Les données mises à disposition étant des données sensibles, leur accès est restreint aux partenaires habilités et nécessite la complétion du formulaire en ligne DataPass pour la mise en place d’une convention d’échange de données.

Le parcours de souscription s'adapte à chaque situation :

La souscription aux API de la DGFiP s’effectue donc selon 2 modalités :

• Une souscription directe en production si votre éditeur de logiciels a finalisé ses développements et validé ses tests en environnement bac à sable pour l’API que vous souhaitez consommer ;
• Une souscription au bac à sable (l’environnement de tests) puis à la production dans le cas où votre éditeur n'a pas finalisé ses développements ou que vous ne faites pas appel à un éditeur de logiciels pour vous accompagner dans le raccordement technique à l’API que vous souhaitez consommer.

Pour accéder aux données, vous trouverez sur le site www.data.gouv.fr/dataservices la présentation de chaque API et le lien pour faire une demande d'habilitation depuis la plateforme datapass.api.gouv.fr.

Quels acteurs sont éligibles ?

L'accès aux API de la DGFiP est restreint aux organisations autorisées. Les API sont essentiellement destinées aux :

• Administrations publiques (organismes sociaux - ministères)
• Collectivités locales
• Banques
• Éditeurs (pour intégrer les API à leurs solutions logicielles afin de proposer le service à leurs clients ; dans ce cas, ils accèdent seulement à des données fictives)

Que faut-il fournir ?

Si votre organisation est éligible, il vous faudra prévoir 3 éléments :

• un cadre juridique justifiant la levée du secret fiscal
  On entend par « cadre juridique », tout texte de loi permettant à un partenaire de justifier la levée du secret fiscal. Il vous sera demandé de préciser la loi ou le décret autorisant votre type d'organisation à accéder aux données. Par exemple, l'article L 114-8 du Code des relations entre le public et l'administration autorise les administrations à échanger entre elles les informations nécessaires pour traiter une demande du public. Cet article est le fondement légal qui autorise la collectivité à accéder aux données fiscales proposées par les API Impôt particulier et SFiP.
   
• une déclaration de conformité des traitements à la réglementation relative à la protection des données à caractère personnel
  Dans le cadre de l’échange de données par API, votre organisation, en tant que partenaire, opère des traitements de données à caractère personnel. Elle devient donc responsable des informations traitées dans le cadre du téléservice qu’elle met en place et s’engage à respecter certaines obligations inhérentes à ce traitement, notamment celles de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement (UE) 2016/679 (RGPD) relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, notamment par le principe de la minimisation des données prévu dans l’article 5.
  
  Pour cela, dans le DataPass, il vous faudra remplir les données souhaitées (en respectant le principe de minimisation des données collectées), les personnes qui auront accès aux données, la durée de conservation des données récupérées par l'API puis confirmer avoir informé votre délégué à la protection des données de votre organisation de votre demande.
   
• un niveau de sécurité de votre système d'information (SI) suffisant
  Les demandeurs doivent justifier d’un niveau de sécurité suffisant du SI qui appellera l’API pour protéger les données fiscales des usagers. Les SI étant de plus en plus complexes et les impacts potentiels d’un incident de plus en plus graves, la DGFiP doit s’assurer de la sécurité du système d’information de ses partenaires avant tout échange de données par API.
  Pour cela, elle demande à ses partenaires d’attester de la sécurité de leur système d'information. La modalité privilégiée est la présentation d'une homologation de sécurité. A défaut, le remplissage d'un questionnaire de sécurité est proposé.