Skip to content

Commit

Permalink
Modifie le paragrpahe sur les données demandées
Browse files Browse the repository at this point in the history
  • Loading branch information
@DorineLam
DorineLam committed Jul 5, 2024
1 parent 2d6c324 commit 0763e50
Showing 1 changed file with 32 additions and 50 deletions.
82 changes: 32 additions & 50 deletions config/locales/api_particulier/faq_entries.fr.yml
View file
Original file line number Diff line number Diff line change
Expand Up @@ -213,48 +213,35 @@ fr:
- name: "Demande d’habilitation"
entries:
- question: "Quelles informations me seront demandées ?"
- question: "Quelles informations sont demandées ?"
answer: |+
Voici la liste des informations à compléter lors de votre demande d’habilitation :
Les informations que vous aurez à compléter lors de votre demande d'habilitation varient selon le formulaire que vous allez choisir. En effet, les champs de certains formulaires sont déjà pré-remplis. C'est par exemple le cas des formulaires associés à un éditeur de logiciel, ou encore des formulaires conçus pour un cas d'usage délimité.
Dans tous les cas, à la fin de la démarche, avant l'envoi de votre demande à nos services, une page récapitulative vous permettra de vérifier les informations qui seront transmises.
- **L’identité de votre organisation**
Le numéro de SIRET de votre organisation.
Que vous ayez à les saisir ou quelles soient déjà complétées, voici l'ensemble des informations qui constituent une demande d'habilitation :
- **L’identité de votre organisation** : Le numéro de SIRET de l'organistation pour laquelle la demande est effectuée.
Toutes les organisations n’étant pas [éligibles à accéder à l'API Particulier](<%= faq_index_path(anchor: 'quelles-sont-les-conditions-d-eligibilite') %>).
- **L’équipe technique qui implémentera l’API**
Qui sera en charge techniquement de l’API ? Il peut s’agir de développeurs en interne, externes ou d’un éditeur de logiciel (son nom vous sera demandé).
- **Le cas d’usage de votre demande**
- **Le nom et une description précise de votre service**
Quel est l’objectif de votre service ? qui l’utilisera ? et à quoi serviront les données que vous nous demandez ?
- **La liste des données souhaitées**
{:.fr-highlight}
> ℹ️ Pour les identifier, vous pouvez vous aider :
> - du [catalogue de données](<%= endpoints_path %>). Il présente l’ensemble des API disponibles accompagnées d’une documentation fonctionnelle et technique.
> - des cas d’usages proposés par API Particulier. Nous y décrivons les données utiles :
> - [Aide facultatives à la scolarité](<%= cas_usage_path(uid: 'aides_scolarite')%>) ;
> - [Tarification cantine des collèges et lycées](<%= cas_usage_path(uid: 'cantines-colleges-lycees-tarification')%>) ;
> - [Aides des centres communaux d'action sociale (CCAS)](<%= cas_usage_path(uid: 'ccas')%>) ;
> - [Tarification sociale et solidaire des transports](<%= cas_usage_path(uid: 'tarification_transports')%>) ;
> - [Portail famille des communes](<%= cas_usage_path(uid: 'portail_famille')%>).
- **Le traitement des données personnelles**
Qui seront les destinataires de données reçues de l’API Particulier ? Le destinataire étant, selon la [définition de la CNIL](https://www.cnil.fr/fr/definition/destinataire){:target="_blank"}, _"la personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions."_
Il peut s’agir d’un agent de votre administration, d’un usager de service public ...
Le temps de conservation des données en mois sera également à spécifier.
- **Le cadre juridique**
L’accès à l’API Particulier se fait sous réserve que son utilisation soit justifiée. L’accès à la donnée requiert la fourniture d’un cadre juridique précis, c’est pourquoi, il vous sera demandé de spécifier la nature et les références du texte vous autorisant à traiter les données.
Si vous êtes une administration centrale, une agence d’État, un opérateur, ou un service déconcentré, il vous faudra transmettre le **décrêt** ou l’**arrêté** justifiant votre demande.
{:.fr-highlight}
> ⚠️ Attention, quel que soit votre statut, le [**CRPA** (Code des relations entre le public et l’administration)](https://www.legifrance.gouv.fr/codes/texte_lc/LEGITEXT000031366350/2020-12-14/){:target="_blank"}, la [**loi ESSOC** (pour un État au service d’une société de confiance)](https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037307624/){:target="_blank"} ou la **loi Lemaire** (pour une République numérique) **ne sont pas suffisants** car ils indiquent un principe d’échange qui doit être complété par un cadre juridique précis pour l’utilisation envisagée.
- **Les coordonnées des différents contacts**
L’ensemble des coordonnées renseignées seront strictement utilisées pour communiquer avec vous.
- **Le responsable du traitement des données**. Le responsable de traitement est la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Cette personne renseignée doit obligatoirement appartenir à l’organisation déclarée dans la demande.
- **Le délégué à la protection des données**. Le DPD est la personne qui s’assure que l’organisation protège convenablement les données à caractère personnel, conformément à la législation en vigueur. C’est généralement une personne appartenant à l’organisation effectuant la demande.
- **L’équipe technique qui implémentera l’API** : c'est-à-dire l'organisation/le service qui sera en charge techniquement de l’API. Il peut s’agir de développeurs en interne dans votre administration, externes ou d’un éditeur de logiciel.
- **Le formulaire choisi** : cas d'usages, formulaires d'un éditeur ou demande libre
- **Le nom du projet et une description précise de votre service** : Dans ces deux champs textes, il s'agit d'expliciter pourquoi et comment les données de l'API Particulier seront utilisées. Qui utilisera le service intégrant les données ? à quoi serviront les données démandées ? Il est possible d'ajouter une pièce jointe.
- **La date de mise en production prévue, et la volumétrie approximative** : Ces informations facultatives permettent de mieux appréhender les besoins et les contraintes du projet.
- **La liste des données souhaitées** : Les droits qui seront attribués après validation de l'habilitation correspondront aux cases cochées dans la demande d'habilitation. Pour toutes les demandes, seules les données strictement utiles à la finalité du service décrite sont autorisées.
- **Le traitement des données personnelles** : Pour indiquer qui seront les destinataires de données reçues de l’API Particulier. Le destinataire est, selon la [définition de la CNIL](https://www.cnil.fr/fr/definition/destinataire){:target="_blank"}, _"la personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions."_ Il peut donc s’agir d’un agent de l'administration, d’un usager de service public ... Le temps de conservation des données en mois doit également être précisé.
- **Le cadre juridique** :
- **la description** : L’accès à l’API Particulier se fait sous réserve que son utilisation soit justifiée. L’accès à la donnée requiert la fourniture d’un cadre juridique précis, c’est pourquoi, il vous sera demandé de spécifier la nature et les références du texte vous autorisant à traiter les données.
- **les justificatifs, une URL de la référence légilsative ou une pièce jointe** :
- _Pour les administrations centrales, agences d’État, opérateurs ou services déconcentrés_, il vous faudra transmettre le **décrêt** ou l’**arrêté** justifiant votre demande.
{:.fr-highlight}
> ⚠️ Attention, quel que soit votre statut, le [**CRPA** (Code des relations entre le public et l’administration)](https://www.legifrance.gouv.fr/codes/texte_lc/LEGITEXT000031366350/2020-12-14/){:target="_blank"}, la [**loi ESSOC** (pour un État au service d’une société de confiance)](https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037307624/){:target="_blank"} ou la **loi Lemaire** (pour une République numérique) **ne sont pas suffisants** car ils indiquent un principe d’échange qui doit être complété par un cadre juridique précis pour l’utilisation envisagée.
- _Pour les collectivités_, une délibération décrivant le service envisagé et les données nécessaires est souvent attendue. Pour en savoir plus, consultez [la question/réponse suivante](<%= faq_index_path(anchor: 'qu-est-ce-qu-une-bonne-deliberation-pour-acceder-a-api-particulier') %>).
- **Les coordonnées des différents contacts** :
- **Le délégué à la protection des données**. Le DPD est la personne qui s’assure que l’organisation protège convenablement les données à caractère personnel, conformément à la législation en vigueur. C’est généralement une personne appartenant à l’organisation effectuant la demande, qui doit pouvoir exercer sa mission en toute indépendance et à l'abri des conflits d'intérêt. Cette [fiche de la CNIL](https://www.cnil.fr/fr/designer-un-delegue-la-protection-des-donnees-dans-une-collectivite){:target="_blank"}
<details class="fr-details">
<summary>
Je n’ai pas de DPD, que faire ?
Vous n'avez pas de DPD, que faire ?
</summary>
Si vous n’avez pas de DPD, c’est que vous n’êtes probablement pas habilité à pouvoir utiliser API Particulier. En effet, la nomination d’un DPD est obligatoire pour toute autorité publique ou tout organisme public, ainsi que pour toute entreprise effectuant un suivi régulier et systématique de données personnelles à grande échelle ou de données personnelles sensibles. Ce qui est au coeur de l’usage d’API Particulier.
</details>
Expand All @@ -264,26 +251,21 @@ fr:
{:.fr-highlight}
> ℹ️ Le contact métier et le contact technique peuvent être confondus, notamment si vous passez par un éditeur.
- **L’acceptation des conditions d’utilisation API Particulier**
Avant tout envoi de votre demande, vous devez **[accepter nos conditions générales d’utilisation](<%= cgu_path %>)**.
- **Les conditions d’utilisation API Particulier**
Avant tout envoi de votre demande, vous devez **[accepter nos conditions générales d’utilisation](<%= cgu_path %>)** ainsi que toutes celles qui figurent à la fin de la demande d'habilitation.
Nous vous invitons à les lire attentivement car les données circulant par le biais d’API Particulier sont sensibles. **Votre futur accès à l’API s’accompagne d’engagements**, notamment celui de présenter les données uniquement aux agents habilités ou à l'usager préalablement identifié, et celui de tracer l’accès de ces données.
- question: "Qu'est ce qu'une bonne délibération pour accéder à API Particulier ?"
answer: |+
Lorsque vous demandez un accès à l'API Particulier pour mettre en place une politique tarifiaire, il est nécessaire de fournir, dans le cadre juridique, l'acte/ la délibération qui fixe les conditions tarifaires ou d'attribution. C'est ce document qui permettra d'apprécier finement le droit d'accès à chaque donnée.
## Caractéristiques de la délibération attendue
Lorsque vous demandez un accès à l'API Particulier pour simplifier une démarche, il est parfois nécessaire de fournir, dans le cadre juridique, la délibération qui fixe les conditions tarifaires ou d'attribution. C'est ce document qui permettra d'apprécier finement le droit d'accès à chaque donnée.
Vous pouvez retrouver une délibération passée qui expose le mode de fonctionnement d'une démarche.
Pour que la délibération ou l'acte soient acceptés comme cadre juridique dans votre demande d'habilitation API Particulier, il faut qu'il décrivent précisémment les données utiles pour la tarification ou l'attribution d'aides.
- Exemple d'une "bonne" délibération : Dans le cadre d'une facturation de prestation enfance, une délibération avec les barèmes appliqués suivant le montant du quotient familial convient.
- Exemple d'une délibération "insuffisante" : Une délibération qui indique _"le conseil communal décide d'utiliser API Particulier pour consommer les données CAF en vue de simplifier la démarche"_ ne sera pas acceptée car elle manque de précision sur la finalité des données nécessaires et ne permet pas de vérifier le respect de la minimisation des données appelées.
**Il n'est pas nécessaire de prendre une délibération spécifique** pour accéder à l'API. Une délibération déjà existante peut suffire si elle remplit les caractéristiques suivantes :
## Pour demander les données les plus sensibles, voici ce qui est attendu :
**Caractéristiques de la délibération attendue :**
- Quotient familial de la CAF ou MSA : une grille tarifiaire dépendant du quotient familial ;
- Adresse issue de l'API Quotient familial CAF/MSA : une indication qui précise que le tarif ou l'attribution de l'aide est différent suivant que la personne habite ou non sur le territoire ;
- Identité des allocataires issus de l'API Quotient familial CAF/MSA : une indication qui précise que le tarif ou l'attribution de l'aide est différent suivant le nombre d'enfants à charge.
Pour que la délibération soient acceptée comme cadre juridique dans votre demande d'habilitation API Particulier, il faut qu'elle décrive précisémment les données utiles pour la tarification ou l'attribution d'aides.
- **Exemple d'une délibération qui répond aux critères attendus** : Dans le cadre d'une facturation de prestation enfance, une délibération avec les barèmes appliqués suivant le montant du quotient familial convient.
- **Exemple d'une délibération qui ne répond pas aux critères attendus pour être habilité** : Une délibération qui indique _"le conseil communal décide d'utiliser API Particulier pour consommer les données CAF en vue de simplifier la démarche"_ ne sera pas acceptée car elle manque de précision sur la finalité des données nécessaires et ne permet pas de vérifier le respect de la minimisation des données appelées.
- question: "Je n’ai pas de nouvelles de ma demande d’habilitation"
answer: |+
Expand Down

0 comments on commit 0763e50

Please sign in to comment.