Se connecterCommencer gratuitement
DocsSécuritéExport RGPD

Export RGPD

Déclenchez l'export portable des données de votre espace de travail (RGPD article 20) via une seule requête API, puis récupérez l'archive depuis une URL signée à durée de vie limitée.

Sécurité3 min de lectureMis à jour le 10 juin 2026
Télécharger en PDF

L'export RGPD vous permet de récupérer, sous forme structurée et lisible par machine, l'ensemble des données personnelles et opérationnelles rattachées à votre espace de travail Coffrify. Il répond à l'obligation de portabilité prévue par l'article 20 du RGPD et constitue la brique technique d'une demande d'accès (article 15) lorsque vous devez fournir une copie des données à une personne concernée. Tout se déclenche par une seule requête authentifiée ; Coffrify rassemble les données et vous renvoie une URL de téléchargement à durée de vie limitée.

Déclencher un export

POST/v1/gdpr/exportGénère un export portable des données de l'espace de travail et renvoie un identifiant d'export ainsi qu'une URL de téléchargement temporaire.

La requête ne prend aucun paramètre obligatoire : l'export porte toujours sur l'espace de travail associé à la clé utilisée. Envoyez simplement un POST avec votre clé en en-tête Authorization. Comme pour toute écriture, vous pouvez joindre un en-tête Idempotency-Key (8 à 255 caractères) afin qu'un rejeu accidentel ne relance pas l'opération ; un rejeu détecté renvoie l'en-tête X-Coffrify-Idempotent-Replay: true et la réponse d'origine.

import { Coffrify } from '@coffrify/sdk';
 
const coffrify = new Coffrify({ apiKey: process.env.COFFRIFY_API_KEY });
 
const exp = await coffrify.gdpr.export.create({
  idempotencyKey: 'gdpr-export-2026-06-10',
});
 
console.log(exp.export_id); // gdprx_...
console.log(exp.url);       // URL de téléchargement signée
console.log(exp.expires_at);

La réponse confirme la création de l'export et fournit le lien de récupération :

{
  "export_id": "gdprx_3f1c9a2b7e",
  "url": "https://api.coffrify.com/v1/gdpr/exports/gdprx_3f1c9a2b7e/download?token=...",
  "expires_at": "2026-06-10T14:32:00Z"
}
ChampTypeDescription
export_idstringIdentifiant unique de l'export, préfixé gdprx_. Sert de référence dans vos journaux et auprès de la personne concernée.
urlstringURL signée vers l'archive. À usage privé : elle suffit à télécharger sans en-tête d'authentification supplémentaire.
expires_atstring (ISO 8601)Date d'expiration du lien. Passé ce délai, l'URL n'est plus valide et un nouvel export doit être déclenché.

Récupérer l'archive

Le champ url pointe vers une archive signée. Téléchargez-la directement avec un simple GET, sans rejouer votre clé API : le jeton intégré à l'URL autorise l'accès. Faites-le avant la date expires_at, car le lien est volontairement éphémère.

$ curl -L -o coffrify-export.zip \
    "https://api.coffrify.com/v1/gdpr/exports/gdprx_3f1c9a2b7e/download?token=..."
$ unzip -l coffrify-export.zip

L'archive regroupe les données de l'espace de travail : profil du titulaire, transferts et métadonnées de fichiers (noms, tailles, types, dates), journaux de téléchargement, journal d'audit, webhooks, clés API (sans aucun secret) et préférences. Les contenus de fichiers chiffrés ne sont pas inclus dans ce manifeste : il s'agit d'un export de données et de métadonnées, pas d'une copie des octets stockés.

Cas d'usage : répondre à une demande d'accès

Lorsqu'une personne concernée exerce son droit d'accès (article 15), vous devez lui transmettre une copie de ses données dans un délai d'un mois. L'export RGPD industrialise cette réponse : vous déclenchez l'export, vous récupérez l'archive, puis vous la communiquez par un canal sûr en conservant l'export_id comme preuve de traitement dans votre registre.

  1. Réceptionnez la demande et vérifiez l'identité du demandeur selon votre procédure interne.
  2. Appelez POST /v1/gdpr/export avec une clé portant le scope gdpr:export (et le mfa_code si demandé).
  3. Téléchargez l'archive via l'url avant expires_at.
  4. Transmettez la copie à la personne concernée et journalisez l'export_id ainsi que la date.
  5. Si le lien a expiré avant la transmission, relancez simplement un nouvel export.

Bonnes pratiques

  • Déclenchez l'export depuis un environnement serveur : la clé portant gdpr:export ne doit jamais être exposée côté navigateur.
  • Privilégiez une clé restreinte (cof_rk_) limitée au scope gdpr:export plutôt qu'une clé pleine, pour appliquer le moindre privilège.
  • Traitez l'url comme une donnée sensible : ne la consignez pas en clair et ne la partagez pas au delà du strict nécessaire.
  • Téléchargez sans tarder : le lien expire à expires_at. Au delà, un nouvel appel est requis.
  • Joignez un Idempotency-Key pour qu'un rejeu réseau ne relance pas inutilement l'opération.
Cette page vous a-t-elle aidé ?
Anonyme, dédupliqué 24h par signature locale.
← PrécédentExiger un code à usage uniqueSuivant →Suppression et DSAR