La Commission Nationale de l’informatique et des Libertés (CNIL) a émis une recommandation technique visant à promouvoir l’utilisation des Interfaces de Programmation Applicatives (API) dans le partage de données entre entités publiques et privées. Cette recommandation souligne le potentiel des API pour renforcer la sécurité, minimiser les données et gérer les autorisations.
La CNIL met en avant la diversité des cas d’utilisation des API, couvrant tous les types d’organisations et de partages de données, qu’ils soient ouverts ou restreints, publics ou privés. La recommandation identifie trois rôles techniques essentiels dans ce processus : le détenteur de données, le gestionnaire d’API et le réutilisateur de données.
Il est mis en avant que l’utilisation des API doit respecter des bonnes pratiques tout au long de leur cycle de vie, de la conception au déploiement. La CNIL précise que la recommandation, issue d’une consultation publique à l’automne 2022, se concentre sur les mesures techniques sans détailler le cadre juridique général du partage de données via les API.
La responsabilité juridique est abordée de manière générale et la recommandation introduit trois rôles fonctionnels, sans toutefois déterminer la responsabilité juridique spécifique de chaque organisme. Celle-ci doit être évaluée au cas par cas, en tenant compte des circonstances du partage de données. Lorsqu’une API est accessible sans restriction, les réutilisateurs sont généralement responsables de leurs propres traitements distincts du traitement d’ouverture des données par l’API.
La méthodologie proposée par la CNIL vise à promouvoir les bonnes pratiques et est complétée par une analyse de risques conforme aux recommandations de la CNIL et de l’ANSSI pour sécuriser l’ensemble du traitement. Des outils spécifiques sont également recommandés pour mettre en œuvre ces mesures, mais leur utilisation doit être évaluée au cas par cas.
Des exemples concrets illustrent la mise en œuvre pratique des recommandations, couvrant des cas tels que le partage restreint de données entre organismes, le partage de données entre réseaux sociaux et chercheurs, l’ouverture de données de l’administration, ou encore le partage fermé de données entre services d’un même organisme.
En résumé, la CNIL, par le biais de cette recommandation, cherche à encourager l’utilisation des API comme un moyen sécurisé et efficace de partager des données, illustrant l’importance de la conception et de la mise en œuvre appropriées de ces interfaces pour garantir la protection des données personnelles.
Consultez ici la recommandation de la CNIL : Recommandation technique relative à l’utilisation des interfaces de programmation applicatives (API) pour le partage sécurisé de données à caractère personnel
Pour mémoire et dans la droite ligne de ce que prévoit la notice décrivant le cadre de gestion des risques TIC, la dernière version de la notice RSR/SFCR de l’ACPR de décembre 2024 précise en effet les éléments relatifs à DORA que les organismes d’assurance relevant du régime S2 sont désormais tenus de faire figurer […]
Le Gouvernement dit ne pas vouloir abandonner son projet ; les OCAM font front commun et lèvent haut et fort leur bouclier ! Le Gouvernement demeure en effet résolu à instaurer une « contribution » mise à la charge des OCAM, destinée dit-il à générer 1 Milliard d’euros en compensation du projet abandonné d’augmentation du […]
Le 14 mars dernier, l’ACPR a tenu à la Maison du Barreau sa matinée dédiée à la protection des clientèles des banques et des assurances, l’occasion pour elle de revenir sur certains sujets tels que la distribution des contrats obsèques, sa dernière recommandation sur le devoir de conseil en assurance, ou encore les bonnes pratiques […]
