Conditions générales d'utilisation
du service API Entreprise

Ce document, ci-après les « CGU », présente les modalités d’utilisation de l’API Entreprise par les personnes y ayant accès, ci-après les « Partenaires ».
Les présentes conditions d’utilisation (CGU) sont mises en œuvre conformément à l’Article L. 112-9 du Code des relations entre le public et l’administration. Elles s’imposent aux utilisateurs d'API Entreprise.

1. Présentation

Le service API Entreprise (ci-après dénommé « le Service ») est mis en œuvre par la Direction interministérielle du numérique (ci-après dénommée « la DINUM ») et vise à :

  • Simplifier les démarches administratives des entreprises et associations usagères du service public, ci-après « l’Usager », notamment en les soulageant de la production de certaines pièces justificatives ;
  • Faciliter l’instruction associée à ces démarches en permettant aux administrations qui en sont chargées, ci-après « lePartenaire », de récupérer des documents ou des données produits ou détenus par d’autres autorités administratives.

Pour ce faire, le Service consiste en un dispositif d’échange permettant :

  • la mise à disposition d’informations ou données détenues par les administrations ;
  • la récupération d’informations ou données nécessaires à l’accomplissement de démarches administratives ;
  • la consultation des statistiques d’usage des données, la visualisation des dernières requêtes effectuées, ainsi que la mise à jour des coordonnées du compte.

Le Service est ouvert aux administrations au sens de l’Article L. 100-3 du Code des relations entre le public et l’administration, c’est-à-dire les administrations de l’État, les collectivités territoriales, leurs établissements publics administratifs respectifs et les organismes et personnes de droit public et de droit privé chargés d’une mission de service public administratif, y compris les organismes de sécurité sociale.
Les entités accédant au Service sont dénommées « Partenaires » dans la suite de ce document.

Le Service donne accès à des données et pièces justificatives émanant d’administrations diverses, que le Service fédère, à partir d’interfaces de programmation (API) ou, exceptionnellement, de bases mises à sa disposition, dans des conditions assurant la protection des données et le respect des règles de confidentialité.
La liste exhaustive des données, des documents et des modalités techniques de consultation sont précisés dans la documentation technique.

2. Modalités d’utilisation du Service

L'utilisation du Service est facultative et gratuite.

2.1. Rôle et engagements du Partenaire

Adhésion

Le Partenaire vérifie qu’il remplit les conditions d’accès présentées dans les présentes CGU et effectue sa demande d’adhésion à partir du site internet : https://datapass.api.gouv.fr/api-entreprise.

Le Partenaire demande l’accès aux seules données strictement nécessaires à la réalisation d’une démarche administrative.

La demande d’accès effectuée par le Partenaire visant à obtenir un jeton d’accès est spécifique à ce Partenaire et à un type de démarche administrative qu’il réalise. Le Partenaire doit effectuer une demande d’accès par démarche et obtient autant de jetons que de demandes.
Le fait pour un Partenaire d’utiliser un jeton unique pour plusieurs démarches différentes, y compris en internalisant la gestion des droits d’accès, entraîne la révocation immédiate du jeton.
Le Partenaire vérifie qu’il remplit les conditions d’accès présentées dans les présentes CGU et effectue sa demande d’adhésion à partir du site internet : https://datapass.api.gouv.fr/api-entreprise.

Le jeton est émis avec une durée de vie de 18 mois, son expiration est programmée à cette date sauf en cas de révocation précoce. Trois mois avant l’expiration, le Partenaire est invité à formuler une demande de prolongation du jeton s’il le souhaite. Pour l'informer, l’API Entreprise envoie des notifications par emails trois mois avant l'expiration d'un jeton. Ces derniers sont valables pour une durée de 18 mois.

Le formulaire de prolongation permet au Partenaire d’indiquer si des changements sont intervenus depuis la dernière demande d’habilitation à l’API Entreprise et donc de vérifier que les conditions pour lesquelles l'habiliation a été délivrée sont toujours valables. Une fois le formulaire complété par le Partenaire :

  • Si des changements sont signalés, le Partenaire est invité à lancer une demande de modification de l’habilitation. Cette demande sera traitée en priorité par les services instructeurs de la DINUM. Après validation, le jeton sera prolongé de 18 mois.
  • Si aucun changement n’est signalé, le jeton est prolongé de 18 mois à la suite de l’envoi du formulaire de prolongation.
Engagements

Une fois son raccordement effectué, le Partenaire s’engage à mettre en œuvre le Service en l’intégrant au sein de ses services numériques.
Le Partenaire est responsable des traitements qu’il opère sur les données reçues au moyen du Service et, à ce titre, respecte les obligations inhérentes à ce traitement, notamment celles prévues par la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.

Préalablement à toute transmission de données, le Partenaire s’engage à informer correctement l’Usager et à recueillir, le cas échéant, son consentement explicite à la transmission des données.
Le Partenaire s’engage à ne pas donner accès aux données obtenues par l’intermédiaire du Service à l’Usager ne bénéficiant pas d’un niveau d’authentification suffisant.

Le Partenaire s’engage à présenter les données obtenues par l’intermédiaire du Service aux seuls agents dûment habilités et à tracer l’accès de ces agents aux données. Ces traces sont conservées pour une durée minimum de 36 mois, la durée légalement applicable.

Pour ce qui concerne les données de la base Sirene, le Partenaire s’engage à tenir compte du statut de diffusion le plus récent de chaque personne physique, qui tient compte des oppositions formulées par certaines d’entre elles, à la l’utilisation par des tiers autres que les organismes habilités au titre de l’Article R. 123-224 du Code de commerce ou les administrations à des fins de prospection, notamment commerciale. En cas d’octroi d’un accès aux données des personnes physiques dîtes "non-diffusbiles", le Partenaire s’engage à n’utiliser ces informations que dans le cadre strict de ses missions de service public, et à ne pas les rediffuser ni les divulguer auprès de tiers non autorisés.

Le Partenaire s’engage à ne pas commercialiser les données reçues et à ne pas les communiquer à des tiers en dehors des cas prévus par la loi.

Le Partenaire s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles nécessaires au bon fonctionnement du Service, notamment en matière de traçabilité interne, et à informer, le cas échéant, la DINUM de toute difficulté de nature à compromettre le bon fonctionnement du Service. En particulier, il garantit la confidentialité du jeton. Dès lors que la confidentialité du jeton a pu être compromise, y compris de manière accidentelle, le jeton est révoqué. À cette fin, le Partenaire s’engage à alerter sans délai la DINUM en envoyant un courriel à support@entreprise.api.gouv.fr.

En cas d’incident grave dans l’utilisation du Service, le Partenaire s’engage à coopérer avec la DINUM dans la réalisation d’un audit, en fournissant toutes les informations nécessaires.

Lorsqu’il souhaite surveiller par des mécanismes automatisés la disponibilité de l’API Entreprise, le Partenaire s’engage à utiliser le mécanisme de surveillance prévu à cet effet et disponible sur la partie privée du site : https://entreprise.api.gouv.fr/compte.

Dans ses procédures internes, le Partenaire s’engage à ne pas considérer la non-transmission d’une donnée par le biais du Service, comme impliquant une réponse non conforme entrainant directement le rejet de la démarche de l’Usager. Dans ce cas, le Partenaire doit permettre à l’Usager de finaliser sa demande via une procédure alternative.

Le Partenaire s’engage à mettre à jour les coordonnées des responsables technique et fonctionnel afin de pouvoir être contacté par la DINUM. Ces informations sont modifiables dans le tableau de bord à disposition du Partenaire : https://entreprise.api.gouv.fr/compte.

2.2. Rôle et engagements de la DINUM

La DINUM met en œuvre et opère le Service conformément aux dispositions légales et réglementaires en vigueur. À ce titre, la DINUM s’engage à respecter les obligations légales liées au traitement, notamment celles relevant de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

La DINUM s’engage à transmettre les données demandées par le Partenaire via le Service au regard de son droit d’en connaître.

La DINUM met à disposition le site internet https://entreprise.api.gouv.fr/compte afin de permettre au Partenaire de :

  • récupérer le jeton d’accès (sous réserve de l’acceptation de la demande d’adhésion et des données afférentes)
  • consulter les statistiques d’usage des données,
  • de visualiser les dernières requêtes effectuées,
  • mettre à jour les coordonnées des contacts.

La DINUM s’engage à proposer aux Partenaires une assistance technique leur permettant de définir et de mettre en œuvre au mieux l’usage qu’ils réalisent du Service. Elle s’engage à apporter son concours fonctionnel à chaque fois que la situation le permet.

La DINUM s’autorise à mettre fin à l’accès au Service par le Partenaire s’il estime que son usage du Service n’est pas conforme aux présentes CGU, ne respecte pas les dispositions légales en vigueur, ne correspond pas aux exigences de sécurité ou porte préjudice à son image.

La DINUM s’engage à ce que le Service soit accessible à 99,5 %, à informer les Partenaires de toute difficulté de nature à en compromettre le bon fonctionnement. À cette fin, elle fournit un tableau de bord de la disponibilité du Service et les interruptions programmées des fournisseurs de données sur le site https://status.entreprise.api.gouv.fr/. L’engagement de disponibilité porte sur le Service et non pas sur les dispositifs d’échange sous-jacents. En effet, ceux-ci dépendent d’entités sur lesquels la DINUM n’a pas d’autorité fonctionnelle ou hiérarchique.

La DINUM s’engage à mettre en œuvre toutes mesures appropriées afin de protéger et de garantir l’intégrité des données traitées dans le cadre du Service. Elle ne porte aucune responsabilité s’agissant de la qualité ou du contenu intrinsèque des données. Dans ce cadre, la DINUM ne modifie pas les données à l’exception d’une standardisation contextuelle limitée (minuscule vers majuscule, format de date, nombre d’espaces).

La DINUM s’engage à assurer la traçabilité de toutes les actions réalisées par les partenaires du Service et conserve ces informations pendant la durée fixée par le cadre légal applicable.

La DINUM s’engage à assurer le suivi et l’évaluation de l’utilisation du Service, et à communiquer les résultats obtenus aux Partenaires.

2.3. Cookies et mesures d'audience

Le Service API Entreprise dépose des cookies de mesure d’audience (nombre de visites, pages consultées) respectant les conditions d’exemption du consentement de l’internaute définies par la recommandation « Cookies » de la Commission nationale informatique et libertés (CNIL)
Il utilise Matomo, un outil libre, paramétré pour ce faire. Cela signifie, notamment, que ces cookies ne servent qu’à la production de statistiques anonymes et ne permettent pas de suivre la navigation de l’internaute sur d’autres sites.

3. Traitement des données à caractère personnel

Le Service ne collecte que les données strictement nécessaires à sa mise en œuvre.

Les catégories de données à caractère personnel traitées sont les suivantes :

  • adresse e-mail du correspondant de l’organisation disposant du compte API Gouv.

    Ces informations permettent d’assurer l’accès du Partenaire au compte utilisateur privé, de récupérer ses jetons, de recevoir les notifications de prolongation du jeton, d’accéder aux lettres d'informations, de consulter les invitations aux évènements organisés par API Entreprise.
  • adresse e-mail et numéro de téléphone d'un responsable technique (renseigné pour chaque jeton).

    Ces informations constituent le point d'entrée pour toute question technique. Elles permettent également aux contacts de recevoir des invitations, des lettres d'informations et d'être alertés en cas d'incident technique ou de maintenance.
  • adresse e-mail et numéro de téléphone d'un responsable métier (renseigné pour chaque jeton).

    Ces informations constituent le point d'entrée pour toute question métier. Elles permettent également aux contacts de recevoir des invitations, des lettres d'informations et d'être informés en cas de nouvelles fonctionnalités, données ou API.

Ces informations permettent de développer le service API Entreprise (lettres d'information, invitations aux évènements organisés par API Entreprise)
Enfin, d’autres informations techniques sont conservées via les logs d'utilisations du service par les utilisateurs (URL appelée, paramètres d'appel, jeton, adresse IP, date et heure, code réponse ...) afin de permettre la supervision du service et de faciliter la résolution d’incidents. La DINUM s'engage à prendre toutes les précautions utiles pour préserver la sécurité des données collectées auprès de l'utilisateur, et notamment empêcher qu'elles soient déformées et endommagées ou que des tiers non autorisés y aient accès.

La DINUM garantit aux utilisateurs du Service les droits d'accès, de rectification et d'opposition prévus par la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ces droits s’exercent via l’adresse mail support@entreprise.api.gouv.fr La DINUM s'engage à n'opérer aucune commercialisation des informations et documents transmis par l'utilisateur au moyen du Service, et à ne pas les communiquer à des tiers, en dehors des cas prévus par la loi.

4. Cadre légal et responsabilité

Le présent Service est mis en œuvre selon les dispositions du Code des relations entre le public et l’administration (CRPA). Les CGU s’inscrivent également dans le cadre :

L’adhésion du Partenaire au Service emporte l’acceptation des présentes CGU.

Le Service est mis à disposition sans autres garanties expresses ou tacites que celles qui sont prévues par les présentes.
Le service est développé conformément à l’état de l’art. Toutefois, il n’est pas garanti qu’il soit exempt d’anomalies ou erreurs. Le service est donc mis à disposition sans garantie sur sa disponibilité et ses performances. À ce titre, la DINUM ne peut être tenue responsable des pertes et/ou préjudices, de quelque nature qu’ils soient, qui pourraient être causés à la suite d’un dysfonctionnement ou une indisponibilité du service. De telles situations n'ouvriront droit à aucune compensation financière.

Le Partenaire s’engage à respecter les présentes CGU et la législation en vigueur. Il s’engage notamment à ne fournir, dans le cadre de l'utilisation du Service, que des informations exactes, à jour et complètes.

Dans l'hypothèse où le Partenaire ne s'acquitterait pas de ses engagements, la DINUM se réserve le droit de suspendre ou résilier le service pour ce Partenaire, sans préjudice des éventuelles actions en responsabilité pénale et civile qui pourraient être engagées à son encontre.

Il est rappelé que toute personne procédant à une fausse déclaration pour elle-même ou pour autrui s'expose, notamment, aux sanctions prévues à l'Article 441-1 du Code pénal, prévoyant des peines pouvant aller jusqu'à trois ans d'emprisonnement et 45 000 euros d'amende.

5. Modification et évolution du Service

La DINUM se réserve la liberté de faire évoluer, de modifier ou de suspendre, sans préavis, le Service pour des raisons de maintenance ou pour tout autre motif jugé nécessaire. Une page d'information est alors affichée à l'usager lui mentionnant cette indisponibilité.

Les termes des présentes conditions d’utilisation peuvent être modifiés ou complétés à tout moment, sans préavis, en fonction des modifications apportées au Service, de l’évolution de la législation ou pour tout autre motif jugé nécessaire. Ces modifications et mises à jour s’imposent à l’utilisateur qui doit, en conséquence, se référer régulièrement à cette rubrique pour vérifier les conditions générales en vigueur. Cette modification fait l’objet d’une communication aux partenaires selon les modalités définies par la DINUM.

6. Nous contacter

Pour toute demande concernant une difficulté technique, un problème lié à l’utilisation de nos services, ou vos données personnelles (droit d’accès CNIL), vous pouvez nous contacter à l’adresse email support@entreprise.api.gouv.fr

Pour toute difficulté lors de la procédure d’adhésion au service API Entreprise, veuillez contacter la même adresse : support@entreprise.api.gouv.fr

Le 28 juillet 2020