New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
ETQ administrateur, je souhaite utiliser un jeton API Particulier sur une démarche à destinations des particuliers #6024
Comments
Bonjour, Question posée par @jobygoude de @synbioz (prestataire de l'ADULLACT pour API Particulier) :
Auriez-vous des précisions à nous apporter sur ce point ? (en privé par mail ou en public ici) Détails complémentaires de la question :
|
Merci pour l'issue superbement rédigée. C'est notre nouveau standard pour les relations avec les forks :) . Questions à API Particulier
introspect va te donner toutes les infos sur un jeton, tu auras la validité et les scopes associés (donc ça descend au niveau QF, allocataires etc)
nous recommandons de toujours laisser l'alternative papier en plus de l'API, donc oui il vaut mieux avoir une méthode alternative d'upload de justificatif
pour l'affichage c'est comme vous le souhaitez, il sera toujours de la responsabilité de la démarche de vérifier que les bonnes personnes font les bonnes demandes. Si la démarche n'est pas authentifiée, autant ne pas afficher la valeur des données en effet Évolution plus long terme de l'interface de DSNous souhaitons faire sauter (un jour) la première page d'authentification par personne physique ou moral pour les remplacer par des champs dans le formulaire. En effet, il y a trop de cas ou cette distinction ne fonctionne pas. ConséquencesJe vous propose de réaliser un nouveau type de champ : par exemple coefficient familial. Il aurait pour entrées, soit les identifiants nécessaires pour l'api, soit une pièce à joindre. A défaut d'avoir une validation immédiate des identifiants (car job asynchrone) ça serait chouette si on pouvait avoir une vérification du format. On ne présenterait pas les résultats des appels aux usagers mais juste la nature des éléments récupérés.
Réalisation et découpageD'habitude on essaye de découper nos pr pour apporter de la valeur progressivement aux utilisateurs. Ici j'ai l'impression que vous désirez apporter toutes les données d'api particulier d'un coup :). Je vous proposerai bien plutôt un découpage en ciblant d'abord une donnée, par exemple le coef familial :
c'est à la louche, j'espère que vous voyez l'idée. Une fois que vous avez fait tout ça ... déjà bravo, et ensuite on dégage le feature flag et on attaque une autre source de donnée. Vous en pensez quoi ? |
voici les parties intéressantes du fichier service systemd.
Faire une queue dédiée est une super idée. Pour ce qui est du rate limiting, on fait ça pour l'instant en utilisant un (touss touss) sleep qu'on ajuste pour rester dans les limites imposées : https://github.com/betagouv/demarches-simplifiees.fr/blob/7edce745eb2a07e9e7343fa121e15df8653d5dd5/app/lib/api_entreprise/api.rb#L65-L71 Pourriez-vous utiliser le mm mécanisme ? Et si vous avez une meilleure idée on prend :) . PS : on utilise pour l'instant mina pour déployer. |
Excellent ! Merci beaucoup @LeSim pour toutes ces informations ! On a une belle matière. Je plussoie le découpage des PR par périmètre fonctionnel restreint :) PS: on est une autre instance de DS (surtout pas un fork) et la contribution fait sens pour nous :) |
Bonjour, @LeSim, une revue fonctionnelle est en cours chez nous. |
Actuellement
Pour les démarches à destinations des entreprises, administrations ou associations, grâce à
API Entreprise
et d'un numéro SIRET demandé à l'utilisateur, les informations sur la personne morale (raison sociale, adresse du siège, etc.) sont automatiquement renseignées. En fonction du jeton API Entreprise utilisé dans la démarche, il est aussi possible de récupérer des informations plus élaborées.Pour les démarches à destinations des particuliers, la connexion via
France-Connect
permet de récupérer le nom, prénom et civilité de l'utilisateur. Il n'y a actuellement pas de moyen de récupérer automatiquement des informations plus élaborées (revenu fiscal de référence, quotient familial, statut d'étudiant ou de demandeur d'emploi).Pour l'instance DS de l'ADULLACT, à destination des collectivités, nous avons identifiés des démarches (inscription à la cantine, à la piscine, ...), où des informations plus élaborées sont nécessaires (revenu fiscal de référence ou quotient familial, par exemple). Actuellement, pour ces démarches là, il est nécessaire de demander ces informations à l'utilisateur et aussi les justificatifs en pièces jointes.
Comportement attendu
À l'instar de ce qui existe déjà pour l'
API Entreprise
, nous souhaiterions ajouter le support de l'API Particulier lors de la création d'une démarche à destinations des particuliers.Reprenons les exemples précédents (inscription à la cantine, à la piscine, ...), où des informations plus élaborées (revenu fiscal de référence ou quotient familial) sont nécessaires au traitement des dossiers ; Au lieu de demander l'information à l'utilisateur et aussi un justificatif en pièce jointe, le support d''API Particulier permet de récupérer ces informations directement à partir d'une ou plusieurs informations préalables (numéro d'allocataire pour la CAF, ...).
Contribution (à venir) pour
API Particulier
de contribution au code source
betagouv/demarches-simplifiees.fr
.betagouv
sur ce ticket et sur les PRs (répondre aux commentaires, pousser des correctifs, ...).NOTE :
Les copies d'écrans utilisées dans ce ticket sont des maquettes permettant de se projeter dans le parcours utilisateur.
Analyse fonctionnelle et technique
API Particulier
, les données, une démarche et la collectivité1 - API Particulier
API Particulier
permet à une collectivité d'accéder à diverses informations relatives à ses citoyens.Elles proviennent de quatre sources différences :
Chacune de ces sources donne accès à bon nombre d'informations.
La documentation d'API particulier présente des exemples de réponses.
Lors de la demande de jeton pour
API Particulier
, la collectivité sélectionne les informations pour lesquelles elle demande accès. Dit autrement, c'est le jeton qui définit à quelles données la collectivité a accès.2 - Relation entre DS, le jeton
API Particulier
, les données, une démarche et la collectivité3 - Pré-requis pour accéder aux données API Particulier
Le citoyen doit fournir une ou plusieurs informations préalables.
Elles varient selon la source de données :
Selon ce qui a été demandé à la création du jeton API Particulier, ces pré-requis peuvent se cumuler.
3.1 - Expérience Utilisateur (UX) pour le citoyen
Ces pré-requis ont une conséquence sur le parcours utilisateur :
ces informations doivent être demandées au citoyen dès le début de la démarche.
L'idée serait de suivre le même modèle que les démarches s'adressant aux organismes, démarches qui demandent (avant même d'accéder au formulaire) de saisir un numéro de SIRET. En l'espèce, une démarche utilisant API Particulier doit présenter au citoyen un écran demandant de saisir les pré-requis. Cela se fera dès le premier écran, lors de l'identification, juste avant le formulaire proprement dit de la démarche.
Un écran intermédiaire récapitulera les données récupérées au travers de l'API Particulier.
4 - Sauvegarde en base des données récupérées
Les informations récupérées au travers d'API Particulier seront sauvegardées dans la base des données.
NOTE :
4.1 - Expérience Utilisateur (UX) pour l'administrateur
Lors de la création de la démarche, l'administrateur devra donc saisir :
NOTE :
Les écrans ci-dessous sont des maquettes permettant de se projeter dans le parcours utilisateur, nullement les rendus finaux.
4.2 - Conformité au RGPD
Le RGPD demande à ce que la quantité de données demandée soit minimale
(cf Chapitre II, Article 5 : Principes relatifs au traitement des données à caractère personnel).
4.3 - Considérations techniques
Procédures
La table
procedures
se verra augmentée de deux champs supplémentaires :api_particulier_token
(string)api_particulier_sources
(jsonb)Dans le champ
api_particulier_sources
seront stockées les sources sélectionnées, ainsi que la liste précise des informations à persister pour chacune d'entre-elles.Dossiers
Le fonctionnement sera très similaire à ce qui se fait avec l'
API Entreprise
.À la sauvegarde de l'étape d'identification d'un dossier, conditionné par la saisie des informations requises par l'API Particulier, un appel au service
APIParticulierService
sera fait. Cela déclenchera la création d'une instance d'une nouvelle classe nomméeParticulier
et des requêtes asynchrones seront effectuées sur l'API Particulier pour y stocker les données concernant cet usager. Cette instance de la classeParticulier
sera rattachée au dossier et à l'usager.Remarques et questions
Ci-dessous, le résumé de @mfaure de l'échange avec @LeSim :
voir : PR #6245 / @adullact
The text was updated successfully, but these errors were encountered: