Documentation générale
Recherche par mots clés :
Étape 1 : L’API Entreprise correspond-elle à mon besoin ?
Les cas d’usage d’API Entreprise
API Entreprise répond à deux grands types d’usages :
Le pré-remplissage d’un formulaire à destination du public
Vous pouvez mettre en place une aide à la saisie pour vos usagers, avec les endpoints entreprises
, etablissements
et associations
. L’usager renseigne son numéro de SIRET, ou toute autre valeur discriminante ; le formulaire est alors pré-rempli des champs disponibles par votre API.
L’exemple du formulaire DUME
L’AIFE a mis en place une démarche dématérialisée pour permettre aux entreprises d’obtenir leur document Unique de Marché Européen. Elle utilise l’API Entreprise pour pré-remplir les formulaires de ses utilisateurs.
Quel avantage à passer par API Entreprise si les données sont libres ? API Entreprise vous simplifie l’implémentation de cette aide à la saisie, en vous donnant accès à une information structurée, facilement intégrable dans votre produit.
Le pré-remplissage est possible uniquement pour des APIs distribuant des informations publiques.
Par exemple, l’endpoint entreprise
qui regroupe des données ouvertes et fermées, ne peut être utilisé pour le pré-remplissage, que si et seulement si les entreprises non-diffusibles (dont les données sont protégées) ne sont pas appelées.
La création d’un formulaire pré-rempli est faite pour assister l’usager, celui-ci doit toujours pouvoir amender, rectifier ces mêmes informations sans difficultés.
L’obtention d’une donnée en back office par un agent habilité
L’API entreprise sert aux agents habilités à récupérer automatiquement des informations, elle donne accès :
- soit à des justificatifs, certificats, bilans, … papiers numérisés ou document PDF ;
- soit à la donnée brute, décrite par un champ JSON, qui permet une automatisation plus performante encore ;
- soit les deux.
Le service : une API, plusieurs données et plusieurs fournisseurs
Les qualités du service
API Entreprise démarche les administrations et fait les différentes demandes d’accès auprès des multiples fournisseurs. Si votre demande d’habilitation est validée, vous avez une seule clé d’accès sécurisée. De plus, API Entreprise agrège et vous restitue les connaissances techniques et métiers de chaque API.
Sans API Entreprise, vous êtes obligé de demander toutes les APIs nécessaires à votre service, auprès des différentes administrations. Cette recherche n’est pas toujours fructueuse car les organisations n’ont pas toutes un site ou un contact public pour leurs APIs. Par ailleurs, vous devez ensuite comprendre plusieurs systèmes techniques, générer plusieurs mots de passe, collaborer avec plusieurs contacts techniques et métiers.
La liste exhaustive des données
Toutes les données sont détaillées dans le catalogue de données :
Nos engagements
Utiliser le service API Entreprise, c’est aussi bénéficier des engagements de la Direction du Numérique :
-
L’engagement de disponibilité est de 99,5 %. La disponibilité des données est consultable en temps réel pour chaque endpoint dans le catalogue des donnée. Une historisation est aussi publiée, ainsi que les rapports d’incidents et les perspectives de résolution. Par ailleurs, les informations sur votre consommation sont disponibles dans votre tableau de bord.
Toutefois, ce service agrégeant de nombreux fournisseurs de données et étant donc dépendant de leurs disponibilités, API Entreprise ne porte donc aucune responsabilité s’agissant de la qualité ou du contenu intrinsèque des données. Par ailleurs, le service ne modifie pas les données à l’exception d’une standardisation contextuelle limitée (minuscule vers majuscule, format de date, nombre d’espaces).
- L’utilisation d’API Entreprise est gratuite. Les coûts d’investissements et de fonctionnement sont pris en charge par la DINUM. En revanche, les coûts de raccordement à API Entreprise vous incombent.
- API Entreprise propose une assistance technique et fonctionnelle permettant aux utilisateurs de définir et de mettre en œuvre au mieux leur projet.
- API Entreprise respecte le cadre légal. Le service s’engage à respecter en totalité les conditions de protection des données et les règles de confidentialité.
Une documentation technique et métier par endpoint
Dans ce catalogue, une barre de recherche est à votre disposition pour filtrer les données : | |
Chaque endpoint est présenté de façon synthétique : | |
Des informations complémentaires, dont le détail précis des champs délivrés par l’API sont disponibles en cliquant sur le bouton “documentation” : |
Un accès sous habilitation et sous conditions 🔐
Une habilitation instruite par la DINUM
Tout accès à l’API Entreprise se fait sous réserve d’en avoir obtenu l’habilitation.
L’API entreprise est réservée aux acteurs publics investis d’une mission de service public : les administrations, leurs opérateurs et les collectivités, les acteurs de santé, etc. Leurs prestataires privés peuvent être destinataires des informations techniques permettant l’usage de l’API mais en aucun cas des données elles-même.
S’engager à ne pas diffuser les données reçues
Premièrement, avant toute transmission de données, l’usager doit être informé, et en cas d’exposition des données, son consentement doit être explicite.
Dans le cas d’un pré-remplissage à destination du public
Une partie des données des endpoints entreprise
, etablissement
et associations
, les données publiques, peuvent servir au pré-remplissage de formulaires publics. Même si ces données ne sont pas protégées, le fournisseur de service s’engage à ne pas commercialiser les données reçues au travers d’API Entreprise et à ne pas les communiquer à des tiers en dehors des cas prévus par la loi.
Dans le cas d’une utilisation par un agent habilité en back office
La plupart des données disponibles sur API Entreprise sont protégées par des secrets. Vous assurez donc la protection de ces données et le respect des règles de confidentialité.
Entre autres, le service ne doit pas permettre à quiconque n’ayant pas un niveau d’authentification suffisant, d’accéder à des données. Leur accès est restreint aux seuls agents dûment habilités, dont les requêtes sont tracées pour une durée de 36 mois.
Avoir un équipement technique minimal
Vous êtes techniquement en mesure de pouvoir démarrer avec API Entreprise si :
- vous travaillez ou vous vous apprêtez à travailler avec un éditeur de logiciel. Celui-ci doit être en mesure d’intégrer API Entreprise.
- ou bien vous avez une direction des systèmes d’information (DSI) qui peut intégrer des APIs.
Pour comprendre en détail les éléments techniques nécessaires consulter la rubrique Les fondamentaux à mettre en place avec l’équipe technique.
Étape 2 : Les prérequis techniques avant d’aller plus loin
Qu’est-ce qu’une API ? 🤖
Une API permet d’agir sur des ressources contenues dans un autre système d’information, sans soi-même avoir la main sur ce système d’information.
Dans le cas d’API Entreprise, les ressources sont des informations sur les entreprises et les associations, et l’action est une consultation.
Comment se déroule un appel à l’API ?
Voici, décrit en quelques étapes, la façon dont vous ou votre équipe technique, allez faire votre requête à l’API Entreprise pour accéder aux données :
Étape 1 : Je suis préalablement habilité, et j’ai donc accès à différentes données, regroupées par endpoint.
Étape 2 : Je construis mon URL d’appel avec l’endpoint qui m’intéresse.
Les différents éléments de l’URL d’appel.
Éléments composant la requête | Exemples |
---|---|
Domaine (ou préfixe) qui conduit à l’API de façon sécurisée |
https://entreprise.api.gouv.fr |
Numéro de la version (par défaut désormais en V2) |
/v2 |
Nom de la donnée recherchée (ou endpoint) |
/attestation_fiscale_dgfip |
Identité de l’établissement concerné (souvent SIREN ou SIRET) |
/SIRENouSIRETdeL'Etablissement |
Votre jeton d’accès | ?token=JetonD'Habilitation |
Des paramètres de traçabilité |
&context=CadreDeLaRequête &recipientBénéficiareDeL'Appel= &object=RaisonDeL'AppelOuIdentifiant ?user_id=IdentifiantDeL'UtilisateurPhysique et autres selon les endpoints … |
Tous ces éléments mis bout à bout constituent une requête HTTP qui appelle l’API :
https://entreprise.api.gouv.fr/v2/attestation_fiscales_dgfip/SirenDeL’Entreprise?token=JetonD’Habilitation&user_id=IdentifiantDeL’UtilisateurPhysique&context=CadreDeLaRequête&recipient=BénéficaireDeL’Appel&object=RaisonDeL’AppelOuIdentifiant
Étape 3 : Je passe mon appel :
-
À des fins de tests, au travers de mon navigateur :
Pour passer votre appel, vous pourriez écrire l’URL dans votre navigateur. La page chargée vous renverrait les données demandées. C’est ce que nous vous proposons de faire ici par le biais d’un test uniquement. ⚠️ En effet, il y a des précautions à prendre : Par défaut, l’historique de votre navigateur enregistre des informations confidentielles dont votre jeton d’accès. Or comme vous avez pu le lire dans la rubrique précédente Un accès sous habilitation et sous conditions, la grande majorité des données accessibles par API Entreprise sont protégées par des secrets, vous êtes donc tenus de vous assurer qu’elles ne soient pas diffusées.
-
En production, par le biais d’un logiciel métier :
Pour veiller à la protection des données, l’ensemble des appels que vous allez réaliser en production seront passés par l’intermédiaire d’un logiciel métier.
Étape 4 : Je reçois une réponse comportant les données. La réponse est au format JSON, nous détaillons sa structure dans la prochaine partie.
Comment s’interprète la réponse de l’API ?
Structure d’une réponse JSON
Pour chaque appel effectué vous allez recevoir une réponse au format JSON. Ce langage informatique présente l’avantage d’être lisible par un non expert ; tout en étant compréhensible par une machine.
Une réponse JSON est composée de paires “champ”
/ “valeur”
:
- Le
“champ”
, ou“nom”,
ou“clé”
, décrit le type d’information, c’est un invariable. - La
“valeur”
est une variable, c’est justement la donnée que vous recherchez.
Trois types de réponses
Cas n°1 : Le JSON vous renvoie un lien URL, permettant d’accéder à un document PDF :
{
"url":"http://la-fameuse-url-permettant-d-acceder-au-document.pdf"
}
Cas n°2 : Le JSON vous renvoie un lien URL, permettant d’accéder à une archive de plusieurs documents, au format ZIP:
{
"http://la-fameuse-url-permettant-d-acceder-a-l-archive-de-documents.zip"
}
Cas n°3 : Le JSON vous renvoie les données structurées :
Dans ce cas précis, les données étant toutes renvoyées au format JSON, les couples “champ” / “valeur” peuvent être regroupé dans différentes catégories.
{
"eligible": true,
"message": "00 Compte éligible pour attestation de cotisation"`
}
Pour une information détaillée par endpoint, reportez-vous au catalogue de données.
Qu'est-ce qu'un token ? 🔑
Le token, une clé unique et privée
Le token est votre code secret vous permettant d’accéder à API Entreprise.
Si votre demande d’habilitation est validée, il vous est délivré dans votre espace personnel. Pour comprendre comment trouver le jeton d’accès, veuillez consulter la rubrique Habilitation validée, récupérer son token.
Cette clé est unique et privée ; nous nous appuyons sur un standard ouvert et normalisé de l’industrie : le Json Web Token (aka JWT) (RFC 7519). Ce jeton est autonome et permet de transmettre de façon sécurisée les informations d’authentifications nécessaires pour utiliser l’API. Ces jetons sont vérifiés et fiables car signés numériquement avec une date d’expiration.
Ne jamais divulguer son token
Votre token vous est propre, il ne faut pas le diffuser : c’est comme votre clé d’appartement, vous ne l’envoyez pas par la poste car il y a un risque que celle-ci soit interceptée par une personne mal intentionnée.
C’est pourquoi, vous ne devez jamais copier-coller un token dans un moteur de recherche ou dans un e-mail.L’usage de votre token se fait uniquement dans votre logiciel métier sécurisé utilisé pour réaliser vos appels.
Un token a une fin de vie
La durée de vie d’un token est limitée, sa date d’expiration est indiqué dans votre espace personnel.
Le token peut également être supprimé s’il a été diffusé par mégarde. Le renouvellement d’un token est très facile et rapide. C’est pourquoi, si vous avez divulgué votre token par erreur, n’hésitez pas à écrire rapidement à support@entreprise.api.gouv.fr. Pour en savoir plus sur le renouvellement d’un token, consultez la rubrique Renouveler un token en fin de vie.
Les fondamentaux à mettre en place avec l'équipe technique 🧰
Vous travaillez avec la DSI de votre administration ou avec un éditeur de logiciel, voici la liste des fondamentaux que votre équipe technique doit être en mesure de mettre en place pour un bon fonctionnement de l’API Entreprise :
✅ Pouvoir prendre en charge la mise à jour des protocoles de sécurité HTTPS ;
✅ Anticiper la mise à jour du logiciel métier ;
✅ Avoir une version de langage suffisamment récente. API Entreprise ne fonctionne qu’avec Java 1.8 minimum (pour la gestion des certificats de +1024 bit, du TLS 1.2 minimum et des suites cryptographiques - ciphers) ;
✅ Prévoir de whitelister l’adresse IP du service API Entreprise si votre réseau est derrière un pare-feu. En effet, l’API Entreprise est accessible depuis internet.
✅ Anticiper les coûts de maintenance qui s’ajouteront aux coûts de mise en place.
✅ S’assurer que nos Autorités de Certification (AC) pour les certificats SSL sont autorisées par vos systèmes. Consulter la fin de la rubrique configurer le logiciel métier.
Prévoir les incidents et la résilience de mon service 🧑🚒
Il se peut qu’un incident survienne chez un fournisseur de données. Votre logiciel doit vous permettre de fonctionner de manière dégradée :
- si vous effectuez une fonction de pré-remplissage et que le service est à l’arrêt, prévoyez un fonctionnement sans pré-remplissage.
- en cas d’utilisation de justificatifs, prévoyez de permettre à vos usagers de pouvoir transmettre un document par eux-même.
Le Dîtes-le-nous-une-fois ne doit pas bloquer les usagers en cas d’incidents techniques : vos usagers préfèreront toujours vous redonner leurs informations plutôt que de ne pas pouvoir utiliser votre service.
Étape 3 : Démarrer avec API Entreprise
Effectuer sa demande d’habilitation 📝
Après avoir déterminé que l’API Entreprise répond à votre besoin et que vous disposez des prérequis techniques nécessaires, vous pouvez effectuer une demande d’habilitation.
⚠️ Une demande d’accès doit couvrir un seul contexte métier. Si vous avez plusieurs contextes métiers pour lesquels vous souhaitez demander un accès, il vous faudra formuler une demande par contexte :
Exemple de la Région Occitanie :
Dans le cadre de son hub entreprises, trois demandes différentes ont été faites : une demande pour faciliter le renseignement des données par l’usager en pré-remplissant des formulaires à partir d’un numéro de SIRET ; une demande pour la pré-qualification des dossiers d’aides publiques avec l’accès à quelques données sensibles ; une demande pour l’instruction de dossiers avec l’accès à un nombre important de données sensibles pour aider les agents instructeurs.
La région s’est vue remettre un espace client avec 3 tokens d’accès aux permissions différentes.
Demande d’accès pour un cas d’usage standard (formulaires pré-remplis) :
En passant, par les formulaires pré-remplis proposés pour chaque cas d’usage standard, l’instruction de votre demande sera accélérée.
🔑 Demande par cas d’usage
Demande d’accès préremplie pour les éditeurs :
🔑 Demande éditeur
Demande d’accès avec formulaire libre :
Utilisez la demande libre, uniquement si votre situation ne correspond pas aux cas d’usage déjà proposés. 🔑 Demande libre
Le fonctionnement d’une demande
La demande d’habilitation se déroule en deux étapes :
Étape 1 : Le remplissage du formulaire sur api.gouv.fr
Toute demande d’accès à l’API Entreprise nécessite la création d’un compte sur la plateforme api.gouv.fr.
Avec un même compte vous pouvez réaliser plusieurs demandes, et également accéder à d’autres APIs, dont l’API Particulier.
Étape 2 : L’instruction de votre dossier par la DINUM
Une fois le formulaire complêté et envoyé par vos soins, nous instruisons votre dossier puis prenons une décision d’acceptation ou de refus de la demande d’accès. Cette instruction prend en moyenne 11 jours selon l’affluence des demandes. La durée de traitement est aussi dépendante de la précision et de l’exhaustivité des informations que vous nous transmettez, qui influeront sur le nombre d’aller-retour que nous aurons à faire pour le finaliser.
- ❌ Si votre dossier est refusé, des précisions supplémentaires vous seront demandée avant tout refus définitif ;
- ✅ Si votre dossier est validé, un mail de confirmation vous est envoyé. Connectez-vous à votre tableau de bord avec vos identifiants api.gouv.fr.
Les informations demandées
La liste des données souhaitées
Le formulaire vous permet de cocher les données que vous souhaitez demander. Pour cela vous pouvez vous aider :
-
du catalogue de données. Il présente l’ensemble des endpoints disponibles accompagnés d’une documentation fonctionnelle et technique.
-
des cas d’usage proposés par API Entreprise. Nous y décrivons les données utiles. Si votre besoin correspond à l’un de ses cas d’usage, vous pourrez vous appuyez sur le formulaire pré-rempli adéquat.
Le cadre juridique
L’accès à un endpoint de l’API Entreprise se fait sous réserve que son utilisation soit justifiée. L’accès à la donnée requiert la fourniture d’un cadre juridique précis, c’est pourquoi, il vous sera systématiquement demandé :
-
une description précise de votre service et de l’utilité des données demandées dans ce contexte
-
Si vous êtes une administration centrale, une agence d’État, un opérateur, ou un service déconcentré, il vous faudra transmettre le décrêt ou l’arrêté justifiant votre demande.
Attention, quel que soit votre statut, le CRPA (Code des relations entre le public et l’administration), la loi ESSOC (pour un État au service d’une société de confiance) ou la loi Lemaire (pour une République numérique) ne sont pas suffisants car ils indiquent un principe d’échange qui doit être complété par un cadre juridique précis pour l’utilisation envisagée.
Les coordonnées des différents contacts
L’ensemble des coordonnées renseignées seront strictement utilisées pour communiquer avec vous.
- Le responsable du traitement des données. C’est la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Cette personne renseignée doit obligatoirement appartenir à l’organisation déclarée dans la demande.
-
Le délégué·e à la protection des données. Le DPD est la personne qui s’assure que l’organisation protège convenablement les données à caractère personnel, conformément à la législation en vigueur. C’est généralement une personne appartenant à l’organisation effectuant la demande.
Je n’ai pas de DPD, que faire ?
Si vous n’avez pas de DPD, c’est que vous n’êtes probablement pas habilité à pouvoir utiliser API Entreprise. En effet, la nomination d’un DPD est obligatoire pour toute autorité publique ou tout organisme public, ainsi que pour toute entreprise effectuant un suivi régulier et systématique de données personnelles à grande échelle ou de données personnelles sensibles. Ce qui est au coeur de l’usage d’API Entreprise.
- le contact métier. C’est une personne en responsabilité du projet, il peut s’agir du demandeur. API Entreprise contactera cette personne pour avertir de nouvelles fonctionnalités ou d’incidents majeurs sur nos APIs.
- le contact technique C’est une personne ou l’équipe en charge du développement de l’interface logicielle qui va permettre l’interconnection effective avec API Entreprise. API Entreprise contactera cette personne pour avertir d’évolutions techniques, d’incidents et de l’expiration des jetons. Le contact métier et le contact technique peuvent être confondus, notamment si vous passez par un éditeur.
L’acceptation des conditions d’utilisation API Entreprise
Avant tout envoi de votre demande, vous devez accepter nos conditions générales d’utilisation.
Nous vous invitons à les lire attentivement car une grande partie des données circulant par le biais d’API Entreprise sont sensibles. Votre futur accès à l’API s’accompagne d’engagements, notamment, entre autres, ceux de présenter les données uniquement aux agents habilités et de tracer l’accès de ces données.
Habilitation validée ✅, récupérer son token 🔐
Seule la personne ayant fait la demande d’habilitation a accès au token, au travers du tableau de bord. Elle est responsable de cette clé et de sa transmission sécurisée si cela est nécessaire dans le cadre de l’intégration de l’API Entreprise.
Récupérer le jeton d’accès
Si vous avez réalisé la demande d’habilitation, vous pouvez récupérer vos tokens ou jetons d’accès directement depuis votre tableau de bord, à l’onglet “Jetons” :
Transmettre le jeton d’accès
Si vous avez réalisé la demande d’habilitation mais que vous n’êtes pas la personne en charge d’intégrer l’API Entreprise, vous pouvez transmettre le token de façon sécurisée depuis le tableau de bord, en cliquant sur le bouton “Transmettre le jeton à mon équipe technique”.
Le destinataire recevra, par e-mail, un lien d’une durée de 4 heures, où il pourra copier/coller le token.
Votre clé d’accès est unique et privée. L’utilisation de cette fonctionnalité du tableau de bord doit avoir pour unique objectif la transmission sécurisée de votre clé à vos services techniques qui intégreront l’API Entreprise. Vous ne devez jamais transmettre votre clé d’accès par e-mail.
Le renouvellement d’un token est très facile et rapide. C’est pourquoi, si vous avez divulgué votre token par erreur, n’hésitez pas à écrire rapidement à support@entreprise.api.gouv.fr.
Faire ma première requête ☎️
Depuis son navigateur ou le swagger API Entreprise
Votre habilitation est validée, vous avez récupéré vos jetons, vous pouvez donc désormais faire un premier appel de test.
-
Si vous êtes à l’aise avec les interfaces techniques, nous avons mis en place un environnement de production documenté (Swagger), disponible sur api.gouv.fr. Il permet, à l’aide d’un token d’authentification valide 🔑, d’effectuer directement depuis le navigateur des tests de l’API. Les données confidentielles restent bien protégées. Vous y trouverez aussi la spécification technique téléchargeable sous format YAML afin de pouvoir accélérer le développement de vos outils d’interfaçage avec API Entreprise.
-
Autrement, vous pouvez effectuer votre appel de test directement dans la barre URL de votre navigateur, en collant votre requête HTTP renseignée de votre token 🔑.
Attention, vous ne devez jamais copier-coller un token dans la barre de recherche classique d’un moteur de recherche ou dans un e-mail.
Construire la requête HTTP
Que ce soit en environnement de production ou dans la barre URL de votre navigateur, vous avez besoin de construire une URL d’appel. Cette requête de l’endpoint que vous souhaitez tester est explicitée dans le catalogue des données, partie “Documentation” de l’endpoint. Nous vous y indiquons la structure de la requête et les paramètres à remplir.
Exemple de requête :
https://entreprise.api.gouv.fr/v2/attestation_fiscales_dgfip/SirenDeL’Entreprise?token=📝&user_id=📝&context=📝&recipient=📝&object=📝
En savoir plus sur chaque élément composant la requête HTTP
Éléments composant la requête | État | Exemples |
---|---|---|
Domaine (ou préfixe) qui conduit à l’API de façon sécurisée |
prédéfini par endpoint | https://entreprise.api.gouv.fr |
Numéro de la version (par défaut désormais en V2) |
prédéfini par endpoint | /v2 |
Nom de la donnée recherchée (ou endpoint) |
prédéfini par endpoint | /attestation_fiscale_dgfip |
Identité de l’établissement concerné (souvent SIREN ou SIRET) |
à choisir 📝 | /SIRENouSIRETdeL'Etablissement |
Votre jeton d’accès | à renseigner 📝 | ?token=JetonD'Habilitation |
Des paramètres de traçabilité | à renseigner 📝 |
&context=CadreDeLaRequête ℹ️ Plus d’informations disponibles dans la partie Instruire les paramètres de traçabilité |
dans le catalogue
Voir ma première trace d’appel dans le tableau de bord
Une fois que vous avez fait un premier appel, celui-ci est répertorié dans votre tableau de bord, en passant par la liste de tous vos tokens, et en cliquant sur “Voir les statistiques”.
Instruire les paramètres de traçabilité 🏷
API Entreprise vous permet d’accéder à des données protégées. C’est pourquoi, dans un objectif de traçabilité, nous vous demandons de renseigner dans chacune de vos requêtes, non seulement un jeton d’accès, mais aussi certaines informations qualifiant votre requête.
Ces paramètres sont obligatoires. Les appels ne comportant pas ces paramètres sont rejetés, et un code erreur vous est renvoyé.
Pour chaque endpoint, nous précisons dans le catalogue des données les paramètres obligatoires spécifiques, ci-dessous une explication détaillée des éléments à fournir pour chaque paramètre de traçabilité :
Paramètre | Information à renseigner |
---|---|
&context=CadreDeLaRequête |
Cadre de la requête Par exemple : aides publiques, marchés publics ou gestion d’un référentiel tiers utilisé pour tel type d’application. |
&recipient=BénéficaireDeL'Appel |
Bénéficiaire de l’appel SIRET de l’administration destinatrice des données. |
&object= RaisonDeL'AppelOuIdentifiant |
La raison de l’appel ou l’identifiant de la procédure. L’identifiant peut être interne à votre organisation ou bien un numéro de marché publique, un nom de procédure ; l’essentiel est que celui-ci vous permette de tracer et de retrouver les informations relatives à l’appel. En effet, vous devez pouvoir justifier de la raison d’un appel auprès du fournisseur de données. Description courte (< 50 caractères). |
Configurer le logiciel métier ⚙️
Respecter la volumétrie
Limites
Les limites de volumétrie sur API Entreprise se décomposent en deux règles principales :
-
Un plafond général par IP de 1000 requêtes/minute.
-
Une volumétrie par jeton par groupe d’endpoints :
-
1er groupe : Les endpoints renvoyant du JSON constituent un premier groupe. Vous pouvez effectuer jusqu’à 250 requêtes/min/jeton sur ce groupe.
-
2ème groupe : Les endpoints transmettant des documents constituent un autre groupe. La volumétrie maximale d’appel concernant ce groupe est de 50 requêtes/min/jeton.
-
Exceptions : Certains endpoints échappent à cette règle et présentent une volumétrie spécifique par endpoint :
-
L’attestation fiscale de la DGFIP : 5 requêtes/min/jeton ;
-
Les actes de l’INPI : 5 requêtes/min/jeton ;
-
Les bilans de l’INPI : 5 requêtes/min/jeton ;
-
Les effectifs de l’URSSAF : 250 requêtes/min/jeton ;
-
La conformité des travailleurs handicapés de l’Agefiph : 250 requêtes/min/jeton.
-
-
Pour vous assurer de la volumétrie d’un endpoint en particulier, vous pouvez consulter la partie “disponibilité” de sa documentation dans le catalogue de données.
Informations actionnables et alertes
Header associé à chaque réponse
Le Header de chaque réponse de l’API Entreprise est complété de trois champs concernant les limites de volumétrie, respectant les spécifications des RateLimit
définie dans la RFC suivante https://tools.ietf.org/id/draft-polli-ratelimit-headers-00.html.
Ce header vous permet donc d’avoir une visibilité constante et en temps réel de la volumétrie, et de gérer un dépassement.
Champs du header | Signification | Format |
---|---|---|
RateLimit-Limit |
La limite concernant l’endpoint appelé, soit le nombre de requête/minute. | Nombre |
RateLimit-Remaining |
Le nombre d’appels restants durant la période courante d’une minute. | Nombre |
RateLimit-Reset |
La fin de la période courante. | Timestamp |
Exemple :
Considérons un endpoint ayant une limite de 50 appels /minute. Vous faîtes un premier appel à 10h00 pile, et effectuez un second appel 20 secondes plus tard, puis un troisième 10 secondes plus tard, vous aurez les valeurs suivantes :
- RateLimit-Limit : 50 ;
- RateLimit-Remaining : 47 (50 moins les 3 appels effectués) ;
- RateLimit-Reset : [Timestamp correspondant au jour présent à 10h01]. Le premier appel initialise le compteur (à 10h00 pile), la période se termine 1m plus tard.
Vous pouvez donc jusqu’à 10h01 pile effectuer 47 appels, le compteur sera réinitialisé à 50 à ce moment-là.
Header associé à un code erreur 429
Si vous dépassez le nombre d’appels autorisés (RateLimit-Remaining = 0
), le serveur répondra avec le status 429 sur tous les appels suivants dans la même période.
Le header associé à ce code erreur 429 sera accompagné :
- des trois champs précédents ;
- d’un champ supplémentaire indiquant le temps à attendre avant de pouvoir effectuer des nouveaux appels.
Champs du header | Signification | Format |
---|---|---|
RateLimit-Limit |
La limite concernant l’endpoint appelé, soit le nombre de requête/minute. | Nombre |
RateLimit-Remaining |
Le nombre d’appels restants durant la période courante d’une minute. | Nombre |
RateLimit-Reset |
La fin de la période courante. | Timestamp |
Uniquement pour le header associé au code erreur 429 Retry-after
|
Décompte du nombre de secondes restantes avant la prochaine période | Secondes |
Vous pouvez donc utiliser les champs du header pour optimiser votre consommation de l’API Entreprise.
Bannissement
En cas de non prise en compte des codes erreurs 429ou en cas de dépassement de la limite de volumétrie globale, votre IP sera temporairement bannie de nos serveurs pour une durée fixe et non révocable de 12h. Si vous avez plusieurs jetons, tous seront donc bloqués pendant ce laps de temps.
Les appels depuis une IP bannie ne renvoient pas de codes HTTP, le serveur ne répond tout simplement pas. Vous pouvez en revanche vérifier si vous avez dépassé ce seuil depuis votre tableau de bord.
Au bout de ces 12 heures, vos accès sont automatiquement rétablis ; il est donc inutile d’écrire au support.
Nous vous invitons à prendre les mesures nécessaires car le dépassement intervient généralement chez nos utilisateurs lorsque leur programme n’a pas été correctement configuré.
Pour les appels de traitement de masse, il est souhaitable que vous fassiez vos batchs automatiques la nuit ou durant les heures creuses afin de ne pas affecter la qualité du service pour le reste des usagers.
Installer un timeout
Le timeout est le temps d’attente maximal de réponse à une requête. Pour chaque endpoint, nous vous indiquons le timeout idéal dans le catalogue de donnée.
Le timout est un outil important qui permet de ne pas immobiliser votre logiciel en le laissant bloqué sur un appel sans réponse.
De façon générale, nous vous recommandons un timeout :
- de 5 secondes pour les appels de données structurées JSON ;
- de 12 secondes pour les appels retournant un PDF ou un ZIP.
De même, pour ne pas immobiliser nos serveurs, nous attendons les réponses de nos fournisseurs un maximum de 10 secondes avant de vous les retransmettre. Si ce délai d’attente est dépassé un code erreur HTTP 504 vous sera renvoyé.
Les requêtes multi-origines non-autorisées
API Entreprise étant un service mettant à disposition des données souvent protégées par des secrets, le CORS (CORS -Cross Origin Ressource Sharing) n’est pas autorisé car il permet d’interroger directement API Entreprise depuis un site ou une application web. Cela implique que le token d’accès soit présent dans le code source du site web en question, et donc soit disponible au public.
Pour mettre à disposition les données API Entreprise depuis un navigateur, il vous faut mettre en place un système de proxy pour ne pas appeler directement nos APIs.
Certificats SSL et Autorités de certification
API Entreprise utilise DHIMYOTIS comme organisme de délivrance de ses certificats SSL principaux ainsi que Let’s Encrypt pour certains services secondaires.
Il est conseillé d’ajouter ces Autorités de Certifications (AC) à votre base de confiance si vous en avez une. Une solution idéale est d’utiliser un paquet d’autorités mises à jour automatiquement (Mozilla par exemple)
API Entreprise utilise des certificats multi-domaines ; c’est à dire avec un “nom courant” (common name - CN) et plusieurs “noms alternatifs du sujet” (subject alternatives names - SAN), soyez certains que vos outils fonctionnent correctement avec.
Étape 4 : API Entreprise au quotidien
Connaître les droits liés à un token 🛂
Pour connaître la liste des APIs auxquelles vous avez le droit avec votre jeton d’accès, vous pouvez le vérifier avec l’API /privileges
.
Si vous gérez les tokens pour vos clients, vous pouvez aussi utiliser cette API pour vérifier les droits associés à leurs tokens.
La requête HTTP :
https://entreprise.api.gouv.fr/v2/privileges?token=LeTokenATester
Le paramètre d’appel à renseigner est le token dont vous souhaitez connaître les droits.
Exemple de réponse :
{
"privileges": [
"attestations_agefiph",
[...]
"actes_bilans_inpi"
]
}
La réponse JSON renvoie la liste des endpoints autorisés. Retrouvez-les dans le catalogue des données.
ℹ️ Pour plus d’informations, vous pouvez vous référer à l’environnement de production documenté (swagger) disponible sur api.gouv.fr.
Connaître la disponibilité des API en temps réel ✅
Pour connaître la disponibilité de tous les endpoints en temps réel, vous pouvez utiliser l’API /current_status
. Cette API est ouverte et ne nécessite pas de token, attention à tout de même respecter les limites de volumétrie habituelle.
La requête HTTP :
https://entreprise.api.gouv.fr/watchdoge/dashboard/current_status
Exemple de réponse :
{
"results": [
{
"uname": "apie_2_etablissements",
"name": "Etablissements",
"provider": "insee",
"api_version": 2,
"code": 200,
"timestamp": "2020-10-14T14:36:33.640Z"
},
{
"uname": "apie_2_certificats_qualibat",
"name": "Certificats Qualibat",
"provider": "qualibat",
"api_version": 2,
"code": 503,
"timestamp": "2020-10-14T14:38:02.736Z"
},
[...]
]
}
ℹ️ Pour plus d’informations, vous pouvez vous référer à l’environnement de production documenté (swagger) disponible sur api.gouv.fr.
Connaître l'historique de disponibilité des API 📊
Pour connaître l’historique de disponibilité des données de API Entreprise ainsi que le taux d’erreurs constatées, vous pouvez utiliser l’API /provider_availabilities
. Cette API est ouverte et ne nécessite pas de token, attention à tout de même respecter les limites de volumétrie habituelle.
La requête HTTP :
https://entreprise.api.gouv.fr/watchdoge/stats/provider_availabilities?period=ParamètreDeLaPeriode&endpoint=ParamètreDuEndpoint
Pour appeler l’API concernant l’endpoint et la période voulue, référez-vous à la suite de cet article ⤵️
Exemple de réponse :
{
"endpoint": "api/v3/entreprises_restored",
"days_availability": {
"2020-04-13": {
"total": 12615,
"404": 9,
"502": 0,
"503": 0,
"504": 0
},
"2020-04-14": {
"total": 44677,
"404": 25,
"502": 0,
"503": 16,
"504": 0
}
},
"total_availability": 99.96,
"last_week_availability": 100.0
}
Nomenclature des paramètres de la requête HTTP :
Cette API possède deux paramètres, period
et endpoint
, voici leur nomenclature :
Liste indicative de period | Période correspondante |
---|---|
1y |
depuis un an |
2M |
depuis 2 mois |
3w |
depuis 3 semaines |
4d |
depuis 4 jours |
5h |
depuis 5 heures |
6m |
depuis 6 minutes |
7s |
depuis 7 secondes |
À partir de la nomenclature, Y
(année), M
(mois), W
(semaine), D
(jour), m
(minute), s
(seconde), vous pouvez obtenir l’historique de disponibilité de la période que vous souhaitez.
Liste exhaustive des endpoint | API correspondante |
---|---|
api/v3/entreprises_restored |
Entreprises |
api/v3/etablissements_restored |
Établissements |
api/v2/extraits_rcs_infogreffe |
Extrait RCS |
api/v2/associations |
Informations déclaratives d’une association |
api/v2/documents_associations |
Divers documents d’une association |
api/v2/documents_inpi |
Actes INPI |
api/v2/conventions_collectives |
Conventions collectives |
api/v2/exercices |
Chiffre d’affaires |
api/v2/documents_inpi |
Bilans annuels INPI |
api/v2/bilans_entreprises_bdf |
3 derniers bilans annuels |
api/v2/liasses_fiscales_dgfip |
Déclarations de résultat |
api/v2/attestations_fiscales_dgfip |
Attestation fiscale |
api/v2/attestations_sociales_acoss |
Attestation de vigilance |
api/v2/attestations_agefiph |
Conformité emploi des travailleurs handicapés |
api/v2/cotisations_msa |
Cotisations de sécurité sociale agricole |
api/v2/attestations_cotisation_retraite_probtp |
Attestation de cotisations retraite du bâtiment |
api/v2/eligibilites_cotisation_retraite_probtp |
Éligibilité au cotisations retraite du bâtiment |
api/v2/cartes_professionnelles_fntp |
Carte professionnelle travaux publics |
api/v2/certificats_cnetp |
Cotisations congés payés & chômage intempéries |
api/v2/certificats_rge_ademe |
Certification RGE |
api/v2/certificats_qualibat |
Certificat de qualification bâtiment |
api/v2/certificats_opqibi |
Certification de qualification d’ingénierie |
api/v2/extraits_courts_inpi |
Brevets modèles et marques déposés |
api/v2/effectifs_mensuels_etablissement_acoss_covid |
Effectifs mensuels par établissement (aides COVID-19) - documentation à venir |
api/v2/effectifs_mensuels_entreprise_acoss_covid |
Effectifs mensuels par entreprise (aides COVID-19) - documentation à venir |
api/v2/effectifs_annuels_entreprise_acoss_covid |
Effectifs annuels par entreprise (aides COVID-19) - documentation à venir |
ℹ️ Pour plus d’informations, vous pouvez vous référer à l’environnement de production documenté (swagger) disponible sur api.gouv.fr.
Interpréter les codes HTTP 🚦
Toute réponse de l’API Entreprise comprend une réponse JSON ainsi qu’un code HTTP. Celui-ci n’est pas immédiatement lisible par un humain, il est destiné aux traitements automatiques. Ces codes permettent de se renseigner sur le statut de l’appel, toutes les explications complémentaires sont indiquées dans le JSON.
Pour en savoir plus sur les codes HTTP, l’article de Wikipedia constitue une bonne base explicative : https://fr.wikipedia.org/wiki/Liste_des_codes_HTTP.
API Entreprise a harmonisé les codes erreur de l’ensemble des fournisseurs de données, en s’appuyant sur le protocole HTTP, afin de vous en simplifier la compréhension :
En cas de succès, le code HTTP commence par 2 :
Code HTTP | Signification |
---|---|
200 |
Tout va bien. |
206 |
Réponse incomplète - La requête a fonctionné mais un des fournisseurs de données a renvoyé une erreur ou une réponse incomplète. Les valeurs concernées dans le JSON contiennent le message : “Donnée indisponible”. |
En cas d’échec, si l’erreur vient de votre côté, le code HTTP commence par 4 :
Code HTTP | Signification |
---|---|
400 |
Mauvaise requête – La syntaxe de votre requête est erronée. |
401 |
Non autorisé – Votre token est invalide ou manquant. |
403 |
Interdit – Le serveur a compris votre requête mais refuse de l’exécuter car votre jeton ne vous donne pas accès à cette ressource. |
404 |
Non trouvé – La ressource (l’entreprise, le certificat, …) demandée n’a pas été trouvée. Cette erreur intervient par exemple lors de l’entrée d’un numéro de SIREN qui n’existe pas, ou bien lorsque l’entreprise qu’il designe est en dehors du périmètre de l’endpoint. |
422 |
Entité non traitable – Le format de la donnée passée en paramètre n’est pas accepté. Par exemple, si vous entrez 20 chiffres dans le paramètre SIREN, votre requête est automatiquement rejetée, car un SIREN fait obligatoirement 9 chiffres. |
451 |
Indisponible pour raisons légales - ce code est spécifiquement renvoyé lorsque vous demandez les informations d’une entreprise ou d’un établissement non diffusible au travers des endpoints entreprises et etablissements de l’INSEE, sans avoir utilisé l’option d’appel spécifique. Pour en savoir plus, consultez la documentation de cet endpoint dans le catalogue de données. |
En cas d’échec, si l’erreur provient d’API Entreprise ou bien des fournisseurs de données, le code HTTP commence par 5 :
Code HTTP | Signification |
---|---|
500 |
Erreur interne à API Entreprise – Une erreur interne du serveur d’API Entreprise est survenue. Consultez votre tableau de bord, l’historique de l’incident devrait y être affiché ; ainsi que les actions à venir. |
502 |
Erreur interne fournisseur – Une erreur interne du serveur du ou des fournisseurs est survenue. Consultez votre tableau de bord, l’historique de l’incident devrait y être affiché ; ainsi que les actions à venir. |
503 |
Service non disponible – Le service est temporairement indisponible ou en maintenance. Pour connaître l’historique de disponibilité et les incidents type de l’endpoint, vous pouvez consulter le catalogue de données. |
504 |
Intermédiaire hors délai – Le(s) producteur(s) de données ont mis trop de temps à répondre. Notre temps d’attente, nous permettant de ne pas immobiliser le serveur sur un appel sans réponse, est fixé à 10 secondes et a été dépassé. |
En cas d’erreur, le JSON vous détaille la raison de l’erreur, le champ concerné se nomme “errors”
. Lorsqu’un endpoint retourne des données agrégées de plusieurs fournisseurs, le JSON renvoyé contient un champ “gateway error”
. Sa valeur vaut “true”
lorsqu’une erreur survient auprès d’au moins un fournisseur.
Renouveler un token en fin de vie 💫
Pour des raisons de sécurité, tous les jetons émis sont valables pour une durée de 18 mois. Au delà de ce délai, ils ne fonctionnent plus, et votre accès à l’API Entreprise est donc totalement arrêté.
En réalité, cette situation n’est pas censée arriver car API Entreprise a mis en place une procédure simple de renouvellement de token. En voici les étapes :
Étape 1 : Lire les notifications de renouvellement 📬
Trois mois avant l’arrivée à terme d’un jeton, vous recevez des notifications automatiques vous informant de l’expiration à venir de votre jeton ainsi qu’une invitation à le renouveler. Les notifications sont envoyées régulièrement jusqu’au renouvellement (90 jours avant la date d’expiration, puis 60 jours avant, puis 30, 15, …).
Étape 2 : Remplir le formulaire de renouvellement 📝
Un renouvellement de jeton est en pratique une nouvelle demande d’accès. Il existe deux possibilités de renouvellement de votre token selon que vous ayez fait votre dernière demande avant septembre 2019 ou après. Nous avons en effet transformé l’outil pour effectuer une demande d’accès à l’API Entreprise. Hier, il s’agissait de demarches-simplifiees.fr ; aujourd’hui, il s’agit d’api.gouv.fr.
Cas n°1 : Votre dernière demande remonte avant septembre 2019 et a été réalisée au travers de demarches-simplifiees.fr
La notification d’expiration vous a conduit directement sur cette documentation. Effectivement, la plateforme demarches-simplifiees.fr n’étant plus la plateforme utilisée par API Entreprise, nous allons devoir vous demander de créer un compte sur api.gouv.fr. Nous vous prions d’accepter nos excuses pour la gêne occasionnée, ce transfert étant dans l’objectif de vous fournir un meilleur service.
Pour renouveler votre token, vous allez donc suivre la démarche d’une demande d’accès. Tout est expliqué en détail ici.
Si votre situation d’usage de l’API Entreprise n’a pas changé, inscrivez les mêmes informations utilisées dans votre demande sur demarches-simplifiees.fr. Pensez surtout à mettre à jour les informations de contact.
Cas n°2 : Votre dernière demande est intervenue après septembre 2019, et a été réalisée au travers d’api.gouv.fr.
La notification de d’expiration contient directement un lien vers le formulaire de renouvellement api.gouv.fr. Le formulaire de renouvellement de token est directement pré-rempli avec les informations renseignées lors de la demande initiale. Pensez à mettre à jour les informations de contacts.
Étape 3: Attendre la validation et récupérer son nouveau jeton 🔐
Une fois la demande de renouvellement envoyé, un instructeur API Entreprise valide le renouvellement du jeton. L’utilisateur pourra alors le récupérer dans son tableau de bord.
Réagir en cas d’incidents fournisseurs de données 🚧
Le service API Entreprise est indisponible pour l’un des endpoints ? Il se peut que ce soit dû à un incident côté fournisseurs de données.
- Dans une telle situation, la première chose à faire est de consulter la page incident et de vérifier si l’indisponibilité n’y est pas répertoriée. Toutes les indisponibilités y sont inscrites dans le délai le plus court possible et parfois même anticipées lorsque le fournisseur de donnée nous prévient à l’avance d’une indisponibilité pour maintenance.
Vous pouvez également consulter la page temps réel et ainsi vérifier si l’endpoint ne fonctionnant pas est indiqué comme DOWN dans l’interface. API Entreprise a effectivement mis en place un système de test permettant de vérifier l’état de disponibilité de tous les endpoints. - Si l’incident n’est pas répertorié, deux options se présentent : l’erreur provient de votre côté, ou bien elle n’a pas encore été identifiée par API Entreprise. Après avoir pris soin de regarder qu’il ne s’agit pas de la première option, vous pouvez nous contacter sur support@entreprise.api.gouv.fr.
Réagir en cas d’indisponibilité globale 🚧
Vérifier ne pas avoir dépassé la volumétrie autorisée
Le service API Entreprise semble soudainement rejeter vos requêtes ? Vérifiez que vous avez bien respecté les limites de volumétrie.
Agir en cas d’indisponibilité globale avérée
🚧 Ce contenu est en cours de construction et sera bientôt disponible. 🚧
Élargir le périmètre des données demandées 🧩
Vous souhaitez élargir le périmètre des endpoints auxquels vous avez accès ?
Il vous faut refaire une demande d’habilitation.
Pour toute nouvelle demande, il vous faudra justifier le cadre légal.
Si l’habilitation vous est donnée, API Entreprise vous fournira un nouveau jeton contenant le nouveau périmètre des endpoints accessibles.
S'adapter aux évolutions et montées de versions 🏗
🚧 Ce contenu est en cours de construction et sera bientôt disponible. 🚧
Endpoints en particulier
Paramètres d’appel
Nouvelles API
Changement de la source de données
Sécurité et volumétrie
Demander une information
Consultation de la page support
Vous n’avez pas trouvé la réponse à votre question dans notre documentation et dans le catalogue des données ?
Nous avons une page de support dédiée à l’adresse suivante: Support
Lettres d'information et notifications API Entreprise 📬
API Entreprise rédige régulièrement des lettres d’information faisant état des dernières évolutions. Après validation de vos accès à l’API Entreprise, vous êtes automatiquement abonné à ces lettres d’information selon votre statut :
- le demandeur et le contact métier reçoivent les infolettres 📮 ;
- le contact technique reçoit les techlettres ⚙️, et les notifications de maintenance et d’incidents 🚧. En cas d’incidents majeurs, les contacts métier et demandeur sont informés.
Si vous n’avez pas demandé expressement de vous désabonner, et que vous ne recevez pas nos lettres d’information, il se peut qu’elles soient dans vos spams. Autrement, écrivez-nous à support@entreprise.api.gouv.fr
Vous souhaitez vous abonner à nos différentes lettres d’informations ? Une page dédiée vous permet de vous abonner aux infolettres, aux techlettres et aux notifications de maintenance et d’incidents.
Cette page vous permet également de consulter les archives des communications envoyées par API Entreprise.
Co-construire le service
Signaler une anomalie
Vous avez repéré un bug ? une erreur ?
N’hésitez pas à nous transmettre cette information, en précisant s’il s’agit d’une anomalie :
- spécifique à un seul endpoint, repéré suite à un appel, dans ce cas, indiquez-nous le paramètre utilisé (SIRET, SIREN …) ;
- générale à API Entreprise ;
- concernant la documentation, nous agrégeons beaucoup de contenus métiers et techniques, il peut arriver qu’une erreur se soit glissée, ou bien que la documentation n’ait pas été mise à jour suffisamment rapidement. Précisez-nous autant que possible l’emplacement du bug avec une capture d’écran par exemple. Indiquez-nous si possible la version de votre navigateur ;
- concernant le site internet.
Devenir fournisseur de données 📂
Vous êtes une administration en relation avec les entreprises et les associations ? Vous avez des données et souhaitez les faire circuler inter-administration dans le cadre du “Dîtes-le-nous-une fois” ?
Les prochains évènements 📆
API Entreprise réalise régulièrement des ateliers ou des conférences pour présenter les évolutions fonctionnelles de l’API ou les nouveaux endpoints. Retrouvez ici tous les évènements passés et à venir :
Date | Évènement | Lieu | Horaires | Annexes |
---|---|---|---|---|
17 oct. 2019 |
Présentation des nouveautés API Entreprise Évolutions réglementaires, nouvelles données disponibles… |
DINUM, 20 avenue de Ségur, 75007 Paris | 14:00-17:00 | / |
Nous rejoindre 💼
Vous êtes intéressé-e par l’API Entreprise et souhaitez nous rejoindre ? Nos offres sont publiées sur le site de Beta.gouv.fr.