De l'État à l'État-plateforme : de l'intérêt des API

7 ans après la Loi pour une République Numérique (Loi Lemaire), et 1 an après des annonces gouvernementales sur la nécessité de bâtir un État-plateforme, où en sommes-nous ?

En matière de dématérialisation des services de l’État, ces derniers temps ont été le théâtre de nombreuses évolutions, tant au niveau Européen – avec le DMA, le DSA, la NIS 2, … - qu’au niveau français avec la certification SecNumCloud ou l’annonce du Comité Stratégique de filière Numérique de Confiance par le ministre de l’Economie et des Finances lors de l’inauguration du data center d'OVHcloud à Strasbourg fin 2022.

Sur le terrain, les initiatives concrètes se multiplient et de nombreux organismes publics ont publié numériquement des services et les ont rendus accessibles, y compris au secteur privé (ex : le service api.gouv.fr promu par la Dinum). De la même façon, les plateformes d’API et marketplace deviennent la règle pour rendre accessibles en ligne les services de l’État (ex : le projet Piste de l’AIFE qui propose d’héberger des services et API tiers, ou l’offre similaire mise en place par la DGFiP).

Pourtant dans le même temps, les observateurs peuvent parfois avoir l’impression que ce projet de numérisation des services de l’État stagne. En effet, que ce soit la validation, pendant la période estivale, du Data Privacy Framework (successeur du Privacy Shield, et auquel certains prévoient la même fin), ou le report de la facturation électronique, tout concourt à nourrir ces doutes.

Passer à l’État-plateforme : des déclarations et une complexité règlementaire

Initialement destinés aux utilisateurs de la sphère publique, ces services sont de plus en plus adressés à ceux de la sphère privée, ce qui implique une sécurité et une protection des données renforcées. Les plateformes d’API doivent donc être robustes et sécurisées by design et hébergées dans des environnements qui protègent les données des utilisations et atteintes externes, notamment en ce qui concerne les lois extraterritoriales qui s’appliquent aux grands fournisseurs de systèmes informatiques de type cloud.

Annoncée en septembre 2020, l’enveloppe d’un milliard d’euros, destinée à accélérer la numérisation de l’État dans le cadre du plan de relance, doit permettre de faciliter les démarches des citoyens vers l’État. Pour parvenir à rendre accessible les 250 démarches les plus usuelles, avec un taux au minimum de 70% de satisfaction des usagers, citoyens comme entreprises, trois objectifs avaient été présentés par le gouvernement :

  • être un levier de transformation pour les administrations
  • fluidifier les circulations des données entre administrations,
  • se concentrer sur le conseil et l’accompagnement des ménages et des entreprises. 

Et par-delà la numérisation même des processus existants, il va également s’agir d’ouvrir l’accès aux outils digitaux eux-mêmes et repenser les processus (suppression des attestations papiers, ou Tüv en Allemagne...).

Pourtant, le cadre réglementaire encadrant les données numériques semble représenter un réel frein à cette volonté de transformer l’État en État-plateforme, que ce soit en raison des obligations liées au RGPD, à l’invalidation du Privacy Shield ou à cause des annonces en matière de DMA et DSA. Si bien qu’en 2022, lorsque le commissaire européen Thierry Breton déclarait : "Ici c’est notre législation, pas la législation des autres qui doit s’appliquer", le ministre Bruno Le Maire répondait par l’annonce de la création du CSF, le Comité Filière Stratégique Numérique & Confiance. 

...dans un monde de plus en plus en plus menaçant

Outre la complexité des législations française et européenne, les services publics doivent être suffisamment sécurisés pour résister faire face à tous types de cyber-attaques. Un défi pour lequel ils se doivent d’opérer une réelle mutation de leur façon de proposer des services ouverts et numériques à leurs publics. Ce que Guillaume Poupard, alors directeur général de l’ANSSI, appelait de ses vœux à travers le référentiel SecNumCloud : "Afin de favoriser un environnement numérique protecteur et en phase avec les évolutions technologiques, y compris pour les données et les applications les plus critiques, l’identification des services cloud de confiance est indispensable. La qualification SecNumCloud contribue à répondre à ce besoin en attestant d’un très haut niveau d’exigence en matière de sécurité numérique, tant du point de vue technique qu’opérationnel ou juridique".

Dans ce cadre, une démarche pragmatique et qui a fait ses preuves consiste donc à aborder cette problématique autour de trois axes : Penser plateforme, réfléchir API first et concrétiser en mode ouverture & sécurité.

L’État plateforme pour des services innovants et accessibles

Afin de pouvoir proposer des services toujours plus dématérialisés, l’État se doit d’effectuer une mutation et de se transformer en état-plateforme, c’est-à-dire que ses services doivent être disponibles pour ses citoyens – particuliers ou entreprises - au travers d’un environnement informatique sécurisé, accessible facilement et évolutif à mesures que de nouveaux services verront le jour.

Cette plateforme se doit de pouvoir mettre à disposition de la société civile et des acteurs privés la liberté de développer des biens et des services finaux en tirant profit des ressources mises à disposition par l’État. Dans ce paradigme, l’Etat agrège, au sein de cette plateforme unique, de multiples portails par le biais d’API, si bien que chaque entité du secteur public est alors en mesure de demander à ses développeurs de développer des API particuliers pour chaque nouveau service lancé.

Une colonne vertébrale : l’API-first

Pour que cette plateforme puisse être à la fois souple et évolutive, et qu’elle permette la création et la mise à disposition de nouveaux services, elle devra s’appuyer sur une approche API-first, à savoir une façon de concevoir des services par briques, dont le langage et la capacité d’intégration sont communs et qui pourront ainsi s’additionner et se mélanger au sein d’une plateforme commune. La notion même d’API-first induit la nécessité de réfléchir la structure de l’API avant même de développer le service que l’on souhaite lancer. En effet, une fois le langage commun précisé et la capacité d’intégration définie, il n’y aura plus qu’à y insérer le service. Cette façon d’imaginer et de développer les offres va permettre aux services publics de pouvoir anticiper la sortie de nouveaux services et de les rendre rapidement disponibles.

En quelque sorte, l’API-first est une clé qui va permettre d’entrer sur la plateforme commune. Sans elle, un nouveau service est voué à rester sur le palier.

Trouver le bon équilibre entre sécurité et ouverture

Une fois la plateforme de services publics définie, il conviendra de s’assurer qu’elle soit à la fois ouverte et sécurisée ? Un vrai casse-tête pour toute administration qui, il y a peu encore, partageait son système d’information en deux parties, internes et externes, afin de préserver les données en cas d’attaque, quitte à se heurter à un grave problème d’actualisation de ces données.

Dans cette nouvelle optique de plateforme unique, l’État se doit d’aller vite, de rendre ses services disponibles et d’afficher un taux de satisfaction de 70% pour répondre à l’objectif fixé par le gouvernement il y a un an. Pour y parvenir, l’État doit donc sécuriser l’accès à ses services à travers ses certificats authentifiés - en s’assurant que les données sont bien stockées en Europe et que la plateforme de services publics soit accréditée SecNumCloud.

En parallèle, cette plateforme doit être ouverte pour les utilisateurs, c’est-à-dire qu’il va s’agir d’ouvrir ses services, tout en développant des modèles de gouvernance fédérée, d’utiliser des standards du marché pour faciliter cette ouverture et de mettre en place des protocoles spécifiques d’authentification certifiés par l’État.

Pour conclure...

À partir du moment où il a décidé d’inciter à la dématérialisation des échanges, l’État se doit de passer d’une logique de portails à un paradigme basé sur une plateforme, permettant d’agréger des services, tout en gérant précisément les différents droits d’accès.

Et certains succès sont là pour attester de la capacité de l’État à se penser "État-plateforme" ; que ce soit l’application TousAntiCovid ou pour obtenir le PGE, l’État a démontré qu’en appliquant plus d’agilité et plus de simplicité, il pouvait effectuer sa mutation technologique.

Ces exemple démontrent clairement que cette démarche de plateformisation ne peut se faire qu’en adoptant une approche API-first et les outils de gestion d’API associés. Cette démarche a d’ailleurs vocation à se généraliser également à ce que la NIS2 appelle les EE (Entreprises Essentielles) et aux EI (Entreprises Importantes) – nouvelle appellation des anciens OIV (Organismes d’Intérêt Vital) – puis, plus largement, à l’ensemble des entreprises françaises.