IP / IT

#Phygital – Gestion des API et #RGPD : Lancement d’une consultation de la #CNIL sur un projet de Recommandation

Les Application Programming Interfaces (API) permettent de gérer des flux de données issues d’outils informatiques variés particulièrement utiles dans la gestion des opérations de distribution et les supply chains. Les API ont pour objet de connecter des systèmes informatiques : les systèmes de commandes, de gestion des livraisons, de programme de fidélisation, de réservation…

La CNIL relève « une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés ». Elle a donc établi un projet de recommandation très riche à l’usage des opérateurs.

Les garanties de sécurité dès la conception, les principes de minimisation ou anonymisation et la traçabilité des accès à l’API sont au cœur des préoccupations de la CNIL sur la question des API.

Pour la CNIL, le projet de Recommandation devra s’appliquer que les API fonctionnent en accès restreint ou soient ouvertes (ex. Google Maps), qu’elles donnent accès à des données ou en assure le partage…

Elle désigne en principe le détenteur des données à caractère personnel comme le responsable (conjoint ou non avec d’autres) du traitement de partage, le réutilisateur des données comme destinataire au sens du RGPD, puis le gestionnaire de l’API comme sous-traitant, ces deux derniers pouvant être éventuellement également responsables pour leur propre traitement de données.

La CNIL invite à ne pas utiliser de « partage de données par le biais d’une plateforme : utilisation d’un serveur partagé auquel le détenteur de données et le réutilisateur ont accès afin de partager des données » ou de « Partage de données par le biais d’un service de télécommunication : utilisation d’un service tiers, tel qu’un service de messagerie électronique, pour partager des données. »

Comme d’usage maintenant, pour les partages de données à caractère personnel à risque, les opérateurs sont invités à mener des analyses techniques et analyse d’impact.

L’information des personnes dont les données sont partagés via des API devront avoir une information « claire et complète », dont la liste figure dans le projet de Recommandation.

Enfin, la CNIL recommande des tests de l’API en banc à sable avant leur mise en œuvre.

Frédéric Fournier
Avocat Associé
Redlink

https://www.cnil.fr/sites/default/files/atoms/files/consultation_publique_-_projet-de-recommandation_interfaces-programmation-applicatives-api.pdf