La Cnil prodigue ses recommandations pour sécuriser les interfaces de programmation
Les administrations utilisent de plus en plus les interfaces de programmation (API) car elles leur donnent la pleine maîtrise des données mises en partage. L'État les emploie ainsi massivement pour partager des bases de données (API Sirene, API adresse…) ou faciliter la réalisation de procédures administratives (API particulier, API entreprise). La Cnil valide pour sa part un outil susceptible de minimiser les échanges de données personnelles dans la sphère publique comme privée. Mais le revers des API est de faire peser des risques importants de fuite de données en cas de piratage. Pour favoriser les bonnes pratiques de sécurité auprès des détenteurs de données, des gestionnaires d'API et des réutilisateurs de données, la Cnil a publié un guide fin novembre 2023. Un guide de recommandations "techniques" qui ne préjuge pas d'éventuelles obligations réglementaires (comme le CRPA) encadrant certaines API rappelle tout d'abord la Cnil. La Commission recommande ensuite d'intégrer les API aux analyses de risques et audits de cybersécurité des organisations, renvoyant aux documentations de l'Anssi et de la Dinum. Elle détaille ensuite plusieurs cas de figure, comme celui l'open data, le partage de données dans un cercle fermé d'utilisateurs ou encore le partage de données impliquant la personne concernée. Elle liste enfin un certain nombre d'outils pour documenter les API, gérer les accès, faciliter l'exercice des droits des usagers ou encore analyser leur code source.