Le token est votre code secret vous permettant d’utiliser l’API Particulier. Pour le nommer, API Particulier utilise les termes de “token”, “jeton” ou “clé d’accès”.
Si votre demande d’habilitation à l’API Particulier est validée, ce jeton vous est délivré dans votre espace personnel.
Cette clé est unique et privée. API Particulier s’appuie sur un standard ouvert et normalisé de l’industrie : le Json Web Token (aka JWT) (RFC 7519). Ce jeton est autonome et permet de transmettre de façon sécurisée les informations d’authentification nécessaires pour utiliser l’API. Ces jetons sont vérifiés et fiables car signés numériquement.
Votre token vous est propre, il ne faut pas le diffuser.
Comme une clé d’appartement que vous n’enverriez pas par la poste ; vous ne transmettez pas votre jeton par e-mail car il y a un risque que celui-ci soit intercepté par une personne mal intentionnée.
⚠️ Vous ne devez jamais copier-coller un token dans un moteur de recherche ou dans un e-mail. L’usage de votre token se fait uniquement dans votre logiciel métier sécurisé utilisé pour réaliser vos appels.
Pour transmettre votre jeton en toute sécurité, consultez cette autre question de la FAQ.
À gros trait, une API est un tuyau informatique dans lequel circule des informations.
Plus précisemment, une API permet d’agir sur des ressources contenues dans un autre système d’information, sans soi-même avoir la main sur ce système d’information.
Dans le cas d’API Particulier, les ressources sont des informations sur les particuliers, et l’action est une consultation.
ℹ️ Cette page d’API.gouv.fr explique ce qu’est une API et met à votre disposition un démonstrateur.
L’API Particulier permet de mettre en oeuvre le principe « Dites-le-nous une fois », en application de l’article L114-8 du Code des relations entre le public et l’administration.
L’API Particulier est un bouquet d’API donnant accès à des données administratives des particuliers : quotient familial CAF & MSA, composition familiale, statut demandeur d’emploi, statut scolarité des élèves du primaire, du secondaire et étudiant, statut boursier … il est utilisable dans le cadre des démarches en ligne et téléservices proposés aux usagers, ainsi que dans les logiciels métiers utilisés par les agents habilités en guichet.
Les usagers n’ont plus à fournir de pièces justificatives à l’appui de leurs démarches administratives, telles que la tarification sociale et solidaire des transports, la cantine à 1 euro, les aides facultatives à la scolarité…
API Particulier récupère pour vous les informations administratives des particuliers auprès des différentes administrations et les restitue sous format standardisé.
API Particulier facilite plusieurs types de démarches :
En intégrant la brique API Particulier dans votre système d’information ou votre site internet :
API Particulier facilite plusieurs types de démarches :
L’API Particulier est réservée :
Même si elle a pour objectif de simplifier leurs démarches, l’API Particulier ne s’adresse ❌ aux particuliers.
Il faut également être techniquement en mesure d’intégrer l’API Particulier, le détail des prérequis techniques est listé dans la rubrique de l’espace développeur
Pour vérifier votre éligibilité et faire une demande d’habilitation le cas échéant, suivez le lien suivant :
L’accès à l’API Particulier est modéré et régulé par la DINUM, qui attribue des autorisations de récupération d’informations selon la nature des démarches à traiter (cas d’usages).
L’utilisation d’API Particulier est gratuite. Les coûts d’investissements et de fonctionnement sont pris en charge par la DINUM.
En revanche, les coûts de raccordement à API Particulier vous incombent.
API Particulier propose autant que possible une assistance gratuite, technique et fonctionnelle permettant aux utilisateurs de définir et de mettre en œuvre au mieux leur projet.
Premièrement, l’utilisation de l’API Particulier vous engage à ne pas diffuser les données reçues à des tiers non-autorisés. Le service doit empêcher l’accès aux données à quiconque n’ayant pas un niveau d’authentification suffisant :
Dans le cas d’une utilisation des données sur un site de démarches en ligne, vous avez autorisation à afficher les données uniquement si vous êtes en mesure d’identifier l’usager.
Dans le cas d’une utilisation par un agent habilité en back office, vous vous devez d’assurer la protection des données et le respect des règles de confidentialité. L’accès aux données est restreint aux seuls agents dûment habilités, dont les requêtes devront être tracées pour une durée de 36 mois.
Deuxièmement, le particulier usager doit être averti des informations nécessaires à l’instruction de sa demande, et celles qui seront obtenues directement auprès d’autres administrations au travers l’API particulier.
L’API Particulier vous permet d’accéder à des informations administratives sur les particuliers au travers d’une API (Application Programming Interface). Pour bénéficier des données, il vous faudra donc intégrer techniquement l’API dans votre logiciel, qui, lui, s’occupera de restituer l’information à vos agents ou utilisateurs habilités.
L’utilisation de l’API Particulier est donc possible sous réserve d’avoir un équipement technique minimal.
Vous êtes techniquement en mesure de démarrer avec API Particulier si :
Cette équipe technique doit être en mesure de mettre en place les fondamentaux techniques listés dans cette rubrique de l’espace développeur.
Il se peut qu’un incident survienne chez API Particulier, chez un fournisseur de données ou même chez vous. Votre logiciel doit vous permettre de fonctionner de manière dégradée :
ℹ️ Le Dîtes-le-nous une fois ne doit pas bloquer les usagers en cas d’incidents techniques : vos usagers préfèreront toujours vous redonner leurs informations plutôt que de ne pas pouvoir utiliser votre service.
Vous êtes un acteur public et recherchez un éditeur de logiciel pour intégrer et utiliser l’API Particulier ?
Voici la liste des éditeurs de logiciel qui intègrent déjà l’API Particulier :
Les éditeurs peuvent proposer des solutions pour plusieurs cas d’usages :
ℹ️ Si vous êtes éditeur de logiciel, c’est à votre client public, collectivité ou administration, de faire sa demande d’habilitation auprès de l’API Particulier.
Vous pouvez nous demander de vous référencer sur un cas d’usage afin de proposer un formulaire pré-rempli qui simplifiera l’expérience de vos clients. Voici la procédure à suivre :
En tant qu’administration, vous souhaitez obtenir un accès à l’API Particulier qui sera intégrée par votre éditeur :
En tant qu’administration, vous souhaitez obtenir un accès à l’API Particulier que vous allez intégrer par vous même dans votre système d’information :
Les informations que vous aurez à compléter lors de votre demande d’habilitation varient selon le formulaire que vous allez choisir. En effet, les champs de certains formulaires sont déjà pré-remplis. C’est par exemple le cas des formulaires associés à un éditeur de logiciel, ou encore des formulaires conçus pour un cas d’usage prédéfini.
Dans tous les cas, à la fin de la démarche, avant l’envoi de votre demande à nos services, une page récapitulative vous permettra de vérifier les informations qui seront transmises.
Que vous ayez à les saisir ou qu’elles soient déjà complétées, voici l’ensemble des informations qui constituent une demande d’habilitation :
⚠️ Attention, quel que soit votre statut, le CRPA (Code des relations entre le public et l’administration), la loi ESSOC (pour un État au service d’une société de confiance) ou la loi Lemaire (pour une République numérique) ne sont pas suffisants car ils indiquent un principe d’échange qui doit être complété par un cadre juridique précis pour l’utilisation envisagée.
Le délégué à la protection des données. Le DPD est la personne qui s’assure que l’organisation protège convenablement les données à caractère personnel, conformément à la législation en vigueur. C’est généralement une personne appartenant à l’organisation effectuant la demande, qui doit pouvoir exercer sa mission en toute indépendance et à l’abri des conflits d’intérêt. Le DPD ne peut pas être le maire d’une commune. Cette fiche de la CNIL détaille précisément le rôle du DPD.
Vous n’avez pas de DPD, que faire ?
Si vous n’avez pas de DPD, c’est que vous n’êtes probablement pas habilité à pouvoir utiliser API Particulier. En effet, la nomination d’un DPD est obligatoire pour toute autorité publique ou tout organisme public, ainsi que pour toute entreprise effectuant un suivi régulier et systématique de données personnelles à grande échelle ou de données personnelles sensibles. Ce qui est au coeur de l’usage d’API Particulier.
le contact technique. C’est une personne ou l’équipe en charge du développement de l’interface logicielle qui va permettre l’interconnection effective avec API Particulier. API Particulier contactera cette personne pour avertir d’évolutions techniques, d’incidents et de l’expiration des jetons.
ℹ️ Le contact métier et le contact technique peuvent être confondus, notamment si vous passez par un éditeur.
Lorsque vous demandez un accès à l’API Particulier pour simplifier une démarche, il est parfois nécessaire de fournir, dans le cadre juridique, la délibération qui fixe les conditions tarifaires ou d’attribution. C’est ce document qui permettra d’apprécier finement le droit d’accès à chaque donnée.
Il n’est pas nécessaire de prendre une délibération spécifique pour accéder à l’API. Une délibération déjà existante peut suffire si elle remplit les caractéristiques suivantes :
Caractéristiques de la délibération attendue :
Pour que la délibération soient acceptée comme cadre juridique dans votre demande d’habilitation API Particulier, il faut qu’elle décrive précisémment les données utiles pour la tarification ou l’attribution d’aides.
Avant toute chose, vérifiez :
L’instruction d’un dossier d’habilitation à l’API Particulier prend en moyenne 11 jours selon l’affluence des demandes, et selon le type de demandes.
Une fois la demande d’habilitation validée, un e-mail est envoyé au demandeur et au contact technique avec un lien vers leur compte utilisateur.
Une fenêtre de connexion ProConnect s’ouvre. Le demandeur doit renseigner les identifiants utilisés lors du dépôt de la demande d’habilitation ; le contact technique, ceux indiqués dans la demande.
Le jeton est disponible depuis le compte utilisateur et peut-être copié.
⚠️ Le token vous est propre, il ne faut pas le diffuser. Vous ne devez jamais copier-coller un token dans un moteur de recherche ou dans un e-mail. L’usage de votre token se fait uniquement dans votre logiciel métier sécurisé utilisé pour réaliser vos appels.
Vous devez transmettre ce jeton à votre éditeur ? Ou à votre équipe technique ? Utilisez la fonctionnalité prévue à cet effet.
Le jeton est valable 18 mois, il devra ensuite être prolongé par le demandeur tous les 18 mois, avant sa date d’expiration. Autrement, vous ne pourrez plus accéder aux API tant que la prolongation n’aura pas été effectuée. Pour en savoir plus sur la procédure de prolongation, veuillez lire cette rubrique.
Dans le cadre de l’intégration de l’API, il peut arriver qu’il y ait besoin ponctuellement de transmettre le jeton à une personne qui n’a pas accès au compte utilisateur.
⚠️ Comme expliqué ici, votre token vous est propre, il ne faut pas surtout pas le copier/coller dans un e-mail.
Pour transmettre votre jeton, vous devez utiliser la fonctionnalité prévue dans votre compte utilisateur sur API Particulier :
⚠️ Vous êtes responsable de votre clé d’accès au titre des engagements pris au moment de l’habilitation de votre organisation en signant nos CGU. L’utilisation de la fonctionnalité “Transmettre le jeton” a pour objectif de sécuriser l’envoi de votre jeton aux services techniques qui intègreront l’API Particulier. Vous ne devez pas divulguer cet accès à des tiers non-habilités.
Si vous avez divulgué votre jeton par erreur, la demande d’un nouveau jeton est très facile et rapide. Écrivez rapidement à api-particulier@api.gouv.fr.
Tous les jetons API Particulier ont une durée de vie de 18 mois ⌛️. Cette durée de vie peut être prolongée de 18 mois en effectuant la démarche de demande de prolongation suivante :
Trois mois avant l’arrivée à terme d’un jeton, le demandeur reçoit des notifications automatiques l’informant de l’expiration à venir de votre jeton ainsi qu’une invitation à le prolonger.
Les notifications sont envoyées régulièrement jusqu’à l’expiration (90 jours avant la date d’expiration, puis 60 jours avant, puis 30, 15, …). Le contact technique est en copie de ces e-mails, mais il ne peut pas compléter le formulaire. Seul le demandeur peut le faire.
Si le jeton expire dans moins de 90 jours et qu’aucune notification n’a été reçue, veuillez vérifier si celle-ci n’est pas arrivée dans vos “spams” 🗑.
Le demandeur peut également accéder au formulaire de prolongation depuis son compte utilisateur. Trois mois avant l’expiration, un bouton “Prolonger le jeton” apparaîtra en page d’accueil, au niveau de la liste de vos habilitations, dans la colonne des actions attendues. Ce bouton sera également visible à côté du jeton d’accès. Il mène directement vers le formulaire pré-rempli.
Le formulaire de prolongation permet au demandeur d’indiquer si des changements sont intervenus depuis la dernière demande d’habilitation à l’API Particulier :
Si des changements sont intervenus, ce formulaire permet de déposer rapidement une demande de modification de l’habilitation. Cette demande sera traitée en priorité par les services instructeurs. Après validation, le jeton sera prolongé de 18 mois.
Si aucun changement n’est intervenu, le jeton sera prolongé de 18 mois à la suite de l’envoi du formulaire de prolongation.
L’accès de votre organisation à l’API Particulier a été concretisé suite à une demande d’habilitation instruite et validée par l’API Particulier.
Dans cette demande, le demandeur a spécifié :
Ces éléments, importants pour justifier de l’accès aux données et pour assurer une bonne gestion de l’API, sont au coeur du contrat avec l’API Particulier. L’utilisation d’un jeton doit donc être en cohérence avec l’habilitation obtenue, comme le stipulent les CGU signées au moment de la demande. Si ces éléments évoluent, ce qui arrive fréquemment, vous êtes tenus de les mettre à jour. La prolongation du jeton est un bonne occasion. Vous pouvez toutefois faire une demande de modification à tout moment depuis votre espace Datapass.
Dans le cas d’une évolution majeure, il est possible que le service instructeur vous demande d’ouvrir une nouvelle demande.
La demande d’habilitation obtenue initialement ne sera pas supprimée, et continuera d’être valide à partir du moment où son contenu est respecté.
Seul le demandeur est habilité à compléter le formulaire de prolongation du jeton, modifier une habilitation et/ou demander l’ajout de données supplémentaires.
Le contact technique et l’éditeur ne sont pas habilités à effectuer ces démarches.
Pour élargir le périmètre des données auxquelles vous avez accès, vous devez effectuer une demande de mise à jour de votre habilitation :
Si les nouvelles données demandées concernent un nouveau cadre d’utilisation, l’instructeur vous demandera certainement de faire une nouvelle demande plutôt que de modifier l’habilitation déjà validée.
Pour des raisons de sécurité, tous les jetons émis sont valables pour une durée de 18 mois. Au delà de ce délai, ils ne fonctionnent plus, et votre accès à l’API Particulier est donc totalement arrêté.
En réalité, cette situation n’est pas censée arriver car API Particulier a mis en place une procédure simple de prolongation de token.
1. Vérifiez l’état des API :
La première chose à faire est de consulter :
la page de statuts d’API Particulier et vérifier si l’indisponibilité n’y est pas annoncée. Toutes les indisponibilités y sont inscrites dans le délai le plus court possible et parfois même anticipées lorsque le fournisseur de donnée nous prévient à l’avance d’une opération de maintenance.
ℹ️ Pour être notifié des différentes indisponibilités n’hésitez pas à vous abonner depuis notre page de statuts.
2. Vérifiez votre volumétrie d’appel :
Si l’incident n’a pas été annoncé par API Particulier par le biais de l’infolettre, et que le service API Particulier semble soudainement rejeter toutes vos requêtes, il est probable que vous ayez effectué un trop grand nombre d’appels et que vous ayez été bannis momentanément.
En cas de dépassement de la volumétrie autorisée, et pour des raisons de sécurité, le serveur ne répond plus pour ne pas être surchargé.
Si c’est le cas, votre application est bannie pour une durée fixe et non révocable de 12 heures. Si vous avez plusieurs jetons, tous seront donc bloqués pendant ce laps de temps. Pendant cette durée, le serveur ne répondra plus. Vous pouvez par contre vous rendre sur votre compte utilisateur API Particulier et vérifier vos statistiques d’appels pour identifier si vous avez dépassé le volume maximal autorisé.
Au bout de ces 12 heures, vos accès sont automatiquement rétablis ; il est donc inutile d’écrire au support.
Nous vous invitons à prendre les mesures nécessaires car le dépassement intervient généralement chez nos utilisateurs lorsque leur programme n’a pas été correctement configuré.
3. Contactez le support
Si l’incident n’est pas déjà annoncé par API Particulier et si vous n’avez pas dépassé la volumétrie autorisée, vous pouvez nous contacter sur api-particulier@api.gouv.fr
À noter que vous pouvez vous référer à la documentation sur la surveillance de l’état des fournisseurs pour anticiper les potentiels problèmes.
En cas de non prise en compte des codes erreurs 429 ou en cas de dépassement de la limite de volumétrie globale, votre IP est temporairement bannie de nos serveurs pour une durée fixe et non révocable de 12h. Si vous avez plusieurs jetons, tous seront donc bloqués pendant ce laps de temps.
Les appels depuis une IP bannie ne renvoient pas de codes HTTP, le serveur ne répond tout simplement pas. Vous pouvez en revanche vérifier si vous avez dépassé ce seuil depuis votre compte utilisateur.
Au bout de ces 12 heures, vos accès sont automatiquement rétablis ; il est donc inutile d’écrire au support.
Nous vous invitons à prendre les mesures nécessaires car le dépassement intervient généralement chez nos utilisateurs lorsque leur programme n’a pas été correctement configuré.
Ce n’est pas possible ! La volumétrie indiquée est le maximum possible pour que nous puissions garantir la qualité du service à tous nos utilisateurs.
Abonnez-vous aux notifications par e-mail depuis notre page de statuts.
Plutôt que de consulter mnauellement la page de statuts, vous pouvez aussi automatiser informatiquement la surveillance, pour en savoir plus, consultez cette rubrique de l’espace développeur.
Enfin, si vous rencontrez un problème et avez besoin d’échanger avec nous en transmettant des données sensibles, utilisez le formulaire de transfert d’informations sécurisées (Démarches simplifiées).
Si vous n’avez pas de réponse sous 72h, n’hésitez pas à nous envoyer votre numéro de demande Démarches simplifiées à l’adresse api-particulier@api.gouv.fr.
Comme indiqué dans les conditions générales d’utilisation, la DINUM qui opère l’API Particulier ”s’engage à ce que le service soit accessible à 99,5%”.
L’engagement de disponibilité “porte sur le service API Particulier et non pas sur les dispositifs d’échange sous-jacents” car ceux-ci “dépendent d’entités sur lesquels la DINUM n’a pas d’autorité fonctionnelle ou hiérarchique”. Cela signifie que l’engagement des 99,5% n’est pas applicable aux disponibilités des API en elles-même car celles-ci dépendent des fournisseurs de la donnée.
Si l’API Particulier ne peut pas s’engager formellement sur la disponibilité des API, elle fait toutefois un travail de fond pour accompagner ses partenaires et fournisseurs de données vers une meilleure mise à disposition des données.
En cas d’anomalies ou de questions sur les données renvoyées par l’API, nous avons besoin de connaître les paramètres d’appel que vous avez utilisés, et ces paramètres sont des données personnelles sensibles.
Il est absolument impératif de nous les transmettre avec le formulaire de transfert d’informations sécurisées (Démarches simplifiées).
⚠️ Vous ne devez jamais transmettre ces données personnelles par e-mail.
Si vous n’avez pas de réponse sous 72h, n’hésitez pas à nous envoyer votre numéro de demande Démarches simplifiées à l’adresse api-particulier@api.gouv.fr.
Le compte utilisateur est un espace accessible aux trois contacts principaux mentionnés dans la demande d’habilitation validée : le contact qui a établi la demande, le contact métier et le contact technique.
La connexion se fait par le mode d’authentification “ProConnect” en cliquant sur le bouton bleu disponible à cette page. Une adresse e-mail vous est alors demandée, il vous faut utiliser l’e-mail renseigné dans la demande d’habilitation.
Configurez votre mot de passe ou utilisez le mode de connexion par lien magique.
Dans certains cas spécifiques comme le départ du demandeur, un changement de poste, etc., un transfert des habilitations par le demandeur à un tiers peut être nécessaire. Cette opération nécessite l’accord explicite du demandeur et est instruite manuellement par nos services. En savoir plus.
Le compte utilisateur vous permet de :
Votre équipe évolue ? Vous quittez votre service ? Vous pouvez léguer vos habilitations à une autre personne de la même organisation.
Si vous n’êtes pas le demandeur de l’habilitation, vous devez demander à celui-ci d’effectuer la modification. Pour retrouver le demandeur en charge de vos habilitations, rendez-vous sur votre espace usager, le demandeur est indiqué dans la liste des contacts.
Le demandeur (contact principal à l’origine de la demande d’habilitation) est la seule personne qui peut demander une modification de l’habilitation. Le changement d’un contact métier ou technique est très rapide si le nouveau contact est dans la même organisation.
En tant que demandeur d’une habilitation, vous avez la possibilité de demander le transfert de celle-ci à un tiers qui obtiendra alors à son tour le rôle de demandeur.
Pour cela, utilisez la fonctionnalité prévue à cet effet :
⚠️ Vous êtes responsable de vos habilitations et de vos jetons au titre des engagements pris au moment de votre demande d’accès en signant nos CGU. L’utilisation de la fonctionnalité “Transférer habilitations” a pour objectif de permettre la continuité de l’habilitation de votre organisation. Vous ne devez pas transmettre votre habilitation à une personne qui n’est pas en mesure de prendre le relais des responsabilités qui vous engagent.
Si vous avez débuté le transfert de votre habilitation par erreur, écrivez rapidement à api-particulier@api.gouv.fr.
Tous les 1ers et 3èmes mardis du mois entre 10h et 10h30, une personne “tech” et une personne “métier” de l’API Particulier et de l’API Entreprise sont disponibles pour répondre à vos questions par visio.
L’objectif est de rencontrer l’équipe et d’avoir un point de contact régulier où discuter des aspects métiers et techniques.
C’est un espace d’échange.
Pour nous rejoindre, utilisez le lien suivant : https://webconf.numerique.gouv.fr/APIEntreprise00Version3
Pour nos confrères des Outre-mer à l’Ouest de la métropole, ce créneau horaire n’étant pas adapté, n’hésitez pas à nous écrire et nous vous proposerons un autre horaire sur-mesure. Contactez-nous à cette adresse : api-particulier@api.gouv.fr.
L’ensemble des offres disponibles pour rejoindre l’équipe API Particulier se trouve sur la page Welcome to the Jungle de beta.gouv.fr.
Vous y trouverez également les offres d’emploi postées par les différentes équipes mettant à disposition des outils au service de la circulation et l’exploitation des données (Api.gouv.fr, Data.gouv.fr, Particulier.api.gouv.fr, Geo.api.gouv.fr…).
Vous ne trouvez pas de fiches de poste adéquates et souhaitez tout de même postuler ? Vous pouvez nous envoyer un mail expliquant votre motivation, attaché de votre CV. Nous reviendrons vers vous dès qu’un poste correspondant sera ouvert.
Vous pouvez contacter le support d’API Particulier.
Si vous rencontrez une difficulté concernant un appel à l’API Particulier (erreurs sur les données, refus de réponses, etc.), il est important de nous fournir, au travers de cet outil sécurisé de transfert d’informations, les informations suivantes :
⚠️ Les données des particuliers sont des informations sensibles
Il est impératif de ne pas les transmettre par e-mail mais bien d’utiliser l’outil sécurisé de transfert d’informations
La fourniture de ces informations nous permettra de vous répondre dans de meilleurs délais.
⚠️ Ne partagez jamais votre jeton d’authentification dans votre demande de support !
L’échange d’emails n’est pas un support de communication sécurisé et certaines APIs donnent accès à des données sensibles. Le cas échéant, nous serons obligés de supprimer votre jeton, et vous devrez faire une nouvelle demande.
Écrivez nous à api-particulier@api.gouv.fr.
Placeholder