Construire des infrastructures soutenables ? Participez au questionnaire APIToS

« J’ai lu et j’accepte les conditions d’utilisation » est le plus grand mensonge du web. Voici la devise du projet “Terms of Service; Didn’t Read, » (ToS;DR) débuté en 2012 pour aider à une plus grande lisibilité des conditions générales d’utilisation (CGU ou ToS en anglais) [1].

10 ans après et malgré une protection accrue des consommateurs, ces sujets restent encore méconnus et il est encore bien fréquent que les utilisateurs de services cliquent sur « j’ai lu et j’accepte les conditions » sans avoir pris connaissance ou sans avoir réellement compris le contenu du contrat sous-jacent. L’interconnexion des nouveaux services numériques rendent d’autant plus complexes et cruciales ces préoccupations, conditionnant l’accès à une ou plusieurs API (Application Programming Interface) considérées comme autant de pierres angulaires de notre infrastructure et économie numérique.

Aujourd’hui, le projet de recherche-action APIToS (lauréat d’une Digital Infrastructure Grant) vise à explorer les moyens de rendre les conditions de service des API plus soutenables, plus accessibles, compréhensibles et appropriables par les humains et les machines. Pour cela, nous recueillons vos expériences et avis par le biais d’un court questionnaire (15 minutes) intitulé « APIToS: towards a trustworthy and sustainable ecosystem ». En tant qu’utilisateurs, fournisseurs ou acteurs engagés dans la régulation d’API, vos retours nous seront précieux.

Découvrez le site apitos.org et participez à notre questionnaire (en anglais) avant le 30 mars 2022.

Pour en savoir plus sur le projet APIToS, les résultats préliminaires et les objectifs du questionnaire, consultez la suite de l’article ci-dessous.

Les conditions générales d’utilisation des API : des mises à jours aux conséquences massives

Les API sont à la base d’une économie numérique reposant sur des données et la création de nouveaux services pour leur collecte, analyse et valorisation. L’accès et la pérennité de ces interfaces sont aujourd’hui reconnus dans tous les domaines (finance, recherche, transport, etc.) et s’ajoutent même aux exigences de l’Europe en matière d’Open Data (directive open data à l’égard des données de forte valeur). Les Conditions Générales d’Utilisation des API (CGU ou ToS en anglais) représentent un élément clef de la construction d’infrastructures numériques soutenables, équitables et pérennes. En effet, chaque fois que vous utilisez un Software-as-a-Service via son API, vous intégrez désormais le contrat technique représenté par l’interface elle-même tout autant que le contrat commercial et juridique (droits d’utilisation de l’API, engagements de son fournisseur, propriété des données associées, etc.).

Or plusieurs points de vigilance sont à souligner :

• Prenons les API de Google, Twitter, Facebook, Linkedin, des milliers de services se développent sur la base de leur API avec parfois des mises à jour dans les conditions générales d’utilisation qui sèment le trouble dans les écosystèmes numériques. Ces modifications bousculent les modèles économiques des services établis (changement des SLA, des conditions de réutilisation des données, etc.) et tuent souvent la confiance nécessaire entre différentes parties prenantes (utilisateurs, fournisseurs, intermédiaires, etc.) afin de construire une infrastructure numérique saine et résiliente [2].
• Dans d’autres domaines, comme la recherche universitaire, le travail scientifique dépend de plus en plus d’API pour avoir accéder aux données ou aux publications et à leur analyse via la fouille de texte ou de données (text and data mining). Bien qu’il y ait eu un énorme mouvement vers le libre accès aux publications et aux données dans la recherche (open science), les API d’éditeurs privés pourraient devenir une nouvelle porte fermée ou contrôlée ralentissant la libre circulation des connaissances [3].
• Les API sont également un sujet majeur pour les régulateurs afin de soutenir un écosystème juste et équilibré pour les différentes parties prenantes et de donner plus de pouvoir à celles qui sont plus vulnérables. Les contrats relatifs aux API constituent en effet autant de risques vis-à-vis du consommateur (enfermement, soumission à des conditions anormales, etc.) que de la libre concurrence.

Le projet APIToS : vers un écosystème d’API durable et de confiance

La première phase exploratoire de l’étude APIToS, financée par la Fondation Ford (Digital Infrastructure Grant), a permis d’appréhender en finesse les zones d’achoppements concernent les CGU et leurs usages aussi bien du côté des utilisateurs, que des fournisseurs et régulateurs : Sont-elles lues ? Quelles clauses paraissent critiques pour les utilisateurs ? Quelles conséquences peuvent avoir des changements fréquents sur les CGU ? Quelles régulations sont possibles aujourd’hui ?

Souvent peu lues ou juste survolées, les conditions générales d’utilisations représentent aujourd’hui une mince zone d’échange possible entre utilisateurs et fournisseurs d’API et reflètent souvent des interactions asymétriques :

• Du côté des utilisateurs, les conditions générales d’utilisations restent souvent méconnues avec un manque de soutien pour aider à leur compréhension juridique. Leurs mises à jour fréquentes rendent difficile leur lisibilité et peuvent être critiques en fonction des clauses modifiées (utilisation des données, niveau assuré de services, etc.). Par ailleurs, accéder même aux API relève parfois du parcours du combattant, comme cela peut-être le cas en recherche académique ou des demandes d’utilisation d’API sont refusées sans explication (dépôt de dossier à Facebook, Twitter, etc.).
• Pour des fournisseurs d’API, hormis les grandes plateformes bien loties en termes de services juridiques, les CGU restent souvent complexes à rédiger pour des petites et moyennes entreprises développant des services (sur des API, ou à partir des API).

Dans le cadre du projet APIToS, mieux comprendre ces frictions est un moyen d’agir sur ces espaces charnières pour bâtir des rapports plus équilibrés entre différentes parties prenantes dans des écosystèmes complexes de services, de plateformes et d’infrastructures. Restent à construire les briques nécessaires à cette ambition.

Pour cela, nous nous sommes intéressés plus précisément aux modalités de standardisation possibles des conditions générales d’utilisation pour les rendre plus facilement compréhensibles et lisibles. À la croisée entre droit et design (legal design), nous avons exploré diverses initiatives innovantes concernant les API (API Rating Agency qui mesure la performance de différentes API et de leurs services sous-jacents, API Terms of Service Generator dans le cadre juridique suedois) ou les conditions générales d’utilisation (à l’image de ToS;DR ou bien de l’initiative gouvernementale récente Open Terms Archive pour suivre l’évolution des conditions de service). Le modèle Creative Commons a été également une source majeure d’inspiration à l’initiative du projet afin de réfléchir à l’implémentation de modèles-types d’API facilement compréhensibles par tout un chacun mais aussi par des machines (machine-readable).

Les entretiens menés dans la première phase de l’étude, outre le fait de faire ressortir les points de tension mentionnés ci-dessus (relations asymétriques, manque de communication, difficulté de lecture des CGU, etc.) nous ont offert la possibilité d’affiner quelques pistes de solutions possibles pour faciliter leur lisibilité et leurs rôles de contrat « de confiance » plutôt que de défiance. Pour la deuxième phase du projet, nous vous proposons de donner votre avis par le bias d’un court questionnaire.

Questionnaire : partagez vos pratiques et votre avis

Le questionnaire vous prendra 10 à 15 minutes et s’adresse aussi bien aux utilisateurs d’API, aux fournisseurs ou autres acteurs engagés dans leur régulation. L’objectif est de mieux comprendre votre usage des CGU et de recueillir votre opinion sur les pistes explorées pour rendre les conditions d’utilisation des API plus transparentes et bénéfiques pour des infrastructures plus équitables.

Participez au questionnaire jusqu’au 30 mars 2022.

Suite aux réponses au questionnaire, une dernière étape consistera en un focus group pour affiner les prototypes de cadre sélectionnés. N’hésitez pas à nous contacter si vous êtes intéressés (contact@apitos.org).

[1] Le projet propose une classification en différents niveaux de CGU, allant du vert pour des services équitables et respectueux des droits des utilisateurs et de leurs données jusqu’au rouge pour ceux posant de sérieuses inquiétudes.

[2] Par exemple, en 2013 puis en 2018, Twitter a porté un coup à tout son écosystème d’applications en modifiant brusquement les conditions de service des API. Même si le PDG Jack Dorsey s’est excusé et a déclaré vouloir une meilleure relation avec les développeurs en 2015, les mises à jour de ces platformes ont déstabilisé les écosystèmes existants.

[3] L’effort par exemple d’accéder aux publications scientifiques en libre accès est limité aujourd’hui par des restrictions de droits à l’usage des API d’éditeurs scientifiques qui aposent un copyright sur les résultats de sortie de leur API (text and data mining).