RGPD EN ENTREPRISE : API : INTERFACES DE PROGRAMMATION APPLICATIVE
Newsletter #RGPD Pratique - Le choix d'une #conformité efficace - Numéro 24/2024.
Une Application Programming Interface « API » est un ensemble de règles ou de protocoles qui permettent aux applications logicielles de communiquer entre elles pour échanger des données, des caractéristiques et des fonctionnalités. En général les API sont utilisées pour des taches spécifiques et servent à échanger des informations en accédant aux données et aux fonctionnalités d'autres applications, services ou systèmes d'exploitation. En fait, elles servent d'intermédiaire entre les plateformes informatiques et permettent à deux applications sans rapport de « dialoguer » entre elles en s'échangeant des données ou des services. Dans le contexte des API, le terme « application » désigne un logiciel avec une fonction distincte.
Les API sont multiples et variées. Elles peuvent être utilisées par des développeurs de logiciels pour faciliter l’intégration de contenu et d’applications, à des fins de synchronisation, ou pour créer un service sur mobiles. Les API sont également utilisées pour créer des systèmes plus sophistiqués qui peuvent faire appel à des données stockées sur un serveur distant et à des ressources de services web pour intégrer des services tiers tels que la recherche, la vérification des stocks et des prix, et la livraison. Elles sont également utilisées pour les services de paiement, la création de services personnels tels que des notifications, des alertes et des mises à jour en temps réel. Enfin, les API peuvent être utilisées pour créer des applications de gestion de bases de données et des outils de gestion de projet. Bien sur les possibilités sont infinies.
L’utilisation des API est essentielle pour une gestion optimisée des données. Elle permet de réaliser une mise à jour constante des données et d’améliorer sans cesse l’expérience utilisateur. Cependant des règles de sécurité de base sont à suivre aussi bien par les programmateurs que par les utilisateurs pour éviter des situations de violations de données personnelles.
Ci-dessous, la fiche 25 du nouveau guide de sécurité de la #CNIL qui donne les indications précises pour veiller à sécuriser des données partagées via l’implémentation d’une API.
Le recours à des interfaces de programmation applicative (API en anglais) constitue une bonne pratique pour de nombreux cas d’usages d’échange de données personnelles, dans la mesure où les API peuvent contribuer à fiabiliser, minimiser et sécuriser ces échanges. La gestion des API doit, pour ce faire, s’inscrire dans la politique de sécurité des systèmes d’information et faire l’objet d’une coordination entre fournisseurs et consommateurs d’API.
Les précautions élémentaires
• Identifier les acteurs et leur rôle fonctionnel (détenteur de données, gestionnaire d’API, réutilisateur) afin d’organiser le périmètre d’attribution de chacun en matière d’accès aux API et aux données.
• Limiter le partage aux données strictement nécessaires, uniquement aux personnes et pour les finalités prévues, en application du principe de minimisation.
• Créer une séparation entre les appels aux fonctions courantes de l’API et ceux dédiés à son administration, pour lesquels une authentification robuste apparaît nécessaire.
• Disposer de journaux pertinents afin de tracer les échanges (voir la fiche n°16 - Tracer les opérations) et de détecter et réagir en cas d’une utilisation détournée de l’API, d’accès illégitime aux données, d’un dépassement de la capacité d’accès ou de tout autre comportement inhabituel (voir la fiche n°19 - Gérer les incidents et les violations).
• Maintenir à jour la documentation. Celle-ci doit inclure le format des requêtes et des données concernées par le partage afin de limiter le risque d’une erreur d’interprétation
Recommandé par LinkedIn
Ce qu’il ne faut pas faire
• Conserver actives les anciennes versions d’une API qui ne permettent pas le maintien du niveau de sécurité attendu.
• Négliger la sécurité des clés d’accès aux API, alors que des solutions de sécurisation des secrets, tel qu’un coffre-fort numérique, existent.
POUR ALLER PLUS LOIN
• Avant la mise en production d’une API, vérifier sa résistance aux risques publiés par l’OWASP dans son Top 10 API.
• Voir la recommandation de la CNIL relative au partage sécurisé de données par API.
• L’implémentation de l’API doit être mise en œuvre dans le respect de mesures de sécurité standards telles que la mise en place d'un mécanisme d'authentification adapté (voir la fiche n°4 - Authentifier les utilisateurs), la gestion périodique des habilitations (voir la fiche n°5 - Gérer les habilitations) ou encore le chiffrement des communications à l’état de l’art.
• Une version « bac à sable » de l’API devrait être mise à disposition afin de permettre des expérimentations et de tester les résultats attendus à partir de données fictives.
Concernant la recommandation de la CNIL accessible au lien : La CNIL publie une recommandation technique relative au partage de données par API | CNIL, celle-ci identifie les situations dans lesquelles l’utilisation d’API peut être recommandée, selon un faisceau de critères. Une liste de facteurs de risques est ensuite fournie afin de permettre aux sociétés d’alimenter une analyse de risque et de s’orienter vers les principaux objectifs à atteindre pour suivre les recommandations de la CNIL.
Des recommandations sont ensuite données pour orienter les sociétés vers les mesures leur permettant d’atteindre le niveau de sécurité recherché, mais également les mesures susceptibles de faciliter la conformité aux principes de la protection des données comme l’exercice des droits, l’information, la minimisation des données et la prévention des violations de données personnelles.
Nous analyserons dans un numéro spécifique les recommandations de la CNIL spécifiques et détaillés exposées dans le guide des API qui occupent une place grandissante dans les outils utilisées par les sociétés pour le traitement des données personnelles.