L’ouverture des SI : 6 points d’attention sur les API

Vers une indispensable stratégie de gouvernance des API

Les API au cœur de la transformation digitale

La transformation digitale, le big data, les innovations type IA, IoT, RPA, l’automatisation, les robots, nécessitent l’interaction entre plusieurs applications ainsi qu’une gestion cohérentes de données.

Aujourd’hui, il est indispensable de sortir de la vision traditionnelle en silos de la SI, de l’organisation des métiers et de la gouvernance. Les API permettent cette vision et cette activité transverse de l’entreprise.

Le CIGREF, dans son rapport «  Stratégies de servicisation du SI, Transformation du SI en offre de services pour l’entreprise et ses partenaires » (Nov.2020) met en avant l’importance d’ouvrir son SI pour transformer l’activité SI en services, tant en interne qu’en externe.  L’ouverture des SI rend indispensable la mise en place d’une stratégie et d’une gouvernance des API.

Qu’est-ce qu’une API ?

Les API (« Application Programming Interface ») ou Interfaces, sont des programmes informatiques et protocoles qui permettent l’intégration de logiciels applicatifs entre eux et permettent ainsi aux Systèmes d’information de s’ouvrir à différentes applications et innovations et aux données de circuler et d’être utilisées par tous ces applicatifs.

Pourquoi l’API est la clé de la transformation de l’entreprise

L’article de Sophie Saltiel, résume cette importance et la valeur des API par le biais de 4 de leurs particularités :

• Efficace : « Les API sont utilisées comme outil de modernisation des systèmes d’information pour répondre à un besoin technique d’optimisation de l’architecture. C’est une démarche qui permet d’être plus agile, d’améliorer l’efficacité des processus internes et de réduire les coûts de développement. »
• Ouverture : les API permettent « de profiter de services externes (API) pour enrichir son propre système d’information et/ou d’offrir à un ensemble de partenaires externes ciblés d’utiliser, via des API, des fonctions de sa propre entreprise pour ajouter des services à ses propres clients (co-création). »
• Standardisation : « L’API peut ainsi être monétisé. On acquiert de nouveaux clients et on génère des revenus. »
• Plateformisation : « On expose ainsi sa plateforme sous la forme d’un catalogue de services consommables via des API et auquel tous les membres peuvent souscrire. Cela renforce l’expérience client, l’agilité et ouvre de nouvelles possibilités d’échange et de relation d’affaires. »

Les enjeux des API :

Les enjeux majeurs pour une stratégie et une gouvernance des API réussies peuvent être envisagés sous 6 axes :

• Sécurité : ouvrir, connecter, interfacer, communiquer les logiciels entre eux et permettre aux données de circuler en interne, en externe, nécessite un regard extrêmement vigilant en termes de sécurité. La stratégie et la gouvernance des API devront se réfléchies en mode « sécurité by design ». Cela nécessitera des engagements forts de la part des parties prenantes et notamment des éditeurs mais aussi des intégrateurs et des utilisateurs. Ces engagements devront être formalisés dans différents documents contractuels, tel que les contrats de licence ou de cloud, d’intégration et les chartes d’utilisation des SI pour les salariés et partenaires des entreprises et organisations.
• Qualité : les API devront répondre aux objectifs et besoins de l’entreprise. Ici aussi, la stratégie et la gouvernance des API devront être réfléchies en mode « qualité by design ». Cela nécessitera des engagements forts de toutes les parties prenantes – maitrise d’ouvrage, éditeurs, intégrateurs, prestataires de maintenances. Ces engagements devront être formalisés dans différents documents contractuels, tel que les contrats de licence ou de cloud, d’intégration, de maintenance ainsi que dans les PAQ, SLA.
• Open Source : les API disponibles en open source doivent aussi faire l’objet d’une analyse préalable importante, notamment en termes juridiques pour s’assurer par exemple qu’il est possible de les intégrer dans son projet, qu’il soit destiné à un usage interne ou à un usage commercial. Car « Open Source » ne signifie pas que vous pouvez tout faire, loin de là.
• Propriété intellectuelle : les API sont des œuvres intellectuelles bénéficiant de la protection prévue par le code de la propriété intellectuelle. Le contrat de cession des droits ou de licence devront prendre en compte les spécificités de ces œuvres intellectuelles, notamment s’agissant de leurs destinations/finalités. En effet, certains éditeurs ont créé un concept nommé « usages indirects », qui n’a pourtant pas vraiment de fondement juridique, pour justifier des facturations supplémentaires, notamment à l’occasion d’audits de licence. Il faut anticiper ces points dans vos contrats pour ne pas subir ce type de « rattrapage » qui pourrait devenir très couteux. Une analyse de contrat de licence des logiciels qui vont être interconnectés sera également nécessaire pour vérifier que cette interconnexion ne change pas, par exemple, le périmètre de la licence acquise, ce qui pourrait engager votre responsabilité.
• Données : les API sont un vecteur de transfert important de données. Il faudra s’assurer de la conformité de ces flux au RGPD pour les données personnelles, notamment en ce moment où le Privacy Shield a été invalidé pour les transferts hors UE. S’agissant des données non personnelles, il faudra aussi s’interroger sur certains sujets, en particulier leur propriété.
• Contrat : le contrat de mise à disposition, d’utilisation et d’exploitation d’une API devra impérativement être adapté au contexte SI qu’elle va couvrir ainsi qu’aux objectifs poursuivis par leur mise en œuvre. Encore un nouveau contrat à créer ; il est nécessairement différent des contrats IT classiques compte tenu notamment des implications transverses des API sur les différents métiers et sur l’activité de l’entreprise.

Claudia Weber, Avocat fondateur du Cabinet| ITLAW Avocats

Une stratégie de gouvernance des API construite sur des contrats adaptés à vos projets sécurisera votre SI, pensez-y !

Besoin d’aide pour rédiger ou négocier vos contrats ? Les nouvelles clauses innovantes ? Nous pouvons faire de votre contrat un outil de performances et de protection juridique de votre stratégie de gouvernance des API.

ITLAWAvocats accompagne ses clients depuis 25 ans dans la rédaction et la négociation des contrats IT, y compris d‘innovation , de projets informatiques complexes et de propriété intellectuelle  et mobilise ses talents , ses expertises , ainsi que sa connaissance de l’écosystème IT ,  y compris des achats, pour vous accompagner dans la sécurisation de vos projets.

Nous avons également crée des formation  destinées aux juristes, DSI, Acheteurs et Commerciaux, en particulier une formation innovante sur la Transformation Digitale

Pour aller plus loin :

• Transformation digitale : pourquoi et comment y aller ?

• Le bilan alarmant de l’Agence de l’Union Européenne pour la cybersécurité (ENISA) concernant les cybermenaces et attaques

• 2021 sera l’année des technologies ! Automatisation, IA, sécurité et Cloud au cœur des stratégies de développement…. avec une augmentation des risques juridiques
• Gestion de projets informatique et responsabilités : les conséquences d’une absence de cahier des charges en méthode AGILE

• Transfert de données hors UE : ce qu’il faut retenir des recommandations de la Cnil Européenne

• Et si le RGPD était un outil de bienveillance ?
• DPA & RGPD : Comment rédiger et négocier son DPA ?