Téléservices administratifs : l’Etat encadre le déploiement des API

Les API (Application programming interface) ou web services sont de plus en plus utilisés par l’administration pour simplifier la réalisation de formalités en ligne. Ces connecteurs organisent l’échange de données entre le producteur et les réutilisateurs de données. Certaines API sont accessibles à tous, comme les adresses, les entreprises, offres d’emploi, aides de l’Etat (…), d’autres sont en accès restreint comme c’est le cas pour les données fiscales et sociales individuelles. Il est par exemple possible d’aller récupérer dans les bases de la DGFIP le revenu fiscal de référence de l’usager pour compléter sa demande d’aide sociale. Elles lui évitent la saisie de données connues de l’administration et/ou la production de pièces justificatives.

Référencement et documentation

Fer de lance du "dites-nous le une fois", les API figurent au cœur de la stratégie de transformation numérique de l’Etat. Les collectivités territoriales ont du reste la possibilité d’accéder à des financements du plan de relance pour mettre en place une API sur leur portail citoyen. Le déploiement un peu anarchique des API a cependant conduit l’Etat à clarifier sa doctrine. La Dinum - qui vient de voir nommer à sa tête Stéphanie Schaer en conseil des ministres lundi 26 septembre 2022 - a publié cet été un "cadre de recommandations" à destination des administrations productrices de données proposant des API. Parmi les 16 recommandations, on notera le référencement des API sur le portail api.gouv.fr, leur documentation systématique, le respect de la norme "open API" et la création d’une version "bac à sable" pour qu'une API puisse être testée avant tout déploiement. Les API en accès restreint doivent aussi être compatibles avec FranceConnect, pour gérer le consentement des usagers et AgentConnect pour l’authentification des personnes habilitées à les utiliser.

Qualité de service

La recommandation insiste sur "la transparence", sur la "disponibilité" du service et la "nécessité de prévenir les réutilisateurs en cas d’arrêt planifié". Lors de changements substantiels dans leur fonctionnement, il est recommandé de créer une période de transition pour faciliter la migration d’un système à l’autre. Car quand l’API ne marche pas, c’est la totalité du service qui est à l’arrêt. Un scenario que connait par exemple en ce moment le téléservice carte grise de l’ANTS, inaccessible aux entreprises depuis plusieurs semaines du fait de "la maintenance" de l’API Sirene éditée par l’Insee...Pour les mêmes impératifs de qualité de service, les administrations sont invitées à bien dimensionner les infrastructures pour être en capacité de faire face aux pics de demande.

Recommandations de la Cnil dans les tuyaux

Parallèlement, la Cnil s’est aussi saisie du sujet des API qui peuvent gérer des données personnelles, voire "sensibles". La Commission vient de publier un projet de recommandation technique soumis à commentaires. Ce document concerne "tous les acteurs de la chaîne du partage" et "tous les organismes" utilisant des API pour transmettre des données personnelles. Dans son projet de recommandation, la Cnil rappelle les avantages des API qui évitent le stockage de données pour le réutilisateur, permettent de disposer de données toujours à jour et aident à ne mettre à disposition que les données nécessaires au traitement. La Cnil pointe cependant aussi plusieurs risques : détournement de finalité, impact social en cas de transmission de données erronées, augmentation du nombre de personnes impactées en cas de cyberattaque… Elle insiste plus particulièrement sur les principes de minimisation des données transmises et sur les règles de sécurité à mettre en œuvre coté producteur et réutilisateur des données. La consultation est ouverte jusqu’au 1^er novembre 2022.