Durées de conservation

Coffrify expose deux points de terminaison RGPD en lecture seule qui vous permettent de connaître, par programmation, combien de temps vos données sont conservées et quels consentements sont enregistrés pour votre espace de travail. GET /v1/gdpr/retention retourne les politiques de conservation appliquées aux différentes catégories de données, tandis que GET /v1/gdpr/consents retourne l'état des consentements (par exemple le traitement par des sous-traitants ou les communications). Ces deux appels sont purement consultatifs : ils ne modifient rien et ne déclenchent aucune opération.

Toutes les données sont hébergées dans l'Union européenne. Les transferts et coffres sont chiffrés au repos en AES-256-GCM côté serveur par défaut. Lorsque le mode de bout en bout est activé, la clé reste chez vous et le serveur ne lit pas le contenu : les politiques de conservation portent alors uniquement sur les métadonnées et les enregistrements associés, jamais sur le contenu déchiffré.

Politiques de conservation

Le point de terminaison de conservation retourne la liste des règles appliquées à votre espace de travail, catégorie par catégorie. Chaque règle indique combien de temps une catégorie de données est conservée avant suppression ou anonymisation.

import { Coffrify } from '@coffrify/sdk';
 
const coffrify = new Coffrify({ apiKey: process.env.COFFRIFY_API_KEY });
 
const retention = await coffrify.gdpr.retention();
console.log(retention);

La réponse décrit chaque catégorie de données (transferts, coffres, journaux d'audit, etc.) ainsi que la durée appliquée. Lisez les durées comme des règles en vigueur au moment de l'appel : elles peuvent évoluer si la configuration de votre espace de travail change.

{
  "policies": [
    {
      "category": "transfers",
      "description": "Transferts et leurs fichiers",
      "retention_days": 30
    },
    {
      "category": "audit_logs",
      "description": "Journaux d'audit",
      "retention_days": 365
    }
  ]
}

État des consentements

Le point de terminaison de consentements retourne l'état des consentements enregistrés pour votre espace de travail. Vous y retrouvez, par type de consentement, s'il est accordé ou non, et le cas échéant la date de la dernière mise à jour.

import { Coffrify } from '@coffrify/sdk';
 
const coffrify = new Coffrify({ apiKey: process.env.COFFRIFY_API_KEY });
 
const consents = await coffrify.gdpr.consents();
console.log(consents);

{
  "consents": [
    {
      "type": "subprocessors",
      "granted": true,
      "updated_at": "2026-01-12T09:30:00Z"
    },
    {
      "type": "product_emails",
      "granted": false,
      "updated_at": "2026-01-12T09:30:00Z"
    }
  ]
}

Les types retournés dépendent de la configuration de votre espace de travail. Traitez ce point de terminaison comme la source de référence pour afficher l'état des consentements dans vos propres interfaces, ou pour le vérifier avant un traitement qui en dépend.

Gérer les erreurs

Comme tous les points de terminaison de l'API, ces deux appels renvoient un objet d'erreur normalisé en cas de problème. Un scope manquant produit une erreur dont vous pouvez exploiter le code et le request_id, ce dernier étant utile pour toute demande d'assistance.

{
  "error": {
    "code": "insufficient_scope",
    "message": "Le scope gdpr:export est requis.",
    "request_id": "req_3f8a21c9"
  }
}

Pour aller plus loin, ces deux appels en lecture seule se combinent avec les autres opérations RGPD : GET /v1/gdpr/access pour un aperçu des données accessibles, POST /v1/gdpr/export pour produire un export complet et POST /v1/gdpr/deletion pour demander une suppression. La conservation et les consentements vous donnent le contexte ; l'export et la suppression vous donnent les leviers d'action.