Conditions Générales d'Utilisation du service API Entreprise

Ce document, ci-après les « CGU », présente les modalités d’utilisation de l’API Entreprise par les personnes y ayant accès, ci-après les « Partenaires ».

Les CGU sont disponibles en PDF ICI.

Les présentes conditions d’utilisation (CGU) sont mise en œuvre conformément à l’article L. 112-9 du code des relations entre le public et l’administration. Elles s’imposent aux usagers.

1. Présentation

Le service API Entreprise (ci-après dénommé « le Service ») est mis en œuvre par la Direction interministérielle du numérique (ci-après dénommée « la DINUM ») et vise à :

Pour ce faire, le Service consiste en un dispositif d’échange permettant :

Le Service est ouvert aux administrations au sens de l’article L. 100-3 du code des relations entre le public et l’administration, c’est-à-dire les administrations de l’Etat, les collectivités territoriales, leurs établissements publics administratifs respectifs et les organismes et personnes de droit public et de droit privé chargés d’une mission de service public administratif, y compris les organismes de sécurité sociale.
Les entités accédant au Service sont dénommées « Partenaires » dans la suite de ce document.

Le Service donne accès à des données et pièces justificatives émanant d’administrations diverses, que le Service fédère, à partir d’interfaces de programmation (API) ou, exceptionnellement, de bases mises à sa disposition, dans des conditions assurant la protection des données et le respect des règles de confidentialité.
La liste exhaustive des données, des documents et des modalités techniques de consultation sont précisés dans la documentation technique.

2. Mentions légales

3. Modalités d’utilisation du Service

L'utilisation du Service, est facultative et gratuite.

3.1. Rôle et engagements du Partenaire

Adhésion

Le Partenaire vérifie qu’il remplit les conditions d’accès présentées dans les présentes CGU et effectue sa demande d’adhésion à partir du site internet : https://datapass.api.gouv.fr/api-entreprise

Le Partenaire demande l’accès aux seules données strictement nécessaires à la réalisation d’une démarche administrative.

La demande d’accès effectuée par le Partenaire visant à obtenir un « jeton » d’accès est spécifique à ce Partenaire et à un type de démarche administrative qu’il réalise. Le Partenaire doit effectuer une demande d’accès par démarche et obtient autant de jetons que de demande.
Le fait pour un Partenaire d’utiliser un jeton unique pour plusieurs démarches différentes, y compris en internalisant la gestion des droits d’accès, entraîne la révocation immédiate du jeton.
Le Partenaire vérifie qu’il remplit les conditions d’accès présentées dans les présentes CGU et effectue sa demande d’adhésion à partir du site internet : https://datapass.api.gouv.fr/api-entreprise

Le jeton est émis pour une durée maximum de deux ans, sauf révocation. Deux mois avant l’échéance, le Partenaire est invité à reformuler une demande d’adhésion au service s’il le souhaite . L’API Entreprise envoie des notifications de renouvellement par emails 3 mois avant l'expiration d'un jeton. Ces derniers sont valables pour une durée de 18 mois.

Engagements

Une fois son raccordement effectué, le Partenaire s’engage à mettre en œuvre le Service en l’intégrant au sein de ses services numériques.
Le Partenaire est responsable des traitements qu’il opère sur les données reçues au moyen du Service et, à ce titre, respecte les obligations inhérentes à ce traitement, notamment celles prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.

Préalablement à toute transmission de données, le Partenaire s’engage à informer correctement l’Usager et à recueillir, le cas échéant, son consentement explicite à la transmission des données.
Le Partenaire s’engage à ne pas donner accès aux données obtenues par l’intermédiaire du Service à l’Usager ne bénéficiant pas d’un niveau d’authentification suffisant.

Le Partenaire s’engage à présenter les données obtenues par l’intermédiaire du Service aux seuls agents dûment habilités et à tracer l’accès de ces agents aux données. Ces traces sont conservées pour une durée minimum de 36 mois, la durée légalement applicable.

Pour ce qui concerne les données de la base Sirene, le Partenaire s’engage à tenir compte du statut de diffusion le plus récent de chaque personne physique, qui tient kcompte des oppositions formulées par certaines d’entre elles, à la l’utilisation par des tiers autres que les organismes habilités au titre de l’article R. 123-224 du code de commerce ou les administrations à des fins de prospection, notamment commerciale. En cas d’octroi d’un accès aux données des personnes physiques pour lesquelles les variables statutDiffusionEtablissement et statutDiffusionUniteLegale sont à la valeur N, le Partenaire s’engage à n’utiliser ces informations que dans le cadre strict de ses missions de service public, et à ne pas les rediffuser ni les divulguer auprès de tiers non autorisés.

Le Partenaire s’engage à ne pas commercialiser les données reçues et à ne pas les communiquer à des tiers en dehors des cas prévus par la loi.
Le Partenaire s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles nécessaires au bon fonctionnement du Service, notamment en matière de traçabilité interne, et à informer, le cas échéant, le DINUM de toute difficulté de nature à compromettre le bon fonctionnement du Service. En particulier, il garantit la confidentialité du jeton. Dès lors que la confidentialité du jeton a pu être compromise, y compris de manière accidentelle, le jeton est révoqué. A cette fin, le Partenaire s’engage à alerter sans délai la DINUM en envoyant un courriel à : support@entreprise.api.gouv.fr

En cas d’incident grave dans l’utilisation du Service, le Partenaire s’engage à coopérer avec la DINUM dans la réalisation d’un audit, en fournissant toutes les informations nécessaires.

Lorsqu’il souhaite surveiller par des mécanismes automatisés la disponibilité de l’API Entreprise, le Partenaire s’engage à utiliser le mécanisme de surveillance prévu à cet effet et disponible sur la partie privée du site : https://dashboard.entreprise.api.gouv.fr/.
Dans ses procédures internes, le Partenaire s’engage à ne pas considérer la non-transmission d’une donnée par le biais du Service, comme impliquant une réponse non conforme entrainant directement le rejet de la démarche de l’Usager. Dans ce cas, le Partenaire doit permettre à l’Usager de finaliser sa demande via une procédure alternative.

Le partenaire s’engage à mettre à jour les coordonnées des responsables technique et fonctionnel afin de pouvoir être contacté par la DINUM. Ces informations sont modifiables à l’adresse suivante : https://dashboard.entreprise.api.gouv.fr/.

3.2. Rôle et engagements de la DINUM

La DINUM met en œuvre et opère le Service conformément aux dispositions légales et réglementaires en vigueur. A ce titre, la DINUM s’engage à respecter les obligations légales liées au traitement, notamment celles relevant de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique aux fichiers et aux libertés.

La DINUM s’engage à transmettre les données demandées par le Partenaire via le Service au regard de son droit d’en connaître.

La DINUM met à disposition le site internet https://dashboard.entreprise.api.gouv.fr afin de permettre au Partenaire de :

La DINUM s’engage à proposer aux Partenaires une assistance technique leur permettant de définir et de mettre en œuvre au mieux l’usage qu’ils réalisent du Service. Elle s’engage à apporter son concours fonctionnel à chaque fois que la situation le permet.

La DINUM s’autorise à mettre fin à l’accès au Service par le Partenaire s’il estime que son usage du Service n’est pas conforme aux présentes CGU, ne respecte pas les dispositions légales en vigueur, ne correspond pas aux exigences de sécurité ou porte préjudice à son image.

La DINUM s’engage à ce que le Service soit accessible à 99,5 %, informer les Partenaires de toute difficulté de nature à en compromettre le bon fonctionnement. A cette fin, elle fournit un tableau de bord de la disponibilité du Service disponible et les interruptions programmées des fournisseurs de données sur le site https://dashboard.entreprise.api.gouv.fr/. L’engagement de disponibilité porte sur le Service et non pas sur les dispositifs d’échange sous-jacents. En effet, ceux-ci dépendent d’entités sur lesquels la DINUM n’a pas d’autorité fonctionnelle ou hiérarchique.

La DINUM s’engage à mettre en œuvre toutes mesures appropriées afin de protéger et de garantir l’intégrité des données traitées dans le cadre du Service. Elle ne porte aucune responsabilité s’agissant de la qualité ou du contenu intrinsèque des données. Dans ce cadre, la DINUM ne modifie pas les données à l’exception d’une standardisation contextuelle limitée (minuscule vers majuscule, format de date, nombre d’espaces).

La DINUM s’engage à assurer la traçabilité de toutes les actions réalisées par les partenaires du Service et conserve ces informations pendant la durée fixée par le cadre légal applicable.

La DINUM s’engage à assurer le suivi et l’évaluation de l’utilisation du Service, et à communiquer les résultats obtenus aux Partenaires.

3.3. Cookies et mesures d'audience

Le Service API Entreprise dépose des cookies de mesure d’audience (nombre de visites, pages consultées), respectant les conditions d’exemption du consentement de l’internaute définies par la recommandation « Cookies » de la Commission nationale informatique et libertés (CNIL)
Il utilise Matomo, un outil libre, paramétré pour ce faire. Cela signifie, notamment, que ces cookies ne servent qu’à la production de statistiques anonymes et ne permettent pas de suivre la navigation de l’internaute sur d’autres sites.

4 - Traitement des données à caractère personnel

Le Service ne collecte que les données strictement nécessaires à sa mise en œuvre.

Les catégories de données à caractère personnel traitées sont les suivantes :

Ces informations permettent de développer le service API Entreprise (lettre d'informations, invitations aux Openlab)
Enfin, d’autres informations techniques sont conservées via logs d'utilisations du service par les usagers (URL appelée, paramètres d'appel, jeton, adresse IP, date et heure, code réponse ...) afin de permettre la supervision du service et de faciliter la résolution d’incidents. La DINUM s'engage à prendre toutes précautions utiles pour préserver la sécurité des données collectées auprès de l'usager, et notamment empêcher qu'elles soient déformées et endommagées ou que des tiers non autorisés y aient accès.

La DINUM garantit aux usagers du Service les droits d'accès, de rectification et d'opposition prévus par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés.

Ces droits s’exercent via l’adresse mail : support@entreprise.api.gouv.fr La DINUM s'engage à n'opérer aucune commercialisation des informations et documents transmis par l'usager au moyen du Service, et à ne pas les communiquer à des tiers, en dehors des cas prévus par la loi.

5 - Cadre légal et responsabilité

Le présent Service est mis en œuvre selon les dispositions du code des relations entre le public et l’administration (CRPA). Les CGU s’inscrivent également dans le cadre :

L’adhésion du Partenaire au Service emporte l’acceptation des présentes CGU.

Le Service est mis à disposition sans autres garanties expresses ou tacites que celles qui sont prévues par les présentes.
Le service est développé conformément à l’état de l’art. Toutefois, il n’est pas garanti qu’il soit exempt d’anomalies ou erreurs. Le service est donc mis à disposition sans garantie sur sa disponibilité et ses performances. A ce titre, la DINUM ne peut être tenue responsable des pertes et/ou préjudices, de quelque nature qu’ils soient, qui pourraient être causés à la suite d’un dysfonctionnement ou une indisponibilité du service. De telles situations n'ouvriront droit à aucune compensation financière.

Le partenaire s’engage à respecter les présentes CGU et la législation en vigueur. Il s’engage notamment à ne fournir, dans le cadre de l'utilisation du Service, que des informations exactes, à jour et complètes.

Dans l'hypothèse où le partenaire ne s'acquitterait pas de ses engagements, la DINUM se réserve le droit de suspendre ou résilier le service pour ce partenaire, sans préjudice des éventuelles actions en responsabilité pénale et civile qui pourraient être engagées à son encontre.
Il est rappelé que toute personne procédant à une fausse déclaration pour elle-même ou pour autrui s'expose, notamment, aux sanctions prévues à l'article 441-1 du Code Pénal, prévoyant des peines pouvant aller jusqu'à trois ans d'emprisonnement et 45 000 euros d'amende.

6 - Modification et évolution du Service

La DINUM se réserve la liberté de faire évoluer, de modifier ou de suspendre, sans préavis, le Service pour des raisons de maintenance ou pour tout autre motif jugé nécessaire. Une page d'information est alors affichée à l'usager lui mentionnant cette indisponibilité.

Les termes des présentes conditions d’utilisation peuvent être modifiés ou complétés à tout moment, sans préavis, en fonction des modifications apportées au Service, de l’évolution de la législation ou pour tout autre motif jugé nécessaire. Ces modifications et mises à jour s’imposent à l’utilisateur qui doit, en conséquence, se référer régulièrement à cette rubrique pour vérifier les conditions générales en vigueur. Cette modification fait l’objet d’une communication aux partenaires selon les modalités définies par la DINUM.

7 - Nous contacter

Pour toute demande concernant une difficulté technique, un problème lié à l’utilisation de nos services, ou vos données personnelles (droit d’accès CNIL), vous pouvez nous contacter à l’adresse : support@entreprise.api.gouv.fr

Pour toute difficulté lors de la procédure d’adhésion au service API Entreprise, merci de contacter : contact@api.gouv.fr

Le 28 juillet 2020