Passer au contenu principal
Les Request Logs capturent le corps complet de la requête et de la réponse — le texte du prompt inclus — afin que vous puissiez dépanner ce qu’un agent a réellement envoyé et reçu en retour. Ce sont des données sensibles, donc la passerelle ne les capture pas tant qu’un Admin de l’espace de travail n’a pas enregistré un consentement explicite. Cette page couvre comment ce consentement est enregistré, comment le versionnage force une nouvelle décision quand le libellé de votre divulgation change, et comment le retirer. Si vous cherchez combien de temps les corps capturés sont conservés ou comment les purger, voir Rétention et Droit à l’effacement.

1. Pourquoi le consentement aux logs de requêtes garde la capture

La capture est désactivée par défaut et jamais rétroactive. L’activer est un acte délibéré avec une piste d’audit, parce que les documents capturés contiennent tout ce que vos utilisateurs ont tapé. Le contrôle est au niveau de l’espace de travail : un Admin le configure une fois et il s’applique à chaque clé de l’espace de travail, plutôt que de laisser les clés de deux membres se comporter différemment pour les mêmes logs stockés.
La capture échoue de manière fail-closed. Si aucun consentement valide, non révoqué et de version actuelle n’est consigné, la passerelle ne capture rien — que l’interrupteur d’activation paraisse « activé » ou non. Le consentement est la barrière qui fait autorité ; le toggle seul ne démarre jamais la capture.
Un enregistrement de consentement est un objet durable et auditable. Il porte qui a consenti, quand, la version de divulgation qu’il a vue, et — une fois retiré — quand il a été révoqué : 
{
  "consented": true,
  "consented_at": "2026-06-09T14:21:05Z",
  "consented_by": 8123,
  "disclosure_version": 1,
  "revoked": false
}

2. Enregistrer le consentement (Admin)

Vous configurez ceci dans la console sous le panneau de réglages des Request Logs de votre espace de travail — lire l’état actuel est ouvert à tout rôle de l’espace de travail, mais enregistrer ou changer le consentement requiert le rôle Admin. Le panneau vous montre la version de divulgation actuelle et les bornes de rétention afin que vous puissiez relire le libellé avant d’acquiescer. Lorsque vous activez la capture, la console envoie l’acquiescement explicite avec la version de divulgation qu’elle a affichée. Les deux sont requis la première fois :
1

Ouvrez les réglages des Request Logs

Réglages de l’espace de travail → Request Logs. Les Members voient le panneau en lecture seule ; les Admins voient les contrôles éditables et le texte de divulgation.
2

Lisez la divulgation, puis acquiescez

La console soumet consent_ack: true et consent_version (la version que vous venez de lire) à côté de l’interrupteur enabled. L’octroi est rejeté si la version que vous avez acquiescée n’est pas l’actuelle du serveur — cela signifie qu’on vous a montré un libellé périmé.
3

La capture commence à la requête suivante

La décision prend effet au prochain appel de relais de l’espace de travail. L’octroi est enregistré distinctement dans le log d’audit — un enregistrement autonome de qui a consenti à capturer le contenu du prompt, séparé du toggle on/off.
Le consentement est enregistré pour le compte de tout l’espace de travail par un Admin. Les Admins de l’espace de travail voient déjà les prompts capturés de chaque membre dans le viewer des Request Logs, donc la décision de consentement leur revient — assurez-vous que vos propres divulgations auprès des utilisateurs finaux la couvrent.

3. Versionnage de la divulgation

Le but du versionnage du request log consent est qu’un consentement ne reste valide que tant qu’il correspond à la version de divulgation actuelle. Chaque enregistrement de consentement stocke la disclosure_version qui était en vigueur lorsqu’il a été octroyé. La passerelle traite un enregistrement comme autorisant la capture seulement tant que cette version stockée égale encore celle en direct. Lorsque le libellé de votre confidentialité ou de votre divulgation change de façon substantielle, la version de divulgation en direct est incrémentée. L’effet est immédiat et délibéré :
Une incrémentation rend la disclosure_version de chaque enregistrement existant périmée. Aucun d’eux n’autorise plus la capture.
Le point d’étranglement de la capture échoue de manière fail-closed : les espaces de travail dont le consentement vient de devenir périmé cessent de capturer les corps de prompt immédiatement, sans repli. Ils ne continuent pas d’enregistrer sous un consentement retiré.
Un Admin rouvre le panneau, lit la nouvelle divulgation, et réacquiesce à la version actuelle. Un enregistrement frais est estampillé et la capture reprend.
Parce que le versionnage est le levier, vous n’avez jamais à traquer des enregistrements individuels pour invalider un consentement périmé à travers votre espace de travail — incrémenter la version de divulgation le fait en un seul geste, et la capture se met en pause jusqu’à ce que chaque espace de travail prenne une nouvelle décision explicite.

4. Retirer le consentement

Désactiver la capture retire explicitement le consentement. L’enregistrement n’est pas supprimé — il est marqué révoqué (avec un horodatage revoked_at) et conservé pour la piste d’audit, de sorte que l’historique de qui a consenti et qui a retiré reste prouvable. Le réactiver plus tard requiert un nouvel acquiescement ; un enregistrement révoqué ne réautorise jamais la capture de lui-même.
Consentement stockéCapture
Valide, version actuelleAutorisée
RévoquéNon autorisée
Version de divulgation périméeNon autorisée
Aucun consignéNon autorisée
Le retrait arrête la capture future. Pour retirer les corps déjà capturés, définissez une fenêtre de rétention plus courte ou déclenchez l’effacement — voir Rétention et Droit à l’effacement.

5. La piste d’audit

Chaque transition de consentement est journalisée distinctement du toggle on/off de la capture, de sorte que l’octroi et le retrait sont chacun leur propre enregistrement prouvable de qui a agi et quand. Un octroi journalise la version de divulgation qui a été acquiescée ; un retrait journalise la révocation. C’est la preuve que lisent vos rapports de conformité lorsqu’ils attestent que la capture de prompts n’a tourné que sous un consentement enregistré — voir comment cela remonte dans Exporter les preuves.
La capture elle-même respecte vos bornes de rétention indépendamment du consentement : la fenêtre par défaut est de 30 jours et une valeur par espace de travail définie par un Admin est bornée par le serveur à un maximum strict de 180 jours. Le consentement gouverne si la capture a lieu ; la rétention gouverne combien de temps ce qui a été capturé survit.

6. Où aller ensuite

Rétention

Combien de temps vivent les corps capturés, la fenêtre par espace de travail, et le maximum borné par le serveur.

Droit à l'effacement

L’auto-suppression, la fenêtre de grâce, et la cascade qui purge les prompts capturés et les correspondances.

Résidence des données

La région sous laquelle vos preuves de conformité signées sont estampillées et stockées.

Responsabilité partagée

Ce que la passerelle enregistre et audite versus les divulgations et décisions qui restent les vôtres.
Le consentement sur la passerelle est enregistré, versionné et révocable — de sorte que capturer le contenu d’un prompt est toujours une décision délibérée et actuelle qu’un Admin peut prouver avoir prise, et qui se met elle-même en pause dès que la divulgation derrière elle change.