⚖️

Gérer les consentements et droits d'accès RGPD via l'API

Interrogez le journal de consentements de votre espace de travail, vérifiez l'état d'acceptation de vos documents juridiques et déposez une demande d'accès RGPD (Art. 15) directement via l'API Coffrify.

Télécharger en PDF

L'API Coffrify expose trois routes dédiées à la conformité RGPD au sein d'un espace de travail. `GET /v1/gdpr/consents` retourne le journal d'audit filtré sur les événements consent.*, ce qui vous permet de prouver qu'un consentement a bien été recueilli et à quelle date. `GET /v1/gdpr/acceptances` croise ce journal avec la liste des documents juridiques publiés (CGU, politique de confidentialité, etc.) pour indiquer si chaque document a été accepté dans sa version courante. Enfin, `POST /v1/gdpr/access` dépose une demande de droit d'accès (Art. 15) dans la console DSAR de Coffrify : une entrée de type access est créée dans coffrify_gdpr_requests et l'équipe dispose de 30 jours pour y répondre. Ces trois endpoints sont réservés aux clés Ultra disposant des scopes appropriés.

GET/v1/gdpr/consentsRetourne le journal d'audit filtré sur les actions consent.* pour l'espace de travail (endpoint coûteux, quota expensive).GET/v1/gdpr/acceptancesRetourne la liste des documents juridiques publiés avec, pour chacun, la version et la date d'acceptation enregistrées dans l'audit log.POST/v1/gdpr/accessDépose une demande de droit d'accès RGPD (Art. 15) dans la console DSAR. Renvoie 202 et une référence de suivi.

Authentification

Les trois endpoints nécessitent une clé API passée dans l'en-tête Authorization: Bearer <clé>. Utilisez une clé de production (cof_live_…) ou de sandbox (cof_sandbox_…) selon votre environnement. En test, cof_test_… est accepté. - GET /v1/gdpr/consents et GET /v1/gdpr/acceptances requièrent le scope gdpr:export. - POST /v1/gdpr/access requiert le scope gdpr:request. Ces scopes sont disponibles uniquement sur le plan Ultra. Toute requête avec une clé sans le scope adéquat reçoit 403 scope_missing.

La lecture du journal de consentements accepte des filtres et la pagination. Le tableau ci-dessous détaille les paramètres acceptés.

Paramètre	Type	Défaut	Description
limit	integer	100	Nombre maximum d'entrées retournées. Valeur min : 1, max : 500.

Exemples d'appel

Les exemples ci-dessous lisent les consentements, vérifient les acceptations, puis déposent une demande de droit d'accès. Choisissez votre langage.

# Journal de consentements
curl -s https://api.coffrify.com/api/v1/gdpr/consents?limit=50 \
  -H "Authorization: Bearer cof_live_xxxxxxxxxxxxxxxxxxxx"
 
# État des acceptations juridiques
curl -s https://api.coffrify.com/api/v1/gdpr/acceptances \
  -H "Authorization: Bearer cof_live_xxxxxxxxxxxxxxxxxxxx"
 
# Déposer une demande de droit d'accès (Art. 15)
curl -s -X POST https://api.coffrify.com/api/v1/gdpr/access \
  -H "Authorization: Bearer cof_live_xxxxxxxxxxxxxxxxxxxx" \
  -H "Content-Type: application/json"

Réponses

Voici les formes de réponse réelles retournées par chaque endpoint.

// GET /v1/gdpr/consents
{
  "object": "list",
  "data": [
    {
      "id": "aud_01HXYZ",
      "action": "consent.granted",
      "actor_id": "usr_abc",
      "resource_type": "workspace",
      "metadata": { "purpose": "marketing" },
      "created_at": "2026-05-20T14:32:00.000Z"
    }
  ],
  "limit": 50
}
 
// GET /v1/gdpr/acceptances
{
  "object": "list",
  "data": [
    {
      "slug": "terms-of-service",
      "title": "Conditions Générales d'Utilisation",
      "current_version": "3.0",
      "effective_date": "2026-04-01",
      "accepted_version": "3.0",
      "accepted_at": "2026-04-05T09:10:00.000Z",
      "up_to_date": true
    },
    {
      "slug": "privacy-policy",
      "title": "Politique de Confidentialité",
      "current_version": "2.1",
      "effective_date": "2026-05-15",
      "accepted_version": "2.0",
      "accepted_at": "2026-03-01T11:00:00.000Z",
      "up_to_date": false
    }
  ],
  "summary": {
    "total_documents": 2,
    "accepted_up_to_date": 1,
    "acceptance_outdated": 1,
    "never_accepted": 0
  }
}
 
// POST /v1/gdpr/access  →  HTTP 202
{
  "object": "gdpr_access_request",
  "workspace_id": "ws_01HXYZ",
  "workspace_name": "Acme Corp",
  "requested_at": "2026-06-06T10:00:00.000Z",
  "due_at": "2026-07-06T10:00:00.000Z",
  "next_steps": [
    "Your request has been recorded and assigned a reference",
    "A copy of your personal data will be provided within 30 days",
    "You can also retrieve a structured export immediately via /v1/gdpr/export",
    "Questions : contact legal@coffrify.com"
  ],
  "dpo_email": "legal@coffrify.com"
}

Erreurs

Les erreurs portent surtout sur le scope manquant ou un endpoint coûteux dépassant le quota (expensive). Le tableau ci-dessous indique la résolution.

Code HTTP	Code erreur	Quand	Résolution
401	missing_api_key	En-tête Authorization absent.	Ajoutez `Authorization: Bearer cof_live_…` à chaque requête.
401	invalid_api_key	Clé malformée ou inconnue.	Vérifiez que la clé commence par `cof_live_`, `cof_sandbox_` ou `cof_test_`.
401	revoked_api_key	Clé révoquée depuis la console.	Régénérez une clé dans Coffrify > Paramètres > Clés API.
403	scope_missing	La clé ne possède pas le scope `gdpr:export` ou `gdpr:request`.	Régénérez ou mettez à jour la clé avec le scope manquant (plan Ultra requis).
404	not_found	L'espace de travail ou son propriétaire est introuvable.	Vérifiez que la clé appartient bien à un workspace actif.
429	rate_limited	Quota de la classe `expensive` (consents/acceptances) ou `write` (access) dépassé.	Consultez l'en-tête `Retry-After` et relancez la requête après ce délai.
500	internal_error	Erreur interne, l'RPC d'audit peut être indisponible.	Réessayez ; pour `/consents`, l'API répond `data: []` si l'RPC est absent.

Bonnes pratiques RGPD

1. Archivez le journal de consentements régulièrement : appelez GET /v1/gdpr/consents?limit=500 chaque semaine et stockez les résultats dans votre système de gestion documentaire. Le journal est filtré côté serveur sur consent.* ; ne filtrez pas à nouveau côté client pour éviter de masquer des entrées. 2. Surveillez `up_to_date` sur les acceptances : si un document retourne up_to_date: false, l'utilisateur doit re-signer avant d'accéder aux fonctionnalités sensibles. Intégrez ce contrôle dans votre flux d'onboarding. 3. Ne déposez qu'une seule demande d'accès ouverte : l'endpoint /v1/gdpr/access déduplique automatiquement les demandes pending ou in_progress. Inutile d'appeler le endpoint plusieurs fois : une réponse 202 sans nouvelle entrée signifie qu'une demande est déjà en cours. 4. Utilisez `/v1/gdpr/export` pour l'export immédiat : la demande d'accès Art. 15 est un processus humain (30 jours). Si vous avez besoin d'une archive structurée immédiatement (portabilité Art. 20), utilisez POST /v1/gdpr/export avec le scope gdpr:export. 5. Clés de production uniquement pour les demandes RGPD : les demandes DSAR créées via cof_test_… ou cof_sandbox_… peuvent ne pas être traitées par l'équipe juridique. Utilisez toujours cof_live_… pour les flux de conformité réels.

Voir aussi

Export de données RGPD (Art. 20)
Demande de suppression RGPD (Art. 17)
Journal d'audit de l'espace de travail
Référence complète RGPD
Gestion des clés API et des scopes

Continuer

Autres tutoriels à suivre

📥Recevoir des fichiers en 5 min (no-code)→🚀Construire un agent qui crée et livre des transferts automatiquement→✅Implémenter un workflow d'approbation de transfert→