JORF n°0147 du 27 juin 2023

Article 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Recommandations spécifiques à l'intention des détenteurs de données

Résumé Les détenteurs de données doivent bien documenter leurs données et les protéger.

Recommandations spécifiques à l'intention des détenteurs de données

Sur l'information des réutilisateurs :
La Commission recommande que le détenteur de données tienne une documentation à jour à l'intention des réutilisateurs, concernant les données rendues accessibles. Cette documentation devrait fournir en termes clairs des informations générales telles que la provenance des données, la méthode de collecte utilisée, leur fréquence de mise à jour, leur format de transmission, leur profondeur historique, leur fiabilité et les procédés de pseudonymisation ou d'anonymisation utilisés. Le détenteur de données devrait s'assurer que les réutilisateurs ont pris connaissance de cette documentation avant tout accès effectif aux données.
La Commission recommande par ailleurs l'utilisation de métadonnées associées aux données ou à un groupe de données, indiquant par exemple la date de collecte des données, leur fiabilité ou encore leur durée de validité. Le détenteur de données devrait s'assurer de la fiabilité des métadonnées, en particulier lorsque celles-ci décrivent la qualité, le statut, la disponibilité de la donnée ou encore ses conditions de réutilisation.
Enfin, le détenteur de données devrait mettre en place un canal de communication avec les réutilisateurs de données, afin que ces derniers puissent signaler tout problème technique ou risque relatif à la confidentialité, l'intégrité et la disponibilité des données, notamment les risques de réidentification identifiés a posteriori. A cet égard, plusieurs points de contact devraient exister, en fonction du niveau d'urgence des signalements, permettant ainsi au détenteur de données de prendre connaissance des risques signalés dans les meilleurs délais.
Sur l'exactitude et l'intégrité des données :
Le détenteur des données, généralement responsable du traitement de mise à disposition, doit accorder une attention particulière à l'exactitude et à l'intégrité des données avant et pendant leur transmission et mettre en place les mesures techniques et organisationnelles permettant de garantir que les réutilisateurs accèdent à des données exactes et à jour. En particulier, une vérification régulière de l'exactitude des données devrait être menée. Lorsqu'un risque particulier relatif à l'intégrité des données existe, des mesures reposant notamment sur des procédés cryptographiques, tels que des empreintes cryptographiques ou condensats (dits « hachés » ou « hash »), devraient être utilisées pour la garantir.
Lorsque le détenteur de données réalise lui-même la transmission des données au réutilisateur au moyen d'une requête en écriture, il devrait s'assurer d'avoir suivi la procédure décrite pour garantir leur intégrité et éviter tout risque de compromission d'une partie ou de la totalité de la base existante. Le détenteur de données devrait porter une attention particulière aux messages retournés par le serveur distant, ceux-ci pouvant indiquer qu'une erreur a eu lieu lors d'une requête en écriture.
Sur la sécurité :
Objectifs généraux :
Le détenteur de données doit assurer la sécurité des données qu'il produit et qu'il confie au gestionnaire d'API pour mise à disposition aux réutilisateurs.
Le détenteur de données devrait étudier la sécurité du système prévu pour le partage de données en lien avec le gestionnaire d'API et informer ce dernier de tout risque de sécurité identifié. En particulier, la sécurité de l'interface entre l'API et la base de données devrait être rigoureusement vérifiée. En effet, un partage de données par voie d'API, en tant qu'interconnexion entre deux systèmes d'information, notamment lorsqu'un des deux appartient à une entité tierce, constitue une modification significative du système d'information. Ce changement devrait donc entraîner un renouvellement anticipé d'une éventuelle homologation du système d'information pour prendre en compte les menaces et risques résultant de cette interconnexion.
Cloisonnement et disponibilité :
La Commission recommande que les données dont l'accès est prévu par l'API (« base source » de l'API) soient séparées des autres catégories de données lorsque le partage de ces dernières n'est pas prévu et que leur divulgation pourrait entraîner des conséquences graves pour les personnes. En particulier, lorsqu'un procédé de pseudonymisation ou d'anonymisation est prévu, les données brutes devraient être physiquement ou logiquement séparées des données issues de ce procédé. La base source de l'API pourra alors être alimentée par un procédé d'exportation de données automatisé et sécurisé, sous réserve que la latence introduite par ce procédé n'entraîne pas d'indisponibilité des données.
Lorsque les réutilisations prévues par les réutilisateurs sont des traitements critiques dont une indisponibilité (même temporaire) pourrait entraîner des conséquences graves, le détenteur de données devrait accorder une importance particulière à la disponibilité des données. Il devrait mettre en place les mesures techniques nécessaires pour éviter une compromission ou une indisponibilité de la base de données et pour en limiter l'impact le cas échéant, comme la redondance des infrastructures ou la mise en œuvre régulière de tests d'intégrité des données et de leurs sauvegardes.
Authentification :
Lorsque le détenteur de données s'authentifie pour accéder à l'API, ce qui peut être le cas notamment lorsqu'il réalise lui-même l'écriture sur la base du réutilisateur, il devrait mettre en place les mesures techniques et opérationnelles garantissant la sécurité des secrets d'authentification et, notamment, leur intégrité et leur confidentialité. Un système de sécurisation des secrets d'authentification adapté aux risques liés à une compromission de l'accès à l'API, tel qu'un coffre-fort numérique, devrait être utilisé. Lorsqu'un risque relatif à la sécurité des secrets est identifié, le réutilisateur devrait en informer le gestionnaire d'API dans les plus brefs délais, pour que celui-ci procède à leur révocation lorsque c'est nécessaire.
Journalisation :
Le détenteur de données devrait s'assurer qu'une journalisation effective des accès et actions réalisées sur la base de données a lieu : cette journalisation peut être techniquement réalisée par le détenteur des données et/ou par le gestionnaire d'API. Dans tous les cas, le détenteur des données devrait conserver une copie de ces traces, pour une durée conforme aux recommandations de la Commission.
La journalisation des accès externes, par les réutilisateurs autorisés à utiliser l'API, devrait être réalisée avec un niveau de détail dépendant de l'importance du risque que représente une intrusion dans la base de données ou une utilisation détournée du traitement. Dans le cas général, la Commission recommande que les opérations de création, consultation, modification et suppression des données à caractère personnel auxquels la journalisation est appliquée fassent l'objet d'un enregistrement comprenant l'auteur individuellement identifié, l'horodatage, la nature de l'opération réalisée ainsi que la référence des données concernées par l'opération avec un degré de précision adapté à la gravité des conséquences que pourraient entraîner pour les personnes une utilisation détournée de l'API ou un accès illégitime aux données.
Une analyse proactive et régulière des journaux internes et externes devrait être menée afin de vérifier la légitimité des actions réalisées. Celle-ci peut être automatisée (générant des alertes revues par des opérateurs) ou bien mise en œuvre par des mesures organisationnelles (par exemple, génération de rapports réguliers et contrôle humain des accès aux données). Plus particulièrement, dans les cas où un comportement inhabituel peut facilement être identifié, une journalisation et une analyse spécifiques devraient avoir lieu et faire l'objet d'un signalement permettant d'en vérifier la légitimité. Lorsqu'un détournement du traitement pourrait entraîner des conséquences importantes pour les personnes, tout accès supposé illégitime aux données devrait leur être signalé dans les plus brefs délais.
Les journaux pourraient également être utilisés afin de vérifier que les réutilisateurs ont bien pris en compte une éventuelle mise à jour des données. La précision et la durée de conservation des données doit être adaptée à chacune des finalités de journalisation. Dans ce cas, le détenteur des données pourrait ainsi alerter les réutilisateurs. Les informations issues de la journalisation permettent également d'assurer une traçabilité sur les accès effectifs aux données, dont les résultats pourraient être fournis aux personnes concernées, notamment à des fins de transparence ou dans le cadre de l'exercice de son droit d'accès. Le détenteur des données devrait s'assurer que ces informations leur sont restituées dans un format accessible et aisément compréhensible, notamment par le recours à des procédés statistiques.

1 version

Historique des versions

Version 1

Recommandations spécifiques à l'intention des détenteurs de données

Sur l'information des réutilisateurs :

La Commission recommande que le détenteur de données tienne une documentation à jour à l'intention des réutilisateurs, concernant les données rendues accessibles. Cette documentation devrait fournir en termes clairs des informations générales telles que la provenance des données, la méthode de collecte utilisée, leur fréquence de mise à jour, leur format de transmission, leur profondeur historique, leur fiabilité et les procédés de pseudonymisation ou d'anonymisation utilisés. Le détenteur de données devrait s'assurer que les réutilisateurs ont pris connaissance de cette documentation avant tout accès effectif aux données.

La Commission recommande par ailleurs l'utilisation de métadonnées associées aux données ou à un groupe de données, indiquant par exemple la date de collecte des données, leur fiabilité ou encore leur durée de validité. Le détenteur de données devrait s'assurer de la fiabilité des métadonnées, en particulier lorsque celles-ci décrivent la qualité, le statut, la disponibilité de la donnée ou encore ses conditions de réutilisation.

Enfin, le détenteur de données devrait mettre en place un canal de communication avec les réutilisateurs de données, afin que ces derniers puissent signaler tout problème technique ou risque relatif à la confidentialité, l'intégrité et la disponibilité des données, notamment les risques de réidentification identifiés a posteriori. A cet égard, plusieurs points de contact devraient exister, en fonction du niveau d'urgence des signalements, permettant ainsi au détenteur de données de prendre connaissance des risques signalés dans les meilleurs délais.

Sur l'exactitude et l'intégrité des données :

Le détenteur des données, généralement responsable du traitement de mise à disposition, doit accorder une attention particulière à l'exactitude et à l'intégrité des données avant et pendant leur transmission et mettre en place les mesures techniques et organisationnelles permettant de garantir que les réutilisateurs accèdent à des données exactes et à jour. En particulier, une vérification régulière de l'exactitude des données devrait être menée. Lorsqu'un risque particulier relatif à l'intégrité des données existe, des mesures reposant notamment sur des procédés cryptographiques, tels que des empreintes cryptographiques ou condensats (dits « hachés » ou « hash »), devraient être utilisées pour la garantir.

Lorsque le détenteur de données réalise lui-même la transmission des données au réutilisateur au moyen d'une requête en écriture, il devrait s'assurer d'avoir suivi la procédure décrite pour garantir leur intégrité et éviter tout risque de compromission d'une partie ou de la totalité de la base existante. Le détenteur de données devrait porter une attention particulière aux messages retournés par le serveur distant, ceux-ci pouvant indiquer qu'une erreur a eu lieu lors d'une requête en écriture.

Sur la sécurité :

Objectifs généraux :

Le détenteur de données doit assurer la sécurité des données qu'il produit et qu'il confie au gestionnaire d'API pour mise à disposition aux réutilisateurs.

Le détenteur de données devrait étudier la sécurité du système prévu pour le partage de données en lien avec le gestionnaire d'API et informer ce dernier de tout risque de sécurité identifié. En particulier, la sécurité de l'interface entre l'API et la base de données devrait être rigoureusement vérifiée. En effet, un partage de données par voie d'API, en tant qu'interconnexion entre deux systèmes d'information, notamment lorsqu'un des deux appartient à une entité tierce, constitue une modification significative du système d'information. Ce changement devrait donc entraîner un renouvellement anticipé d'une éventuelle homologation du système d'information pour prendre en compte les menaces et risques résultant de cette interconnexion.

Cloisonnement et disponibilité :

La Commission recommande que les données dont l'accès est prévu par l'API (« base source » de l'API) soient séparées des autres catégories de données lorsque le partage de ces dernières n'est pas prévu et que leur divulgation pourrait entraîner des conséquences graves pour les personnes. En particulier, lorsqu'un procédé de pseudonymisation ou d'anonymisation est prévu, les données brutes devraient être physiquement ou logiquement séparées des données issues de ce procédé. La base source de l'API pourra alors être alimentée par un procédé d'exportation de données automatisé et sécurisé, sous réserve que la latence introduite par ce procédé n'entraîne pas d'indisponibilité des données.

Lorsque les réutilisations prévues par les réutilisateurs sont des traitements critiques dont une indisponibilité (même temporaire) pourrait entraîner des conséquences graves, le détenteur de données devrait accorder une importance particulière à la disponibilité des données. Il devrait mettre en place les mesures techniques nécessaires pour éviter une compromission ou une indisponibilité de la base de données et pour en limiter l'impact le cas échéant, comme la redondance des infrastructures ou la mise en œuvre régulière de tests d'intégrité des données et de leurs sauvegardes.

Authentification :

Lorsque le détenteur de données s'authentifie pour accéder à l'API, ce qui peut être le cas notamment lorsqu'il réalise lui-même l'écriture sur la base du réutilisateur, il devrait mettre en place les mesures techniques et opérationnelles garantissant la sécurité des secrets d'authentification et, notamment, leur intégrité et leur confidentialité. Un système de sécurisation des secrets d'authentification adapté aux risques liés à une compromission de l'accès à l'API, tel qu'un coffre-fort numérique, devrait être utilisé. Lorsqu'un risque relatif à la sécurité des secrets est identifié, le réutilisateur devrait en informer le gestionnaire d'API dans les plus brefs délais, pour que celui-ci procède à leur révocation lorsque c'est nécessaire.

Journalisation :

Le détenteur de données devrait s'assurer qu'une journalisation effective des accès et actions réalisées sur la base de données a lieu : cette journalisation peut être techniquement réalisée par le détenteur des données et/ou par le gestionnaire d'API. Dans tous les cas, le détenteur des données devrait conserver une copie de ces traces, pour une durée conforme aux recommandations de la Commission.

La journalisation des accès externes, par les réutilisateurs autorisés à utiliser l'API, devrait être réalisée avec un niveau de détail dépendant de l'importance du risque que représente une intrusion dans la base de données ou une utilisation détournée du traitement. Dans le cas général, la Commission recommande que les opérations de création, consultation, modification et suppression des données à caractère personnel auxquels la journalisation est appliquée fassent l'objet d'un enregistrement comprenant l'auteur individuellement identifié, l'horodatage, la nature de l'opération réalisée ainsi que la référence des données concernées par l'opération avec un degré de précision adapté à la gravité des conséquences que pourraient entraîner pour les personnes une utilisation détournée de l'API ou un accès illégitime aux données.

Une analyse proactive et régulière des journaux internes et externes devrait être menée afin de vérifier la légitimité des actions réalisées. Celle-ci peut être automatisée (générant des alertes revues par des opérateurs) ou bien mise en œuvre par des mesures organisationnelles (par exemple, génération de rapports réguliers et contrôle humain des accès aux données). Plus particulièrement, dans les cas où un comportement inhabituel peut facilement être identifié, une journalisation et une analyse spécifiques devraient avoir lieu et faire l'objet d'un signalement permettant d'en vérifier la légitimité. Lorsqu'un détournement du traitement pourrait entraîner des conséquences importantes pour les personnes, tout accès supposé illégitime aux données devrait leur être signalé dans les plus brefs délais.

Les journaux pourraient également être utilisés afin de vérifier que les réutilisateurs ont bien pris en compte une éventuelle mise à jour des données. La précision et la durée de conservation des données doit être adaptée à chacune des finalités de journalisation. Dans ce cas, le détenteur des données pourrait ainsi alerter les réutilisateurs. Les informations issues de la journalisation permettent également d'assurer une traçabilité sur les accès effectifs aux données, dont les résultats pourraient être fournis aux personnes concernées, notamment à des fins de transparence ou dans le cadre de l'exercice de son droit d'accès. Le détenteur des données devrait s'assurer que ces informations leur sont restituées dans un format accessible et aisément compréhensible, notamment par le recours à des procédés statistiques.