La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Alors que cette semaine (le 6, 7 et 8 décembre) ont lieu à Paris les Apidays, conférence internationale sur les API, la CNIL a publié récemment une méthodologie sur l'utilisation des API pour partager de façon sécurisée des données personnelles.

L'autorité explique qu'elle observe une augmentation de partages de données à caractère personnel entre tous types d'organisations. Loin de condamner cette tendance, elle encourage par contre à ce qu'elle soit accompagnée de « mesures techniques adaptées pour garantir un niveau de sécurité dès la conception et maintenu dans le temps en adéquation avec les risques ». Elle conseille vivement, pour cela, d'utiliser les API qui peuvent « fournir un cadre technique favorable à ces partages dans de nombreux cas, sous réserve du respect de certains principes ».

Des API et pas de plateforme de partage ou d'envoi par e-mails

Plus précisément, dans sa recommandation, la CNIL estime que les API sont à utiliser lors d'échanges de données à caractère personnel quand :

• les données sont fréquemment mises à jour, et/ou les réutilisateurs ont besoin d’y accéder régulièrement ; et/ou
• leur stockage par le réutilisateur n’est pas utile (utilisation unique ou traitement en continu sans nécessité d'historique) ; et/ou
• le ou les réutilisateurs n'ont pas systématiquement besoin d'accéder à l'intégralité des données mais seulement à un sous-ensemble des données non identifiable à l'avance ; et/ou
• les méthodes utilisées pour garantir leur sécurité sont susceptibles d’être mises à jour.

Dans ce cadre, elle pousse à l'usage des API d'autant plus quand les réutilisateurs sont nombreux ou que les données sont ouvertes au public. En parallèle, elle déconseille dans ces cas-là la mise en place de plateforme de partages de données ou le partage des données par messagerie.

Pas n'importe comment

Mais on n'utilise pas des API pour partager des données personnelles n'importe comment. Pour la CNIL, la mise en place d'une API présente quand même des « risques accrus de détournement de finalité, de perte de confidentialité et de contrôle des données ou encore concernant la transparence vis-à-vis des personnes concernées ». Elle demande donc de se concentrer sur cinq objectifs lors de leur mise en place :

• • la minimisation des données échangées ;

• • l’exactitude des données source ;

• • la traçabilité des accès ;

• • la gouvernance et le respect des droits ;

• • la sécurité.

En conséquence, elle appuie sur sept facteurs de risques :

• • le type d’accès à la base de données : en lecture seule ou en écriture ;

• • la délivrance des autorisations et conditions d’accès aux données : si l’accès est soumis à une autorisation, quelles vérifications sont apportées afin de valider ces demandes ?

• • le niveau de sécurité des techniques d’authentification utilisées ;

• • la nature des organismes impliqués dans le partage (maturité technique, gouvernance européenne ou non, capacités opérationnelles, etc.) ;

• • les autres mesures techniques (physiques ou logiques) et organisationnelles prévues pour améliorer le niveau de sécurité du système ;

• • l'état des connaissances sur les techniques utilisées et les risques associés ;

• • les catégories de données accessibles par l’API : certaines données sensibles au sens de l’article 9 du RGPD ou encore des données à caractère hautement personnel (tels que des données bancaires ou des données de géolocalisation) sont plus susceptibles de faire l’objet d’attaques ou d’entraîner des conséquences plus graves ;

• • le degré de précision des données et des requêtes : possibilité d’accéder uniquement à certaines informations ciblées.

La CNIL conseille de maintenir une documentation à propos des choix faits concernant ces facteurs de risques. Et elle rappelle que si ce traitement de partage est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il doit être intégré à l' « analyse d’impact relative à la protection des données » prévue par l’article 35 du RGPD.

Journaliser pour informer les personnes concernées

L'autorité conseille vivement de mettre en place une journalisation des accès à l'API pour pouvoir collecter des statistiques sur l'utilisation des données et détecter des tentatives illégitimes d'accès aux données.

En exemple extrême, la CNIL explique que, « lorsqu’une tentative d’accès illégitime aux données est particulièrement vraisemblable et qu’elle pourrait entraîner des conséquences particulièrement graves, comme cela est le cas pour certaines API accessibles par FranceConnect, les informations fournies à la personne devraient inclure la liste exhaustive des accès aux données sur la période pertinente, ainsi que leur horodatage afin de permettre à la personne concernée d’identifier un accès illégitime, en complément des autres mesures de sécurité mises en œuvre par le responsable de traitement ».

Informer personnes concernées et réutilisateurs

Elle considère, en tout cas, qu'en général, « la liste des réutilisateurs devra être portée à la connaissance des personnes concernées, lorsqu’elle est connue ».

La CNIL ajoute dans les bonnes pratiques de « rendre publics ou de fournir aux personnes » et de mettre à jour, potentiellement automatiquement, « pour chacune des API et éventuellement selon plusieurs niveaux d’information dont le premier serait compréhensible pour le grand public :

• • une description détaillée des données partagées, de leur fréquence d’échantillonnage, des opérations réalisées en amont de leur partage, telles que des processus de pseudonymisation ou d’anonymisation ;

• • des informations concernant les accès aux données réalisés via l’API, telles que leur fréquence, leur volume ou leur profondeur historique ;

• • les objectifs de sécurité visés  ».

Elle préconise que le détenteur des données tienne une documentation à jour à destination des réutilisateurs concernant les données accessibles. La CNIL détaille : « cette documentation devrait fournir en termes clairs des informations générales telles que la provenance des données, la méthode de collecte utilisée, leur fréquence de mise à jour, leur format de transmission, leur profondeur historique, leur fiabilité et les procédés de pseudonymisation ou d'anonymisation utilisés ».

Elle recommande aussi « l'utilisation de métadonnées associées aux données ou à un groupe de données, indiquant par exemple la date de collecte des données, leur fiabilité ou encore leur durée de validité ».

L'Autorité considère que le détenteur des données devrait prévoir un canal de communication pour que le réutilisateur puisse « signaler tout problème technique ou risque relatif à la confidentialité, l’intégrité et la disponibilité des données, notamment les risques de réidentification identifiés a posteriori ».

Ne pas partager plus que nécessaire

La CNIL pointe la nécessité d'une réflexion « sur les données strictement nécessaires aux réutilisations » que le détenteur et les réutilisateurs prévoient.

Elle rappelle aussi que les personnes concernées doivent toujours avoir la possibilité d'exercer :

• • leur droit d’accès, de rectification, d’effacement et de portabilité sur la base source utilisée par l’API ;

• • leur droit à l’information sur les partages opérés ;

• • leur droit à l’opposition ou au retrait du consentement au partage, ainsi que le droit à la limitation du traitement.

Quand l'API est en accès restreint, la CNIL recommande que la demande d'accès soit accompagnée d'une exigence d' « informations nécessaires à la vérification de la licéité de son accès à l’API ». Elle explique qu' « il est généralement recommandé au réutilisateur d’informer le détenteur des données de la finalité pour laquelle il accède aux données ».

Concernant les API ouvertes, elle recommande l'existence d'un « système de registre public facultatif et ne restreignant pas l’accès à l’API [qui] permette de connaître ces mêmes informations et l’identité des destinataires ».

Prendre au sérieux la sécurité des API

La CNIL considère que « la gestion des API devrait s’inscrire dans la politique de sécurité des systèmes d’information de chacun des acteurs. Leur intégration devrait être prise en compte dans les procédures de sécurité existantes et ces dernières devraient être adaptées pour tenir compte des risques spécifiques aux API ».

Dans le document, l'autorité insiste sur le besoin d'une vérification de la sécurité du mécanisme d'authentification « et ses instructions d'utilisation rigoureusement suivies ». Elle demande de mettre en place des mesures de sécurité pour protéger le système d’information des intrusions et des attaques par déni de service, « par exemple en bloquant temporairement un accès après un nombre trop important de tentatives de connexions infructueuses ».

Cloisonner pour protéger

Elle demande de vérifier la sécurité de l'interface entre l'API et la base de données. « En effet, un partage de données par voie d’API, en tant qu’interconnexion entre deux systèmes d’information, notamment lorsqu’un des deux appartient à une entité tierce, constitue une modification significative du système d’information », commente-t-elle.

La CNIL préconise de bien cloisonner les données partagées via l'API des autres données. Elle ajoute qu' « en particulier, lorsqu'un procédé de pseudonymisation ou d'anonymisation est prévu, les données brutes devraient être physiquement ou logiquement séparées des données issues de ce procédé ».

Elle attire l'attention sur la possibilité que pour certaines données, l' « indisponibilité (même temporaire) pourrait entraîner des conséquences graves » et conseille de mettre en place une redondance ou « la mise en œuvre régulière de tests d’intégrité des données et de leurs sauvegardes », dans ce cas.

Du côté détenteur des données, elle demande la mise en place d'un « système de sécurisation des secrets d’authentification adapté aux risques liés à une compromission de l’accès à l’API, tel qu’un coffre-fort numérique ».

Du côté journalisation, elle recommande une « analyse proactive et régulière des journaux internes et externes ».

Le gestionnaire de l'API responsable vis-à-vis du RGPD

« Le gestionnaire d'API s'assure du respect des obligations de sécurité résultant de l’article 32 du RGPD », précise-t-elle. Elle recommande qu'il « se conforme aux normes techniques communément admises, telles que le référentiel général de sécurité (RGS) de l’Agence nationale de sécurité des systèmes d’information et ses recommandations applicables au type de système considéré, les références "RFC" (pour "requests for comments" en anglais) relatives à des protocoles standardisés, ainsi que des solutions éprouvées ».

Pour elle, le gestionnaire d'API est responsable de la mise en place de mesures nécessaires pour se prémunir contre « les attaques les plus connues et pouvant vraisemblablement être anticipées, telles que les injections de code ou les attaques exploitant des vulnérabilités entre sites de type "cross-site request forgery" (CSRF) ». Il doit aussi s'assurer de la robustesse des métadonnées.

Elle demande aux gestionnaires d'API de prévoir les interruptions de service « longtemps à l’avance » et d'en informer les utilisateurs.

Enfin, lorsque l'accès de l'API est sécurisé par une clé, la CNIL demande aux réutilisateurs des données d'héberger la clé « dans un répertoire sécurisé, voire un système de sécurisation des clés, tel qu’un coffre-fort numérique sécurisé ».