Conditions d'Utilisation de l'API Partenaire
Dernière mise à jour : 30 mars 2026
1. Objet
Les présentes Conditions d'Utilisation de l'API Partenaire (ci-après « Conditions API ») régissent l'accès et l'utilisation de l'interface de programmation applicative (API) mise à disposition par ITICK SAS (308 rue de Charenton, 75012 Paris — RCS Paris 993 583 129) à l'adresse api.itick.fr/itick (ci-après « l'API Partenaire »).
Les présentes Conditions API complètent les Conditions Générales de Vente et les Conditions Générales d'Utilisation d'ITICK. En cas de contradiction, les présentes Conditions API prévalent pour tout ce qui concerne l'utilisation de l'API Partenaire. L'accès à l'API Partenaire implique l'acceptation sans réserve des présentes Conditions API.
2. Accès à l'API
L'accès à l'API Partenaire est subordonné à la souscription d'un forfait Entreprise et à l'obtention de clés d'API délivrées par ITICK SAS. Deux types de clés sont fournis :
- Clé sandbox — destinée aux tests et au développement, utilisable exclusivement sur l'environnement de test.
- Clé production — destinée à l'exploitation en conditions réelles, après validation de l'intégration par ITICK SAS.
Les clés d'API sont strictement confidentielles. Le partenaire s'engage à ne pas les divulguer, les partager ou les exposer dans du code source public. Toute divulgation, volontaire ou involontaire, entraîne la révocation immédiate des clés concernées. Le partenaire est responsable de la rotation régulière de ses clés et doit signaler sans délai toute compromission suspectée à contact@itick.fr.
3. Environnements
L'API Partenaire est disponible en deux environnements :
| Caractéristique | Sandbox | Production |
|---|---|---|
| Données | Données de test uniquement | Données réelles |
| Certification | Pas de Factur-X ni RFC3161 | Factur-X et horodatage RFC3161 actifs |
| Rate limit | 100 requêtes / 15 min | 1 000 requêtes / 15 min |
| SLA | Aucun | 99,5 % mensuel |
L'environnement sandbox est fourni en l'état, sans garantie de disponibilité. Il est destiné exclusivement au développement et aux tests d'intégration.
4. Limites d'utilisation
L'utilisation de l'API Partenaire est soumise aux limites de débit suivantes :
- Production : 1 000 requêtes par fenêtre de 15 minutes.
- Sandbox : 100 requêtes par fenêtre de 15 minutes.
Le dépassement des limites entraîne une réponse HTTP 429 (Too Many Requests). Le partenaire doit implémenter un mécanisme de backoff exponentiel pour gérer ces réponses.
Sont strictement interdits :
- Le scraping, le crawling ou toute collecte automatisée massive de données via l'API
- La rétro-ingénierie, la décompilation ou le désassemblage de l'API ou de ses composants
- L'utilisation de l'API à des fins de benchmarking concurrentiel sans autorisation écrite
- Le contournement des mécanismes de limitation de débit ou de sécurité
5. Disponibilité et SLA
ITICK SAS s'engage à maintenir une disponibilité mensuelle cible de 99,5 % pour l'environnement de production, calculée sur la base du temps total du mois calendaire, hors périodes de maintenance programmée.
Les opérations de maintenance programmée sont communiquées au partenaire au moins 48 heures à l'avance par email ou via le tableau de bord partenaire. Les fenêtres de maintenance sont planifiées en dehors des heures ouvrées (entre 2h00 et 6h00, heure de Paris) dans la mesure du possible.
Aucun engagement de disponibilité (SLA) ne s'applique à l'environnement sandbox. ITICK SAS ne saurait être tenue responsable des interruptions, ralentissements ou indisponibilités de l'environnement sandbox.
6. Sécurité
Toutes les communications avec l'API Partenaire doivent être effectuées exclusivement via HTTPS (TLS 1.2 minimum). Les requêtes en HTTP non chiffré sont systématiquement rejetées.
Les clés d'API sont stockées par ITICK SAS sous forme de condensat SHA-256. ITICK SAS ne conserve pas les clés en clair après leur génération initiale. Le partenaire est responsable du stockage sécurisé de ses clés.
Les URLs de webhooks fournies par le partenaire font l'objet de vérifications anti-SSRF (Server-Side Request Forgery). Les adresses IP privées, les boucles locales et les schémas non-HTTPS sont rejetés.
Le partenaire est seul responsable de la sécurité de ses propres points de terminaison (endpoints), de la gestion de l'authentification de ses utilisateurs et de la protection des données transitant par son infrastructure.
7. Webhooks
L'API Partenaire propose un système de webhooks pour notifier le partenaire en temps réel des événements survenant sur la plateforme ITICK.
Garantie de livraison : les webhooks fonctionnent selon un modèle at-least-once (au moins une fois). Le partenaire doit implémenter une logique d'idempotence pour gérer les éventuels doublons.
Politique de réessai : en cas d'échec de livraison (réponse HTTP autre que 2xx ou timeout), ITICK SAS procède à des tentatives selon un backoff exponentiel :
- 1re tentative : après 1 minute
- 2e tentative : après 5 minutes
- 3e tentative : après 30 minutes
- 4e tentative : après 2 heures
- 5e tentative : après 24 heures
Après 5 échecs consécutifs, l'événement est placé en file d'attente morte (dead letter queue). Le partenaire peut consulter et relancer les événements en échec depuis le tableau de bord partenaire.
Signature HMAC-SHA256 : chaque notification webhook est signée à l'aide d'un secret partagé via un en-tête X-ITICK-Signature. La vérification de cette signature par le partenaire est obligatoire afin de garantir l'authenticité et l'intégrité des notifications reçues.
8. Données et RGPD
Dans le cadre de l'utilisation de l'API Partenaire, le partenaire agit en qualité de sous-traitant au sens de l'article 28 du Règlement Général sur la Protection des Données (RGPD). ITICK SAS agit en qualité de responsable de traitement pour les données hébergées sur sa plateforme.
Les données personnelles traitées via l'API Partenaire sont régies par notre Politique de Confidentialité et par l'accord de traitement des données (DPA) annexé au contrat partenaire.
Durée de conservation :
- Sandbox : les données de test sont automatiquement purgées après 30 jours d'inactivité.
- Production : les données sont conservées conformément à la politique de rétention définie par l'utilisateur final et aux obligations légales applicables (notamment 10 ans pour les pièces comptables).
Le droit à l'effacement peut être exercé par le partenaire via l'endpoint DELETE /partner/data/:userId, sous réserve des obligations légales de conservation.
9. Scopes et permissions
Les clés d'API peuvent être configurées avec des scopes de permissions granulaires, conformément au principe du moindre privilège. Les scopes disponibles sont :
| Scope | Description |
|---|---|
receipts:read | Lecture des factures et reçus |
receipts:write | Création et modification de factures |
merchants:read | Lecture des informations marchands |
merchants:write | Modification des informations marchands |
webhooks:manage | Gestion des abonnements webhooks |
analytics:read | Accès aux statistiques et rapports |
api-keys:manage | Gestion des clés d'API (rotation, révocation) |
Le partenaire est tenu de ne demander que les scopes strictement nécessaires à son intégration. ITICK SAS se réserve le droit de refuser ou de révoquer des scopes jugés excessifs au regard de l'usage déclaré.
10. Propriété intellectuelle
L'API Partenaire, sa documentation, ses spécifications techniques et l'ensemble des éléments associés (marques, logos, design) sont et demeurent la propriété exclusive d'ITICK SAS. L'accès à l'API Partenaire ne confère au partenaire aucun droit de propriété intellectuelle sur ces éléments.
Le partenaire est autorisé à utiliser le badge « Powered by ITICK » conformément aux directives de marque communiquées par ITICK SAS. Toute autre utilisation des marques, logos ou éléments distinctifs d'ITICK SAS est interdite sans autorisation écrite préalable.
11. Résiliation
Le partenaire peut cesser d'utiliser l'API Partenaire à tout moment en désactivant ses clés d'API depuis le tableau de bord partenaire.
ITICK SAS se réserve le droit de révoquer l'accès à l'API Partenaire en cas de violation des présentes Conditions API, avec un préavis de 30 jours notifié par email. Ce préavis ne s'applique pas en cas de :
- Faille de sécurité avérée ou suspectée compromettant les données des utilisateurs
- Utilisation abusive ou frauduleuse de l'API
- Violation grave des obligations de confidentialité
Dans ces cas, la révocation est immédiate et ITICK SAS en informe le partenaire dans les meilleurs délais.
12. Limitation de responsabilité
La responsabilité d'ITICK SAS au titre des présentes Conditions API est limitée au montant total des sommes versées par le partenaire au cours des 12 derniers mois précédant le fait générateur, conformément aux plafonds définis dans les Conditions Générales de Vente.
ITICK SAS ne saurait être tenue responsable :
- Des dysfonctionnements, erreurs ou bugs résultant de l'intégration réalisée par le partenaire
- Des échecs de livraison de webhooks imputables à l'indisponibilité ou au dysfonctionnement des endpoints du partenaire
- Des dommages indirects, pertes de données, manques à gagner ou préjudices commerciaux
- Des interruptions de service résultant d'un cas de force majeure au sens de l'article 1218 du Code civil
13. Loi applicable et juridiction
Les présentes Conditions API sont soumises au droit français. Tout litige relatif à leur interprétation ou à leur exécution sera soumis à la compétence exclusive des tribunaux de Paris, après tentative de résolution amiable.
14. Contact
Pour toute question relative aux présentes Conditions API ou à l'intégration de l'API Partenaire : contact@itick.fr