. Il s’agit d’une mise en pratique du principe de moindre privilĂšge.

Balisage : information annexe (ou « mĂ©tadonnĂ©e ») liĂ©e Ă  une donnĂ©e et indiquant un statut particulier, tel que sa validitĂ©, son origine, ou encore les conditions limitant sa rĂ©utilisation. Pour ĂȘtre pertinente, l’indication apportĂ©e doit ĂȘtre sans ambigĂŒitĂ© et transparente.

Outil de gestion de versions : moyens techniques permettant de conserver les modifications successives d’un logiciel ou d’un document et leur historique, ainsi que d’en restituer toute version antĂ©rieure.

Outil de validation des donnĂ©es : outil permettant de vĂ©rifier la conformitĂ© des donnĂ©es Ă©changĂ©es par API au format attendu (tel que la correspondance Ă  la description de l’API, la correspondance au type de donnĂ©e attendu, l’appartenance Ă  un ensemble de valeurs admises, etc.).

GĂ©nĂ©rateur automatique de documentation : outil permettant de gĂ©nĂ©rer la documentation d’une API de maniĂšre automatique, Ă  partir du code source de l’API. Ces outils permettent de mettre Ă  jour automatiquement la documentation lors d’une modification apportĂ©e Ă  l’API, et peuvent intĂ©grer une gestion des versions. L’utilisation de ces outils permet d’Ă©viter que les rĂ©utilisateurs ne se rĂ©fĂšrent Ă  une documentation inexacte.

Outil de recherche des secrets dans le code source : outil permettant de dĂ©tecter la prĂ©sence de secrets (jetons d’accĂšs, clĂ©s de chiffrement, mots de passe, etc.) par analyse du code source d’un logiciel. Les outils fonctionnant localement (ou on premise) et gĂ©nĂ©rant une alerte lors de la prĂ©sence d’un secret dans le code, avant que celui-ci ne soit publiĂ© sur un serveur au moyen d’un outil de gestion des versions par exemple, devraient ĂȘtre privilĂ©giĂ©s.

Requests for comments : sĂ©rie de documents de standardisation dĂ©crivant les spĂ©cifications techniques des protocoles mis en Ɠuvre au sein de l’internet et des matĂ©riels informatiques sous-jacents, comme la RFC 2068 sur le protocole HTTP.

ANNEXE II
CAS D’USAGE PARTICULIERS

– Exemple #1 : Partage restreint de donnĂ©es entre plusieurs organismes avec contractualisation

– Description du contexte :

Lors de ce partage, un premier organisme privĂ© (le dĂ©tenteur de donnĂ©es) collecte des donnĂ©es personnelles auprĂšs de ses clients. Il met ensuite les donnĂ©es de ses clients y ayant consenti Ă  disposition de tiers agrĂ©Ă©s (les rĂ©utilisateurs de donnĂ©es). Ces derniers rĂ©utilisent les donnĂ©es pour proposer un nouveau service Ă  ces mĂȘmes clients. Interviennent alors des organismes apporteurs de solutions techniques (les gestionnaires d’API), dont le cƓur de mĂ©tier est la valorisation de ces catĂ©gories de donnĂ©es, par des mĂ©thodes d’analyse ou d’agrĂ©gation, et leur partage avec des organismes rĂ©utilisateurs. Le rĂŽle de ces derniers sera de proposer des services personnalisĂ©s aux personnes reposant sur les donnĂ©es valorisĂ©es par l’apporteur de solution.
La quantité de données collectée concernant les clients est relativement importante. De plus, les catégories de données concernées par ce partage sont diverses et permettent de déduire de nombreuses informations à propos des personnes, par exemple sur leurs préférences dans un domaine ou encore leurs habitudes de consommation. Les apporteurs de solution proposent leur service à de nombreux détenteurs de données, et à de nombreux réutilisateurs. Les détenteurs de données peuvent par ailleurs avoir recours à différents apporteurs de solutions techniques.

– Recherche des facteurs de vulnĂ©rabilitĂ© :

De par la nature de ce traitement, plusieurs facteurs de vulnérabilité sont identifiés :

– sur les catĂ©gories de donnĂ©es accessibles : les donnĂ©es des personnes sont en volume important et peuvent parfois rĂ©vĂ©ler des informations particuliĂšrement intrusives sur leurs habitudes de vie. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es ;
– sur la granularitĂ© des donnĂ©es et des requĂȘtes : les rĂ©utilisateurs souhaitent accĂ©der Ă  un certain niveau de granularitĂ© des donnĂ©es pour mieux cibler les services qu’ils proposent. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es ;
– sur les conditions d’accĂšs aux donnĂ©es : plusieurs gestionnaires d’API peuvent avoir accĂšs Ă  la base de donnĂ©es d’un dĂ©tenteur, puis proposer leur API Ă  plusieurs rĂ©utilisateurs. Les objectifs Ă  atteindre sont l’information des personnes, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur la nature des organismes : les organismes rĂ©utilisateurs peuvent ĂȘtre nombreux, et parmi ces derniers figurent des entreprises de maturitĂ© variable, dont la comprĂ©hension de leurs obligations liĂ©es au RGPD peut ĂȘtre insuffisante et les moyens en ce qui concerne la sĂ©curitĂ© des donnĂ©es limitĂ©s. Les objectifs Ă  atteindre sont l’exactitude, l’information des personnes, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes.

– Recommandations applicables :

D’aprĂšs les facteurs de vulnĂ©rabilitĂ© identifiĂ©s, plusieurs objectifs sont Ă  prioriser.

‱ Objectif #1 : la minimisation des donnĂ©es.

Compte tenu du caractĂšre particuliĂšrement intrusif des donnĂ©es partagĂ©es et de leur volume important, tous les organismes impliquĂ©s dans le partage devraient se coordonner afin de sĂ©lectionner les donnĂ©es strictement nĂ©cessaires Ă  l’atteinte des finalitĂ©s recherchĂ©es. La granularitĂ© des requĂȘtes disponibles pour les rĂ©utilisateurs devrait Ă©galement ĂȘtre adaptĂ©e pour limiter le contenu des rĂ©ponses, et notamment les donnĂ©es identifiantes, Ă  ce qui est strictement nĂ©cessaire, selon les modalitĂ©s dĂ©crites dans la recommandation.
Le dĂ©tenteur de donnĂ©es sera le plus Ă  mĂȘme de sĂ©lectionner les donnĂ©es pertinentes selon les besoins des rĂ©utilisateurs. De plus, le gestionnaire d’API peut ĂȘtre l’organisme le plus Ă  mĂȘme de mettre en Ɠuvre techniquement ces recommandations.

‱ Objectif #2 : l’information des personnes et la traçabilitĂ© des donnĂ©es.

Etant donnĂ© le grand nombre d’acteurs impliquĂ©s et leur niveau de maturitĂ© variable, les mesures de journalisation prĂ©vues par la recommandation devraient ĂȘtre mises en Ɠuvre afin que puisse ĂȘtre vĂ©rifiĂ©e la lĂ©gitimitĂ© des accĂšs et des actions rĂ©alisĂ©es sur la base de donnĂ©es.
Ces mesures devraient ĂȘtre complĂ©tĂ©es de celles prĂ©vues par la recommandation afin de fournir une information complĂšte aux personnes concernĂ©es sur l’utilisation qui est faite de leurs donnĂ©es.

‱ Objectif #3 : la gouvernance et le respect des droits des personnes.

Au vu du nombre d’organismes avec lesquels les donnĂ©es sont partagĂ©es, la responsabilitĂ© du traitement et les modalitĂ©s d’exercice des droits qui doivent ĂȘtre prĂ©vues en amont du traitement, devraient reposer sur des procĂ©dures robustes comme prĂ©vu par la recommandation.

‱ Objectif #4 : la sĂ©curitĂ© des donnĂ©es.

La maturitĂ© des organismes impliquĂ©s pouvant ĂȘtre variable, les recommandations relatives Ă  la procĂ©dure de fourniture des accĂšs dĂ©crites dans la recommandation devraient ĂȘtre prises en compte.
Les autres mesures relatives Ă  la sĂ©curitĂ© devraient ĂȘtre considĂ©rĂ©es au cas par cas. En effet, bien qu’elles s’appliquent dans la majoritĂ© des cas, ces mesures doivent ĂȘtre mises en Ɠuvre selon le niveau de risque Ă©valuĂ©.

– Exemple #2 : Partage de donnĂ©es entre rĂ©seaux sociaux et chercheurs

– Description du contexte :

Dans le cadre d’une Ă©tude portant sur les mĂ©canismes de propagation de certaines catĂ©gories d’information sur les rĂ©seaux sociaux, des chercheurs acadĂ©miques souhaitent accĂ©der Ă  des informations liĂ©es aux activitĂ©s des usagers de ces rĂ©seaux. Pour cela, un accĂšs Ă  une API leur est fourni par la plateforme qui utilise cet outil pour partager les donnĂ©es auprĂšs de nombreux rĂ©utilisateurs. Par le biais de l’API, les chercheurs peuvent effectuer des requĂȘtes et obtenir des informations comme les publications et les rĂ©actions des usagers. Parmi ces informations, figurent des donnĂ©es personnelles.
L’Ă©tude des chercheurs porte sur une pĂ©riode spĂ©cifique et sur des catĂ©gories d’information bien dĂ©terminĂ©es. Une fois l’Ă©tude publiĂ©e, la conservation des donnĂ©es en base active et d’un accĂšs Ă  l’API n’est plus utile. Les donnĂ©es sont stockĂ©es en archivage intermĂ©diaire dans les serveurs sĂ©curisĂ©s de l’universitĂ© (5). Toutefois, durant leur recherche, certains chercheurs ont tĂ©lĂ©chargĂ© les donnĂ©es sur leur machine locale pour avoir accĂšs aux donnĂ©es lors de leurs dĂ©placements.

– Recherche des facteurs de vulnĂ©rabilitĂ© :

De par la nature de ce traitement, plusieurs facteurs de vulnérabilité sont identifiés :

– sur les conditions d’accĂšs aux donnĂ©es : les besoins des chercheurs sont temporaires et ciblĂ©s, une fois l’Ă©tude publiĂ©e, leur accĂšs Ă  l’API n’est plus nĂ©cessaire mais la procĂ©dure prĂ©vue par le rĂ©seau social ne prĂ©voit une rĂ©Ă©valuation des accĂšs qu’aprĂšs une durĂ©e plus importante, laissant un accĂšs Ă  l’API inutile et vacant. Les objectifs Ă  atteindre sont la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur la nature des organismes impliquĂ©s dans le partage : le rĂ©seau social partage des donnĂ©es avec de nombreux rĂ©utilisateurs, et n’est pas toujours en mesure de se coordonner avec chacun d’entre eux ou de journaliser les accĂšs de chacun. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur les autres mesures techniques et organisationnelles prĂ©vues pour amĂ©liorer le niveau de sĂ©curitĂ© du systĂšme : certains chercheurs stockant les donnĂ©es sur leurs machines, il est difficile de garder une vue d’ensemble sur les sauvegardes de donnĂ©es, et le niveau de sĂ©curitĂ© appliquĂ© aux machines n’est pas le mĂȘme que celui appliquĂ© aux serveurs de l’universitĂ©. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ© et la sĂ©curitĂ© des donnĂ©es ;
– sur les catĂ©gories de donnĂ©es accessibles par l’API : les usagers du rĂ©seau social y publient des photographies, des contenus qui les intĂ©ressent ou encore des informations sur leurs activitĂ©s. Ces donnĂ©es pouvant rĂ©vĂ©ler des informations particuliĂšrement intrusives sur leurs prĂ©fĂ©rences et sur leurs habitudes de vie, un dĂ©tournement de ces donnĂ©es pourrait entraĂźner des consĂ©quences importantes pour les personnes. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es ;
– sur la granularitĂ© des donnĂ©es et des requĂȘtes : l’API proposĂ©e par le rĂ©seau social est destinĂ©e Ă  diffĂ©rentes catĂ©gories de rĂ©utilisateurs et leurs besoins propres peuvent difficilement ĂȘtre anticipĂ©s en amont. Les accĂšs fournis par le rĂ©seau social ne sont pas toujours strictement limitĂ©s aux besoins des rĂ©utilisateurs, qui peuvent accĂ©der Ă  des donnĂ©es dont ils savent en amont qu’elles ne sont pas pertinentes pour leur rĂ©utilisation. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es.

– Recommandations applicables :

D’aprĂšs les facteurs de vulnĂ©rabilitĂ© identifiĂ©s, plusieurs objectifs sont Ă  prioriser.

‱ Objectif #1 : l’exactitude des donnĂ©es.

Le tĂ©lĂ©chargement des donnĂ©es sur de nombreuses machines par les chercheurs reprĂ©sente un risque que les donnĂ©es ne soient pas mises Ă  jour lorsqu’elles devraient l’ĂȘtre en raison de leur duplication, ou de modification compromettant leur exactitude.
De plus, Ă©tant donnĂ© la nature des donnĂ©es sur les rĂ©seaux sociaux, leur exactitude peut poser question d’une part en raison de la possibilitĂ© pour un utilisateur de les modifier aprĂšs leur publication, et d’autre part en raison de l’absence de garanties de vĂ©racitĂ© sur ces donnĂ©es, bien que cela ne nuise pas nĂ©cessairement Ă  l’objectif de la recherche.

‱ Objectif #2 : la traçabilitĂ© des donnĂ©es.

Le nombre de rĂ©utilisateurs prĂ©vu Ă©tant relativement important, et les conditions d’attribution et de rĂ©vocation des accĂšs Ă©tant gĂ©nĂ©ralement peu flexibles pour ce type d’API, des mesures devraient ĂȘtre mises en Ɠuvre par le rĂ©seau social afin de vĂ©rifier la lĂ©gitimitĂ© des accĂšs et d’identifier les accĂšs et utilisations imprĂ©vues de l’API. Ces traces de journalisation devraient ĂȘtre utilisĂ©es afin d’empĂȘcher les utilisations dĂ©tournĂ©es des donnĂ©es.
Les tĂ©lĂ©chargements de donnĂ©es par les chercheurs sur les machines locales devraient ĂȘtre Ă©vitĂ©s autant que possible, et faire l’objet d’un suivi pour Ă©viter toute perte de traçabilitĂ© sur les donnĂ©es. De plus, les jetons ou identifiants d’accĂšs Ă  l’API devraient ĂȘtre partagĂ©s aux seules personnes habilitĂ©es et faire l’objet d’un suivi lorsqu’il n’est pas possible d’obtenir des jetons propres Ă  chaque personne.

‱ Objectif #3 : la minimisation des donnĂ©es.

Les besoins des chercheurs Ă©tant ciblĂ©s, les requĂȘtes qui leur sont permises, et les donnĂ©es auxquelles ils ont accĂšs devraient ĂȘtre limitĂ©es Ă  ce qui est pertinent et strictement nĂ©cessaire. Si la traçabilitĂ© sur les donnĂ©es pertinentes n’Ă©tait pas suffisante en amont du traitement, une version « bac Ă  sable » expĂ©rimentale, reposant Ă©ventuellement sur des donnĂ©es fictives pourrait ĂȘtre utilisĂ©e afin de dĂ©terminer les catĂ©gories et la quantitĂ© de donnĂ©es nĂ©cessaires. Il revient par ailleurs au rĂ©utilisateur (l’organisme de recherche) de fixer des rĂšgles de minimisation sur les donnĂ©es obtenues par l’API.

‱ Objectif #4 : la gouvernance et le respect des droits des personnes.

Les donnĂ©es pouvant ĂȘtre partagĂ©es par le rĂ©seau social Ă  un nombre important et Ă  des catĂ©gories diverses de destinataires, les utilisateurs du rĂ©seau peuvent manquer de traçabilitĂ© sur les utilisations de leurs donnĂ©es. Dans un souci de transparence et pour remplir les obligations relatives Ă  l’information des personnes, le rĂ©seau social devrait prendre les mesures nĂ©cessaires pour connaĂźtre les rĂ©utilisateurs et fournir ces informations aux personnes.

‱ Objectif #5 : la sĂ©curitĂ© des donnĂ©es.

Les mesures relatives Ă  la sĂ©curitĂ© devraient ĂȘtre considĂ©rĂ©es au cas par cas. En effet, bien qu’elles s’appliquent dans la majoritĂ© des cas, ces mesures doivent ĂȘtre mise en Ɠuvre selon le niveau de risque Ă©valuĂ©. Ici, une attention particuliĂšre devrait ĂȘtre portĂ©e sur la sĂ©curitĂ© des machines locales sur lesquels les chercheurs ont tĂ©lĂ©chargĂ© les donnĂ©es. Ce tĂ©lĂ©chargement est Ă  Ă©viter autant que possible. Lorsqu’il est nĂ©cessaire, la sĂ©curitĂ© des machines devient un objectif prioritaire.

– Exemple #3 : L’ouverture de donnĂ©es de l’administration

– Description du contexte :

Un texte prĂ©voit l’ouverture par une administration (le dĂ©tenteur de donnĂ©es) d’une certaine catĂ©gorie de donnĂ©es collectĂ©es auprĂšs des personnes. Ce texte indique prĂ©cisĂ©ment les catĂ©gories de donnĂ©es concernĂ©es et les modalitĂ©s d’exercice des droits des personnes. Il prĂ©cise Ă©galement que les donnĂ©es sont mises Ă  disposition de tous, sans restriction d’accĂšs et dans un format facilitant leur rĂ©utilisation. Les rĂ©utilisations possibles des donnĂ©es ne sont pas connues en amont par l’administration qui diffuse les donnĂ©es. Une administration tierce (le gestionnaire d’API) propose un outil afin de diffuser les donnĂ©es en question. Elle n’hĂ©berge cependant pas les donnĂ©es.
AprĂšs plusieurs Ă©tudes, il est prouvĂ© que les donnĂ©es sont particuliĂšrement utiles pour un certain secteur et un grand nombre d’organismes de ce secteur (les rĂ©utilisateurs) souhaitent alors collecter les donnĂ©es. Les donnĂ©es restent ouvertes, mais les besoins relatifs des rĂ©utilisateurs ont largement changĂ©. Ce nouveau besoin conduit Ă  une charge sur les serveurs du dĂ©tenteur de donnĂ©es qui n’Ă©tait pas prĂ©vue lors de la conception de l’API, causant des interruptions dans la disponibilitĂ© des donnĂ©es.

– Recherche des facteurs de vulnĂ©rabilitĂ© :

De par la nature de ce traitement, plusieurs facteurs de vulnérabilité sont identifiés :

– sur les conditions d’accĂšs Ă  la base de donnĂ©es : mĂȘme lorsque les donnĂ©es sont pseudonymisĂ©es, et que le risque de rĂ©identification est faible, l’Ă©volution des attaques pourrait permettre la dĂ©duction de donnĂ©es personnelles supplĂ©mentaires dont l’ouverture n’est pas prĂ©vue par le texte et ayant des consĂ©quences pour les personnes. L’ouverture des donnĂ©es Ă  tous augmente la vraisemblance de ce type d’attaque. Les objectifs Ă  atteindre sont l’information des personnes, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur la nature des organismes impliquĂ©s dans le partage : bien que les donnĂ©es ne soient initialement demandĂ©es que par certains rĂ©utilisateurs isolĂ©s, c’est finalement un grand nombre d’organismes qui en demande l’accĂšs. Cette Ă©volution peut avoir des consĂ©quences importantes sur la disponibilitĂ© des donnĂ©es et leur rĂ©utilisation. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur la granularitĂ© des donnĂ©es et des requĂȘtes : aucune restriction d’accĂšs aux donnĂ©es n’est prĂ©vue, laissant ainsi la possibilitĂ© aux rĂ©utilisateurs de rĂ©aliser de multiples requĂȘtes, dont les rĂ©sultats peuvent ĂȘtre croisĂ©s entre eux. Cela rend la dĂ©duction d’informations Ă  caractĂšre personnel, dont l’ouverture n’Ă©tait pas prĂ©vue, plus vraisemblable. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es ;
– sur l’Ă©tat des connaissances des techniques utilisĂ©es et les risques associĂ©s : l’ouverture des donnĂ©es ayant pour objectif de permettre leurs rĂ©utilisations, l’administration en rĂ©alisant la diffusion manque de traçabilitĂ© sur le champ des possibles rĂ©utilisations et sur les dispositifs qui seront mis en Ɠuvre par les rĂ©utilisateurs. Ce manque de traçabilitĂ© fait peser un risque sur la disponibilitĂ© des donnĂ©es. Les objectifs Ă  atteindre sont l’information des personnes, la traçabilitĂ© et la sĂ©curitĂ© des donnĂ©es.

– Recommandations applicables :

D’aprĂšs les facteurs de vulnĂ©rabilitĂ© identifiĂ©s, plusieurs objectifs sont Ă  prioriser.

‱ Objectif #1 : la traçabilitĂ© des donnĂ©es.

L’ouverture sans restriction d’accĂšs n’est pas incompatible avec certaines mesures de traçabilitĂ©. En analysant le volume des donnĂ©es collectĂ©es par les rĂ©utilisateurs, le gestionnaire d’API peut lever une alerte en cas d’une demande qui risquerait d’excĂ©der les limites de charge que peut supporter son systĂšme.

‱ Objectif #2 : la gouvernance et le respect des droits des personnes.

Dans le cas de donnĂ©es ouvertes, il peut ĂȘtre difficile de faire respecter les droits des personnes auprĂšs des rĂ©utilisateurs. Des mesures devraient ĂȘtre prises en amont du partage pour anticiper les demandes d’exercice des droits des personnes.

‱ Objectif #3 : la sĂ©curitĂ© des donnĂ©es.

MalgrĂ© l’ouverture sans restriction d’accĂšs des donnĂ©es, l’exemple montre qu’en l’absence totale de planification du volume des demandes, un risque peut exister notamment sur la disponibilitĂ© des donnĂ©es. Le dĂ©tenteur de donnĂ©es devrait s’assurer que les mesures adaptĂ©es sont prises afin de rĂ©duire ce risque en effectuant par exemple un suivi de la charge des serveurs ou du volume de requĂȘtes reçues.
Les mesures relatives Ă  la sĂ©curitĂ© devraient ĂȘtre considĂ©rĂ©es au cas par cas. En effet, bien qu’elles s’appliquent dans la majoritĂ© des cas, ces mesures doivent ĂȘtre mises en Ɠuvre selon le niveau de risque Ă©valuĂ©.

‱ Objectif #4 : la minimisation des donnĂ©es.

Au vu du contexte du partage et des nombreuses inconnues portant sur la nature des organismes rĂ©utilisateurs, sur les rĂ©utilisations et sur les techniques d’attaque, des mesures de minimisation devraient ĂȘtre mises en Ɠuvre par prĂ©caution.

– Exemple #4 : Partage fermĂ© de donnĂ©es entre services d’un organisme

– Description du contexte :

Cette typologie de partage est retrouvĂ©e dans les secteurs public et privĂ©, avec des cas d’usage particuliĂšrement diversifiĂ©s. Dans le secteur privĂ©, les services concernĂ©s peuvent ĂȘtre des filiales ou services d’un mĂȘme organisme, coordonnĂ©es par une direction centralisĂ©e. Dans le secteur public, certaines donnĂ©es des administrĂ©s peuvent ĂȘtre partagĂ©es entre services ou Ă©tablissements d’une administration, par exemple dans l’objectif de dĂ©matĂ©rialiser les dĂ©marches administratives et de faciliter l’accĂšs Ă  certains services et aides. La mise en Ɠuvre de ces partages repose le plus souvent sur l’utilisation d’API.
Ainsi, des services (les dĂ©tenteurs de donnĂ©es) en lien direct avec les usagers collectent certaines donnĂ©es personnelles et les inscrivent dans une base centralisĂ©e de l’organisme dont ils dĂ©pendent (le rĂ©utilisateur de donnĂ©es (6) et gestionnaire d’API). Cette inscription est rĂ©alisĂ©e par les services dĂ©tenteurs de donnĂ©es par le biais des requĂȘtes en Ă©criture via une API modifiant directement la base centralisĂ©e de l’organisme central. Cet organisme hĂ©berge et traite les donnĂ©es de la base centralisĂ©e dans le cadre de ses missions. Elle met en Ɠuvre et assure la gestion de l’API.
Les donnĂ©es de la base centralisĂ©e de l’organisme sont mises Ă  disposition par le biais d’une seconde API permettant Ă  d’autres acteurs privĂ©s ou publics de traiter les donnĂ©es. Ces acteurs sont par exemple des administrations qui instruisent ainsi des dĂ©marches sans avoir Ă  collecter de piĂšces justificatives auprĂšs des administrĂ©s.

– Recherche des facteurs de vulnĂ©rabilitĂ© :

De par la nature de ce traitement, plusieurs facteurs de vulnérabilité sont identifiés pour le premier partage :

– sur le type d’accĂšs Ă  la base de donnĂ©es : un accĂšs en Ă©criture dans la base centralisĂ©e est prĂ©vu pour que les services y inscrivent les donnĂ©es qu’ils collectent. Ce type d’accĂšs permettant de modifier directement la base centralisĂ©e, il offre un cadre propice Ă  l’introduction d’erreurs dans la base, ou Ă  la suppression accidentelle de donnĂ©es et pose ainsi un risque sur l’intĂ©gritĂ© des donnĂ©es. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur la nature des services impliquĂ©s dans le partage : ils sont nombreux et leur coordination peut poser problĂšme, notamment en cas de perte d’intĂ©gritĂ© des donnĂ©es : les alerter un Ă  un prĂ©sente une certaine difficultĂ©. De plus, lorsque les donnĂ©es mises Ă  disposition sont critiques pour les usagers, tout risque portant sur la disponibilitĂ© des donnĂ©es pourrait avoir des consĂ©quences graves. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur les catĂ©gories de donnĂ©es accessibles par l’API : il s’agit ici des donnĂ©es personnelles des usagers, comme des informations sur leur situation personnelle leur permettant d’accĂ©der Ă  des aides et Ă  des services de l’Etat. Tout risque portant sur leur confidentialitĂ©, leur intĂ©gritĂ© ou leur disponibilitĂ© pourrait avoir des consĂ©quences graves pour ces personnes. Les objectifs Ă  atteindre sont la prĂ©servation de la confidentialitĂ© et la sĂ©curitĂ©.

– Recommandations applicables :

D’aprĂšs les facteurs de vulnĂ©rabilitĂ© identifiĂ©s, plusieurs objectifs sont Ă  prioriser.

‱ Objectif #1 : l’exactitude des donnĂ©es.

Par nature les requĂȘtes en Ă©criture font peser un risque sur l’exactitude des donnĂ©es. Ce risque peut ĂȘtre accru lorsque les services rĂ©alisant l’Ă©criture sont nombreux et peuvent manquer de maturitĂ© technique, ce qui est l’hypothĂšse que nous considĂ©rons dans cet exemple. Certains outils permettant de vĂ©rifier que les donnĂ©es correspondent au format attendu peuvent ĂȘtre utilisĂ©s pour automatiser des vĂ©rifications de sĂ©curitĂ©

‱ Objectif #2 : la gouvernance et le respect des droits des personnes.

Ici Ă©galement le nombre et la nature des services impliquĂ©s pourraient compliquer les procĂ©dures prĂ©vues pour l’exercice des droits, pour la notification d’une violation ou d’un nouveau risque, etc. La coordination des services, la documentation des procĂ©dures, la gestion des habilitations sont autant de mesures pouvant limiter ces risques. De plus, en prĂ©voyant des techniques automatisĂ©es pour permettre aux personnes d’exercer leurs droits, le risque humain pourrait ĂȘtre rĂ©duit.

‱ Objectif #3 : la traçabilitĂ© des donnĂ©es.

La connaissance des dĂ©tenteurs de donnĂ©es ici et des actions qu’ils rĂ©alisent peut permettre Ă  l’organisme central d’agir rapidement en cas de rĂ©alisation d’un risque identifiĂ©. La traçabilitĂ© est ainsi Ă  prendre en compte pour rĂ©agir rapidement Ă  une menace comme une tentative d’intrusion ou une perte d’intĂ©gritĂ© des donnĂ©es.

‱ Objectif #4 : la minimisation des donnĂ©es.

Dans le cas d’un partage dans le secteur public, les rĂ©utilisations Ă©tant gĂ©nĂ©ralement prĂ©vues par les textes, les catĂ©gories de donnĂ©es concernĂ©es par le partage sont gĂ©nĂ©ralement fixĂ©es et il peut sembler difficile d’appliquer le principe de minimisation dans ce contexte. Toutefois, lorsque les rĂ©utilisations sont bien connues, il est possible de jouer sur la granularitĂ© des donnĂ©es, leur profondeur historique, ou encore sur les mesures de pseudonymisation appliquĂ©es.

‱ Objectif #5 : la sĂ©curitĂ© des donnĂ©es.

Les mesures relatives Ă  la sĂ©curitĂ© devraient ĂȘtre considĂ©rĂ©es au cas par cas. En effet, bien qu’elles s’appliquent dans la majoritĂ© des cas, ces mesures doivent ĂȘtre mises en Ɠuvre selon le niveau de risque Ă©valuĂ©.
Une autre analyse du mĂȘme type devra ĂȘtre menĂ©e pour le second partage (se rĂ©fĂ©rer pour cela Ă  l’exemple 1 qui lui est similaire).

– Exemple #5 : Partage de donnĂ©es impliquant la personne concernĂ©e

– Description du contexte :

Dans un objectif de dĂ©matĂ©rialisation, diffĂ©rents dispositifs permettent de faciliter la fourniture par un individu de ses informations Ă  un organisme ayant besoin d’y accĂ©der. Ces donnĂ©es peuvent ĂȘtre dĂ©tenues par un premier organisme dans le cadre d’une relation prĂ©existante, ou conservĂ©es dans un espace personnel sĂ©curisĂ© prĂ©vu Ă  cet effet et gĂ©rĂ© par son titulaire. L’usager peut ainsi partager ses documents pertinents (tels que des documents administratifs, attestations de droits, justificatifs de rĂ©sidence, etc.) avec des destinataires autorisĂ©s, par exemple Ă  l’occasion de la fourniture d’un service. Une API est proposĂ©e par l’organisme dĂ©tenteur de ces documents ou le fournisseur de l’espace personnel sĂ©curisĂ© (Ă  la fois dĂ©tenteurs de donnĂ©es et gestionnaires d’API) afin de permettre Ă  leurs destinataires (les rĂ©utilisateurs de donnĂ©es) d’accĂ©der aux documents suite Ă  une demande expresse des personnes. Une authentification des personnes est nĂ©cessaire pour que l’accĂšs aux documents soit accordĂ© au fournisseur du service, dont l’identitĂ© est Ă©galement vĂ©rifiĂ©e par l’organisme dĂ©tenteur de donnĂ©es. Cet accĂšs est permis par un procĂ©dĂ© d’authentification robuste.

– Recherche des facteurs de vulnĂ©rabilitĂ© :

De par la nature de ce traitement, plusieurs facteurs de vulnérabilité sont identifiés :

– sur le niveau de sĂ©curitĂ© des techniques d’authentification utilisĂ©es : l’authentification des usagers d’une part, mais aussi des organismes fournissant le service d’autre part sont nĂ©cessaires pour permettre l’accĂšs aux donnĂ©es. Les mĂ©canismes d’authentification utilisĂ©s doivent ĂȘtre suffisamment robustes pour empĂȘcher une usurpation d’identitĂ© et un accĂšs illĂ©gitime aux donnĂ©es personnelles. Les objectifs Ă  atteindre sont l’information et la traçabilitĂ©, la gouvernance, le respect des droits et la sĂ©curitĂ© des donnĂ©es ;
– sur la nature des organismes impliquĂ©s dans le partage : les organismes offrant un service dont l’accĂšs peut ĂȘtre critique pour leurs usagers, tout risque sur la disponibilitĂ© de ce service pourrait avoir des consĂ©quences graves. Les objectifs Ă  atteindre sont l’exactitude, la traçabilitĂ©, la gouvernance, la sĂ©curitĂ© des donnĂ©es et le respect des droits des personnes ;
– sur les catĂ©gories de donnĂ©es accessibles par l’API : si les documents concernĂ©s comportent des donnĂ©es sensibles au sens de l’article 9 du RGPD, toute perte de confidentialitĂ©, de disponibilitĂ© ou d’intĂ©gritĂ© aurait potentiellement de graves consĂ©quences pour les personnes. Les objectifs Ă  atteindre sont la minimisation et la sĂ©curitĂ© des donnĂ©es.

– Recommandations applicables :

D’aprĂšs les facteurs de vulnĂ©rabilitĂ© identifiĂ©s, plusieurs objectifs sont Ă  prioriser.

‱ Objectif #1 : l’information des personnes et la traçabilitĂ© des donnĂ©es.

Au vu de la gravitĂ© des consĂ©quences que pourrait avoir une perte de disponibilitĂ©, d’intĂ©gritĂ© ou de confidentialitĂ© des donnĂ©es dans cet exemple, des mesures importantes de traçabilitĂ© devraient ĂȘtre prises afin que le dĂ©tenteur de donnĂ©es mais Ă©galement la personne concernĂ©e puisse vĂ©rifier la lĂ©gitimitĂ© des accĂšs. Il est ici possible d’intĂ©grer la personne concernĂ©e Ă  cette vĂ©rification car les rĂ©utilisations sont thĂ©oriquement en faible nombre, et gĂ©nĂ©ralement initiĂ©es par la personne.

‱ Objectif #2 : la gouvernance et le respect des droits des personnes.

Les mesures de gouvernance devraient avoir pour objectif que seuls les organismes vĂ©rifiĂ©s puissent accĂ©der aux donnĂ©es et cela, dans les conditions prĂ©vues. Les habilitations, les accĂšs et la documentation devraient ĂȘtre Ă  la mesure de la gravitĂ© des risques d’un accĂšs illĂ©gitime aux donnĂ©es, d’un incident de sĂ©curitĂ© ou d’une erreur lors du traitement.
Les mesures prises pour que les personnes puissent exercer leurs droits auprĂšs du dĂ©tenteur et des rĂ©utilisateurs devrait permettre Ă  ceux-ci de vĂ©rifier que les utilisations de leurs donnĂ©es sont limitĂ©es Ă  ce qui est prĂ©vu et de s’opposer Ă  certaines utilisations lorsque le droit d’opposition n’est pas exclu.

‱ Objectif #3 : l’exactitude des donnĂ©es.

Au vu de l’impact pour les personnes d’une erreur dans leurs donnĂ©es lors de la fourniture du service essentiel, l’exactitude devrait ĂȘtre garantie.

‱ Objectif #4 : la minimisation des donnĂ©es.

Une perte de confidentialitĂ© des donnĂ©es partagĂ©es dans cet exemple pourrait avoir des consĂ©quences graves pour les personnes. Ainsi en limitant les donnĂ©es partagĂ©es entre les organismes Ă  ce qui est strictement nĂ©cessaire, ce risque peut ĂȘtre rĂ©duit.

‱ Objectif #5 : la sĂ©curitĂ© des donnĂ©es.

Les mesures relatives Ă  la sĂ©curitĂ© devraient ĂȘtre considĂ©rĂ©es au cas par cas. En effet, bien qu’elles s’appliquent dans la majoritĂ© des cas, ces mesures doivent ĂȘtre mises en Ɠuvre selon le niveau de risque Ă©valuĂ©.

(5) Sur la distinction entre la « base active » et l’archivage intermĂ©diaire, se rĂ©fĂ©rer Ă  la page « Les durĂ©es de conservation des donnĂ©es » du site de la CNIL : https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees.
(6) Le terme de « rĂ©utilisateur » fait ici rĂ©fĂ©rence au rĂŽle technique introduit dans la recommandation API, et non pas la dĂ©finition de l’article L. 321-2 du code des relations entre le public et l’administration.

Date et signature(s)

La présidente,
M.-L. Denis

(1) www.ssi.gouv.fr/rgs.
(2) La liste de ces recommandations peut ĂȘtre trouvĂ©e sur le site web de la CNIL.
(3) https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd.
(4) https://www.ssi.gouv.fr/rgs.