Délibération n° 2023-050 du 25 mai 2023 [[Access official publication](https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047740097#%3A~%3Atext%3D'utilisation ...-%2CD%C3%A9lib%C3%A9ration%20n%C2%B0%202023%2D050%20du%2025%20mai%202023%20portant%2Cde%20donn%C3%A9es%20%C3%A0%20caract%C3%A8re%20personnel)]
This document is a technical recommendation from CNIL (French Data Protection Authority) regarding the secure sharing of personal data through APIs. Here are the key points:
The document includes detailed examples of different API implementation scenarios and specific recommendations for each case.
La Commission nationale de l’informatique et des libertés (la Commission) a observé au cours des dernières années une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés. Cette tendance, expliquée par l’intérêt croissant dans la réutilisation des données pour diverses finalités, est confirmée par le souhait du législateur de renforcer la possibilité de ces échanges entre administrations mais également entre organismes publics et privés.
La Commission souligne que ces partages de données à caractère personnel doivent être accompagnés des mesures techniques adaptées pour garantir un niveau de sécurité dès la conception et maintenu dans le temps en adéquation avec les risques, et que les données partagées doivent être limitées au strict minimum. À cet égard, elle considère que le recours aux interfaces de programmation applicatives, communément appelées « API » en référence à leur nom anglais « application programming interface », peut fournir un cadre technique favorable à ces partages dans de nombreux cas, sous réserve du respect de certains principes.
La présente recommandation vise à identifier les cas dans lesquels l'utilisation d'une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en œuvre et leur utilisation. Est ici entendue par « partage de données » la faculté offerte, à certains réutilisateurs identifiés ou bien au public, de récupérer des données détenues par un organisme, ou la faculté des détenteurs de données de transmettre celles-ci à des fins de réutilisation par des tiers, lorsque cela est autorisé ou demandé par la réglementation. La présente recommandation ne présente pas de caractère obligatoire, sauf lorsqu'elle rappelle les exigences découlant du règlement général sur la protection des données (RGPD) et de la loi du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »). Cependant, le respect de ces recommandations est de nature à contribuer grandement au respect par les acteurs de leurs obligations, en particulier l'obligation de protection des données dès la conception et de protection des données par défaut prévue à l'article 25 du RGPD.
Cette recommandation identifie les acteurs les plus à même de mettre en œuvre les différentes catégories de mesures nécessaires vis-à-vis de leur rôle fonctionnel, sans préjuger de leur qualification juridique. En pratique, cette qualification juridique devra être déterminée pour chaque cas particulier sur la base des critères définis par le RGPD, afin de déterminer les responsabilités et les obligations qui en résultent (voir les précisions fournies plus bas à ce sujet). Les bonnes pratiques retenues par la CNIL sont ainsi ventilées entre les détenteurs de données, les gestionnaires d'API et les réutilisateurs. Une définition de ces trois rôles est proposée en annexe I et les paragraphes suivants détaillent les modalités de leur coordination.
En outre, les mesures précisées ne visent pas l'exhaustivité, mais ciblent les points d'attention techniques les plus importants dans la mise en œuvre d'un partage de données par voie d'API. Certaines règles et bonnes pratiques sectorielles applicables aux partages de données par voie d'API devraient également être prises en compte le cas échéant, telles que le référentiel général de sécurité (RGS) dans le cas d'un partage de données impliquant une administration, ou encore les autres recommandations de la CNIL .
La Commission souligne que les capacités techniques liées à chacun de ces trois rôles peuvent grandement varier en pratique. Par ailleurs, plusieurs rôles peuvent être tenus par le même organisme. Cela sera le cas, par exemple, lorsque le détenteur de données développe lui-même une API : il est alors également gestionnaire d'API, et toutes les recommandations visant le détenteur de données et le gestionnaire d'API s'appliqueront alors à cet organisme. A contrario, plusieurs organismes peuvent avoir le même rôle. Cette situation est courante pour le rôle de réutilisateur de données ; toutefois, elle peut également exister pour les autres rôles. Le rôle de gestionnaire d'API peut être tenu par plusieurs organismes lorsque la gestion et le développement des outils techniques sur lesquels repose le partage sont répartis entre différents intervenants. Il arrive également que seul un des trois rôles existe à un certain stade du traitement. En particulier, lorsqu'un gestionnaire d'API développe un outil technique « sur étagère », c'est à dire dans la perspective de le mettre à disposition d'autres organismes, la présente recommandation devrait être prise en compte bien que ni le détenteur de données, ni les réutilisateurs ne soient encore identifiés.
Enfin, le partage peut schématiquement être séquencé afin que chacune de ses étapes principales corresponde à l'organisation proposée.
L'annexe II présente plusieurs cas d'usages fréquemment observés, dans lesquels les rôles de chacun sont identifiés et expliqués.
Figure 1. - Schéma relationnel entre les trois rôles de détenteur de données, de gestionnaire d'API et de réutilisateur
Un détenteur de données est caractérisé par le fait qu'il contrôle des données de manière technique ou organisationnelle. Un gestionnaire d'API est l'organisme en charge d'une partie ou de la totalité des composantes techniques sur lesquelles repose le partage de données. Enfin, le réutilisateur de données est tout organisme envisageant d'accéder ou recevant des données par voie d'API en vue de les exploiter pour son propre compte.