La transformation digitale, le big data, les innovations IA, IoT, RPA, l’automatisation nécessitent l’interaction entre plusieurs applications ainsi qu’une gestion cohérente des données. Aujourd’hui, il est indispensable de sortir de la vision traditionnelle en silos du SI, de l’organisation des métiers et de la gouvernance. Pour créer cette vision transverse qui devient indispensable, il faut aussi interconnecter les applications entre elles, et les API deviennent un enjeu majeur.
Vers une indispensable stratégie de gouvernance des API
Les API (" Application Programming Interface ") ou Interfaces, sont des programmes informatiques et protocoles qui permettent l’intégration de logiciels applicatifs entre eux et permettent ainsi aux Systèmes d’information de s’ouvrir à différentes applications et innovations et aux données de circuler et d’être utilisées par tous ces applicatifs.
Elles sont utilisées pour moderniser et enrichir les systèmes d’information en permettant de s’ouvrir à la fois à de nouveaux services pour l’interne mais aussi de les proposer à ses clients. Nous nous dirigeons assurément vers une indispensable stratégie de gouvernance des API qui sont au cœur de la transformation digitale.
Le Cigref, dans son rapport " Stratégies de servicisation du SI, Transformation du SI en offre de services pour l’entreprise et ses partenaires " (publié en novembre 2020) met en avant l’importance d’ouvrir son SI pour transformer l’activité SI en services, tant en interne qu’en externe. L’ouverture des SI rend indispensable la mise en place d’une stratégie et d’une gouvernance des API. Quels en sont les enjeux ? Les enjeux majeurs pour une stratégie et une gouvernance des API réussies peuvent être envisagés sous six axes.
La sécurité au cœur de votre stratégie
Ouvrir, connecter, interfacer, communiquer les logiciels entre eux et permettre aux données de circuler en interne, en externe, nécessitent un regard extrêmement vigilant en termes de sécurité. La stratégie et la gouvernance des API devront être réfléchies en mode " sécurité by design ". Cela nécessitera des engagements forts de la part des parties prenantes et notamment des éditeurs mais aussi des intégrateurs et des utilisateurs.
Ces engagements devront être formalisés dans différents documents contractuels, tels que les contrats de licence ou de cloud, d’intégration et les chartes d’utilisation des SI pour les salariés et partenaires des entreprises et organisations.
Assurer la qualité de vos services
Les API devront répondre aux objectifs et besoins de l’entreprise. Ici aussi, la stratégie et la gouvernance des API devront être réfléchies en mode " qualité by design ". Cela nécessitera des engagements forts de toutes les parties prenantes – maîtrise d’ouvrage, éditeurs, intégrateurs, prestataires de maintenance. Ces engagements devront être formalisés dans différents documents contractuels, tels que les contrats de licence ou de cloud, d’intégration, de maintenance ainsi que dans les PAQ, SLA.
La question de l’Open Source : tout n’est pas permis
Certaines API sont disponibles en open source et doivent ainsi faire l’objet d’une analyse préalable importante, notamment en termes juridiques pour s’assurer par exemple qu’il est possible de les intégrer dans son projet, qu’il soit destiné à un usage interne ou à un usage commercial. Car " Open Source " ne signifie pas que vous pouvez tout faire, loin de là.
Propriété intellectuelle et " usages indirects "
Les API sont des œuvres intellectuelles bénéficiant de la protection prévue par le code de la propriété intellectuelle. Le contrat de cession des droits ou de licence devra prendre en compte les spécificités de ces œuvres intellectuelles, notamment s’agissant de leurs destinations/finalités. En effet, certains éditeurs ont créé un concept nommé " usages indirects ", qui n’a pourtant pas vraiment de fondement juridique, pour justifier des facturations supplémentaires, notamment à l’occasion d’audits de licence. Il faut anticiper ces points dans vos contrats pour ne pas subir ce type de " régularisation " qui pourrait devenir très coûteux. Une analyse de contrat de licence des logiciels qui vont être interconnectés sera également nécessaire pour vérifier que cette interconnexion ne change pas, par exemple, le périmètre de la licence acquise, ce qui pourrait engager votre responsabilité.
Le partage des données personnelles et non personnelles
Les API sont un vecteur de transfert important de données. Il faudra s’assurer de la conformité de ces flux au RGPD pour les données personnelles, notamment en ce moment où le Privacy Shield a été invalidé pour les transferts hors UE. S’agissant des données non personnelles, il faudra aussi s’interroger sur certains sujets, en particulier leur propriété.
Le contrat doit intégrer les API de manière transverse et globale
Le contrat de mise à disposition, d’utilisation et d’exploitation d’une API devra impérativement être adapté au contexte SI qu’elle va couvrir ainsi qu’aux objectifs poursuivis par leur mise en œuvre. Encore un nouveau contrat à créer ; il est nécessairement différent des contrats IT classiques compte tenu notamment des implications transverses des API sur les différents métiers et sur l’activité de l’entreprise.
Lorsque le contrat est adapté au projet qu’il couvre et à ceux avec lesquels il interagit, il devient un véritable levier de gestion des risques et d’efficience des projets.
Comment gérer les API dans sa transformation digitale ?
Il est nécessaire d’anticiper et de s’organiser. Lorsqu’une entreprise se lance dans sa transformation numérique, les API seront incontournables, il est primordial qu’elle anticipe les risques habituels des projets IT auxquels elle devra ajouter les risques liés à la complexité et aux particularités des projets multiples, de leur interconnexion et de l’intégration d’API.
Nous recommandons notamment de cartographier les API, leur typologie (éditeur, open source, développement) et les risques associés afin de pouvoir les anticiper et les intégrer dans la gestion de projet et dans les différents contrats.
" Un contrat adapté traite de la dynamique du projet, de sa transversalité avec les autres technologies et de l’humain, indispensable à sa réussite "
Chez ITLAW Avocats, nous constatons depuis quelques années une complexification des architectures SI marquée vers l’hybridation. Cette tendance n’est pas sans impact juridique. Avant chaque projet il faut mener des audits juridiques, notamment pour répondre aux questions structurantes : " Ai-je le droit de faire cela ? Quels sont les impacts sur les applicatifs connectés, sur leur métrique, en cas d’évolution d’une application, d’une API ? Faut-il renégocier mon/mes contrats éditeurs ou cloud ? Est-ce que je peux transférer mes données d’une application à une autre ? Le contrat proposé par mon prestataire est-il adapté à mes enjeux ? "
En conclusion, la transformation digitale, l’hybridation, plus généralement tout projet composé de plusieurs applications nécessitent de mettre en place une stratégie de gouvernance des API construite sur une cartographie de risques multiples – technologique, financiers et juridiques. Rédiger des contrats adaptés qui prennent en compte la dynamique et l’ouverture SI créée par ces API sécurisera votre SI. Alors pensez-y !
SUR L'AUTEUR. Depuis plus de 25 ans, Claudia Weber, avocat fondateur du cabinet ITLaw Avocats accompagne ses clients sur les sujets du droit appliqué aux technologies. Son expérience combinée à son expertise juridique, ses connaissances du marché de l’IT, des achats IT, des technos et à ses qualités humaines apportent efficacité et pragmatisme dans ses conseils tout en répondant à des problématiques complexes.
