Parmi les lectures de ces derniers jours:
1. Recommandation de la CNIL sur l’utilisation des interfaces de programmation applicatives (API)
Observant « une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés » et « l’intérêt croissant dans la réutilisation des données pour diverses finalités », la CNIL publie une recommandation qui « vise à identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en oeuvre et leur utilisation ».
Ainsi en plus de mettre l’accent sur le rôle du détenteur des données, du gestionnaire d’API et du réutilsateur, la CNIL mentionne « qu’une analyse au cas par cas est indispensable pour définir la qualification juridique des acteurs, et ainsi déterminer sur quel(s) acteur(s), à quel titre et dans quelle mesure, pèse la responsabilité de tenir compte des recommandations [générales et spécifiques exposées].
Elle précise aussi que
- « le partage par le biais d’une API permet une meilleur supervision du partage des données, d’une part en contrôlant les accès, le degré de précision des données transmises et, le cas échéant, les finalités d’utilisation des données et, d’autre part, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisation, en permettant la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits et notamment du droit à la portabilité, etc.) »;
- « les objectifs suivants devraient être considérés comme prioritaires lors de la mise en oeuvre de mesures visant à réduire les risques: la minimisation des données échangées; l’exactitude des données sources; la traçabilité des accès; le gouvernance et le respect des droits; [et] la sécurité. [Ces objectifs] sont à considérer dans le contexte du partage de données, selon la vraisemblance et la gravité des risques associés »;
- « les organismes impliqués dans le partage de données devraient se coordonner pour fournir une information claire et complète aux personnes concernant le traitement de mise à disposition de leurs données à caractère personnel » et ce, en insistant notamment sur les mesures de traçabilité, la journalisation des accès et des actions, description détaillée des données partagées, fréquence d’échantillonage ou encore les opérations réalisées en amont (i.e pseudonymisation, anonymisation);
- « lorsqu’une personne concernée par le partage retire son consentement, exerce sont droit d’opposition ou à la limitation, l’API devrait intégrer un dispositif technique permettant d’exclure automatiquement du champ du partage les données concernées », et « l’API devrait également intégrer un dispositif spécifique permettant au détenteur de données d’informer chaque réutilisateur auquel les données ont été communiquées, de toute rectification, effacement de données ou limitation de traitement faisant suite à l’exercice des droits par les personnes concernées […] ».
Pour plus de détails: Commission nationale de l’informatique et des libertés, « La CNIL publie une recommandation technique relative au partage de données par API », Actualité, 7 juillet 2023 (https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-technique-relative-au-partage-de-donnees-par-api)
2. 9e Cahier Innovation & Prospective du Laboratoire d’innovation numérique de la CNIL: « Données, empreinte et libertés »
Après avoir fait un état des lieux entre autres en ce qui concerne l’empreinte numérique, les centres de données (data centers), l’intelligence artificielle, les chaines de bloc (blockchain), la réalité virtuelle et augmentée, la publicité ciblée, le chiffrement ou encore le reconditionnement, la CNIL donne des pistes pour rapprocher la protection des données et de l’environnement:
- Promouvoir une informatique sobre et frugale;
- Renforcer, documenter et rendre interopérables les bonnes pratiques sectorielles;
- Engager un débat sur les libertés et la transparence;
- Fournir les moyen d’un partage vertueux des données environnementales;
- Poursuivre l’engagement de la CNIL dans sa transition environnementale
Pour plus de détails: Commission nationale de l’informatique et des libertés, « Données, empreinte et libertés : la CNIL présente son nouveau cahier Innovation & Prospective », Actualité, 4 juillet 2023 (https://www.cnil.fr/fr/donnees-empreinte-et-libertes-la-cnil-presente-son-nouveau-cahier-innovation-prospective)
3. Blogue du Commissariat à la protection de la vie privée du Canada afin de promouvoir les pratiques exemplaires relatives aux applications mobiles … Pour plus de détails: https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230629/
4. Agence nationale de la sécurité des systèmes d’information, État de la menace informatique contre les cabinets d’avocats, 27 juin 2023, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf