Déposer une demande d'accès RGPD (Art. 15)

Enregistre une demande de droit d'accès RGPD (Art. 15) pour le propriétaire du workspace afin qu'une copie de ses données personnelles lui soit fournie.

2 min de lectureTélécharger en PDF

Requête exemple

{}

Réponse exemple

{
  "due_at": "2026-07-05T10:24:11.482Z",
  "object": "gdpr_access_request",
  "dpo_email": "legal@coffrify.com",
  "next_steps": [
    "Your request has been recorded and assigned a reference",
    "A copy of your personal data will be provided within 30 days",
    "You can also retrieve a structured export immediately via /v1/gdpr/export",
    "Questions : contact legal@coffrify.com"
  ],
  "requested_at": "2026-06-05T10:24:11.482Z",
  "workspace_id": "ws_3f9a1c2e7b",
  "workspace_name": "Cabinet Durand & Associés"
}

Cette route dépose une demande de droit d'accès au sens de l'article 15 du RGPD pour le propriétaire (owner_id) du workspace authentifié. Une demande d'accès est une demande de réception d'une copie de ses données personnelles. L'endpoint enregistre une vraie ligne d'intake DSAR dans la console RGPD/DSAR de l'administration afin qu'un humain puisse la traiter : la copie réelle est produite et délivrée par les équipes, exactement comme le flux d'intake de suppression. L'archive n'est pas streamée ici ; pour récupérer immédiatement un export structuré, utilisez plutôt `/v1/gdpr/export`. La réponse est renvoyée avec un statut HTTP 202 Accepted.

Authentification

Nécessite une clé API valide disposant du scope gdpr:request. Une clé sans ce scope reçoit une erreur scope_missing (HTTP 403). La demande s'applique toujours au propriétaire du workspace résolu à partir de la clé : aucun identifiant d'utilisateur n'est accepté dans le corps.

Corps de la requête

Cet endpoint n'attend aucun champ dans le corps de la requête. Le propriétaire et le workspace concernés sont entièrement déterminés par la clé API. Vous pouvez envoyer un corps vide ou un objet JSON vide.

Champ	Type	Requis	Description
(aucun)	—	Non	Aucun paramètre de corps n'est lu ni requis. Le sujet de la demande est le propriétaire du workspace authentifié.

Réponse

Renvoie un objet gdpr_access_request. Les champs clés : `object` vaut gdpr_access_request ; `workspace_id` et `workspace_name` identifient le workspace ; `requested_at` est l'horodatage ISO 8601 de l'enregistrement ; `due_at` indique l'échéance légale (30 jours après la demande) ; `next_steps` est un tableau d'étapes en clair pour le demandeur ; `dpo_email` fournit l'adresse de contact du DPO (par défaut legal@coffrify.com). L'opération est aussi tracée dans le journal d'audit (gdpr.access_requested).

Erreurs

Code	Quand	Résolution
missing_api_key (401)	Aucun en-tête Authorization fourni	Envoyez `Authorization: Bearer cof_live_...`
invalid_api_key (401)	Clé invalide, introuvable ou format incorrect	Vérifiez la clé et son préfixe (`cof_live_` / `cof_test_`)
revoked_api_key (401)	Clé révoquée ou désactivée	Générez une nouvelle clé API
expired_api_key (401)	Clé expirée	Générez une nouvelle clé API
scope_missing (403)	La clé ne possède pas le scope `gdpr:request`	Ajoutez le scope `gdpr:request` à la clé
not_found (404)	Le propriétaire du workspace est introuvable	Vérifiez que le workspace a bien un propriétaire (`owner_id`)
rate_limited (429)	Quota de requêtes par minute dépassé	Respectez l'en-tête `Retry-After` avant de réessayer
internal_error (500)	Erreur serveur inattendue	Réessayez et conservez le `request_id` pour le support

Voir aussi

POST/v1/gdpr/exportGénère immédiatement un export structuré des données du workspace (Art. 20).

POST /v1/gdpr/export : copie portable et téléchargeable des données (RGPD Art. 20).
GET /v1/audit : retrouve l'entrée d'audit gdpr.access_requested générée par cette demande.
POST /v1/gdpr/erase : flux d'intake équivalent pour le droit à l'effacement (Art. 17).