Retour à la section

Délibération n°2023-050 du 25 mai 2023

JORF n°0147 du 27 juin 2023

Article 5

Article 5

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Recommandations pour les réutilisateurs de données

Résumé Les réutilisateurs de données doivent suivre les règles de sécurité, informer les personnes concernées et protéger les clés d'accès.

Recommandations spécifiques à l'intention des réutilisateurs

Il appartient au réutilisateur de données d'appliquer rigoureusement les instructions à sa disposition concernant l'utilisation et la sécurité de l'API et de s'assurer de la licéité des usages qu'il fait des données. Lorsque le réutilisateur constate que certaines instructions sont obsolètes, inadaptées, incomplètes ou non conformes à l'état de l'art en matière de sécurité, il devrait en informer le détenteur de données ou le gestionnaire d'API.
Lorsqu'une charte ou licence de réutilisation est fournie, le réutilisateur devrait en prendre connaissance et la diffuser à chacun de ses agents ou employés ayant accès aux données.
Sur l'information des personnes concernées :
L'information des personnes concernées sur le partage de leurs données avec les réutilisateurs relève de la ou des entités qui endossent la responsabilité de traitement de ce partage, ce qui est en principe toujours le cas du détenteur, et peut être, dans certaines hypothèses, celui du réutilisateur. Outre les catégories de données et les finalités de leur accès par le réutilisateur, la Commission recommande que ce dernier informe les personnes concernées sur les mesures de minimisation prises et le niveau de sécurité appliqué aux données, et, à titre de bonne pratique, sur la volumétrie et la fréquence attendues des requêtes.
Sur la minimisation :
Lorsqu'un accès temporaire ou restreint est proposé dans le cadre d'une expérimentation de l'API, le réutilisateur devrait en profiter pour déterminer les données strictement nécessaires à ses besoins.
Pour des besoins ponctuels ou concernant des données peu volumineuses, le réutilisateur de données devrait interroger l'API chaque fois qu'il entend traiter les données partagées, c'est-à-dire sans les conserver dans ses propres systèmes informatiques. En requêtant systématiquement au moyen de l'API les données dont il a besoin, il s'assure ainsi d'obtenir les données les plus à jour, limite leur surface d'exposition et prend en compte au plus tôt toute modification faisant suite à une demande d'exercice des droits. Lorsque la duplication des données est inévitable, le réutilisateur doit notamment limiter celle-ci au strict nécessaire, définir une durée de conservation maximale et s'assurer que les conditions de sécurité des données sont adéquates. Lorsque la flexibilité de l'API ne permet pas une sélection suffisamment fine des données pertinentes, ou lorsque les données dont l'accès est donné par l'API sont utilisées pour réaliser un traitement permettant d'obtenir la donnée pertinente requise, les données sources non pertinentes ou devenues inutiles doivent en principe être supprimées sous les plus brefs délais.
Le réutilisateur doit utiliser les informations à sa disposition afin de s'assurer que les données traitées sont à jour et, le cas échéant, n'ont pas fait l'objet d'une opposition par les personnes pour la finalité correspondant à leur traitement.
Sur la sécurité :
Gestion des risques :
Lorsque le réutilisateur identifie un risque relatif à la confidentialité des données ou un risque de sécurité de l'API, il devrait en informer le détenteur de données et le gestionnaire d'API dans les plus brefs délais.
Sécurisation des clés :
Lorsque l'accès à l'API est sécurisé au moyen d'une technique d'authentification reposant sur un échange de clés, le réutilisateur de données devrait sécuriser les clés lui permettant d'accéder aux données en hébergeant ces dernières dans un répertoire sécurisé, voire un système de sécurisation des clés, tel qu'un coffre-fort numérique sécurisé, lorsque la gravité des risques liés à une compromission de l'accès à l'API le justifie. Lorsqu'il détecte ou suspecte une compromission de ses clés d'accès, il les révoque immédiatement et demande la génération de nouvelles clés au gestionnaire d'API.
Journalisation :
Dans le cas où le réutilisateur de données (que ce soit avec l'aide d'un gestionnaire d'API ou qu'il endosse également ce rôle) met à disposition l'API permettant aux détenteurs de données de partager activement leurs données par une requête en écriture, il doit mettre en œuvre les recommandations figurant à l'article 3 pour assurer une journalisation des modifications découlant de l'usage de l'API par le détenteur. Cette journalisation devrait permettre d'identifier en particulier les actions ou tentatives d'action visant à porter atteinte à l'intégrité des données ou de la base de données.
La présente délibération sera publiée au Journal officiel de la République française.

1 version

Historique des versions

Version 1

Recommandations spécifiques à l'intention des réutilisateurs

Il appartient au réutilisateur de données d'appliquer rigoureusement les instructions à sa disposition concernant l'utilisation et la sécurité de l'API et de s'assurer de la licéité des usages qu'il fait des données. Lorsque le réutilisateur constate que certaines instructions sont obsolètes, inadaptées, incomplètes ou non conformes à l'état de l'art en matière de sécurité, il devrait en informer le détenteur de données ou le gestionnaire d'API.

Lorsqu'une charte ou licence de réutilisation est fournie, le réutilisateur devrait en prendre connaissance et la diffuser à chacun de ses agents ou employés ayant accès aux données.

Sur l'information des personnes concernées :

L'information des personnes concernées sur le partage de leurs données avec les réutilisateurs relève de la ou des entités qui endossent la responsabilité de traitement de ce partage, ce qui est en principe toujours le cas du détenteur, et peut être, dans certaines hypothèses, celui du réutilisateur. Outre les catégories de données et les finalités de leur accès par le réutilisateur, la Commission recommande que ce dernier informe les personnes concernées sur les mesures de minimisation prises et le niveau de sécurité appliqué aux données, et, à titre de bonne pratique, sur la volumétrie et la fréquence attendues des requêtes.

Sur la minimisation :

Lorsqu'un accès temporaire ou restreint est proposé dans le cadre d'une expérimentation de l'API, le réutilisateur devrait en profiter pour déterminer les données strictement nécessaires à ses besoins.

Pour des besoins ponctuels ou concernant des données peu volumineuses, le réutilisateur de données devrait interroger l'API chaque fois qu'il entend traiter les données partagées, c'est-à-dire sans les conserver dans ses propres systèmes informatiques. En requêtant systématiquement au moyen de l'API les données dont il a besoin, il s'assure ainsi d'obtenir les données les plus à jour, limite leur surface d'exposition et prend en compte au plus tôt toute modification faisant suite à une demande d'exercice des droits. Lorsque la duplication des données est inévitable, le réutilisateur doit notamment limiter celle-ci au strict nécessaire, définir une durée de conservation maximale et s'assurer que les conditions de sécurité des données sont adéquates. Lorsque la flexibilité de l'API ne permet pas une sélection suffisamment fine des données pertinentes, ou lorsque les données dont l'accès est donné par l'API sont utilisées pour réaliser un traitement permettant d'obtenir la donnée pertinente requise, les données sources non pertinentes ou devenues inutiles doivent en principe être supprimées sous les plus brefs délais.

Le réutilisateur doit utiliser les informations à sa disposition afin de s'assurer que les données traitées sont à jour et, le cas échéant, n'ont pas fait l'objet d'une opposition par les personnes pour la finalité correspondant à leur traitement.

Sur la sécurité :

Gestion des risques :

Lorsque le réutilisateur identifie un risque relatif à la confidentialité des données ou un risque de sécurité de l'API, il devrait en informer le détenteur de données et le gestionnaire d'API dans les plus brefs délais.

Sécurisation des clés :

Lorsque l'accès à l'API est sécurisé au moyen d'une technique d'authentification reposant sur un échange de clés, le réutilisateur de données devrait sécuriser les clés lui permettant d'accéder aux données en hébergeant ces dernières dans un répertoire sécurisé, voire un système de sécurisation des clés, tel qu'un coffre-fort numérique sécurisé, lorsque la gravité des risques liés à une compromission de l'accès à l'API le justifie. Lorsqu'il détecte ou suspecte une compromission de ses clés d'accès, il les révoque immédiatement et demande la génération de nouvelles clés au gestionnaire d'API.

Journalisation :

Dans le cas où le réutilisateur de données (que ce soit avec l'aide d'un gestionnaire d'API ou qu'il endosse également ce rôle) met à disposition l'API permettant aux détenteurs de données de partager activement leurs données par une requête en écriture, il doit mettre en œuvre les recommandations figurant à l'article 3 pour assurer une journalisation des modifications découlant de l'usage de l'API par le détenteur. Cette journalisation devrait permettre d'identifier en particulier les actions ou tentatives d'action visant à porter atteinte à l'intégrité des données ou de la base de données.

La présente délibération sera publiée au Journal officiel de la République française.