Passer au contenu principal
Lorsque vous activez la capture des logs de requêtes pour le dépannage, vous stockez des corps de prompt et de réponse — exactement les données qu’une réglementation de confidentialité vous demande de ne pas conserver plus longtemps que nécessaire. OrcaRouter vous donne un seul cadran par espace de travail pour cela : une fenêtre de rétention avec un défaut raisonnable et un plafond strict que le serveur applique, de sorte qu’une capture que vous oubliez expire au lieu de s’accumuler indéfiniment. Cette page couvre comment ce cadran fonctionne et comment il se rattache à l’effacement. Pour l’histoire des preuves plus large, commencez par la Vue d’ensemble de la conformité.

1. Pourquoi la rétention des logs LLM compte sur une passerelle

La capture des logs de requêtes est opt-in, désactivée jusqu’à ce que vous l’activiez explicitement, et gardée derrière un acquiescement de consentement enregistré — parce que l’activer persiste le texte complet du prompt et de la réponse. Une fois activée, la question que posent les auditeurs n’est pas si vous journalisez, mais combien de temps vous le gardez. Un défaut de 30 jours garde une piste de dépannage utile ; un plafond de 180 jours appliqué par le serveur signifie qu’aucune requête client, aussi trafiquée soit-elle, ne peut conserver des corps au-delà de votre plafond de conformité.
La rétention s’applique aux logs de requêtes capturés (les corps prompt/réponse opt-in). Les enregistrements de mesure et de facturation, et les rapports de conformité signés décrits dans Rapport signé, suivent leurs propres cycles de vie — cette page concerne l’horloge des logs capturés.

2. Les deux chiffres

Défaut : 30 jours

Une capture fraîchement activée conserve les corps pendant 30 jours. Laissez le champ de rétention non défini et chaque espace de travail en hérite.

Max strict : 180 jours

Le serveur borne toute rétention demandée à 180 jours. Demandez plus et la valeur est silencieusement réduite au plafond — ce n’est pas une erreur, c’est un plafond.
Le plafond strict est de 180 jours : une valeur au-dessus de 180 plafonne à 180, et une valeur de 0 (ou non définie) signifie hériter du défaut — qui se résout à 30 jours. Les défauts et le plafond en direct sont lisibles depuis la charge utile de statut publique afin qu’un panneau de réglages puisse rendre les bonnes bornes : 
GET /api/status
La réponse porte request_log_default_retention_days, request_log_max_retention_days, et request_log_default_enabled — les bornes effectives que votre console lit avant de montrer le champ.

3. Définir la rétention (un flux concret)

La rétention est un réglage d’espace de travail, configuré depuis la console sous Settings → Privacy. Tout membre peut le lire ; le changer requiert le rôle Admin de l’espace de travail. La console pilote cette route de gestion avec votre session (une route UserAuth — pas une clé de relais), de sorte que vous ne mettez jamais une clé sk-orca-... dans un appel de réglages : 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Quelques règles que le serveur applique sur cet appel :
request_log_enabled est un toggle de type pointeur. Omettez-le et la valeur stockée est laissée intacte ; envoyez true/false pour la faire transitionner. Activer la capture requiert un acquiescement de consentement actuel et non révoqué — l’enregistrement de consentement fait autorité côté serveur et n’est jamais lu depuis le JSON client. Voir Consentement.
request_log_retention_days est un entier en jours entiers, borné à [1, 180]. Un 0 signifie « laisser la valeur existante » (ou hériter du défaut système en aval) ; 200 devient 180.
Il n’y a rien à exécuter sur un planning. Les corps capturés au-delà de la fenêtre de rétention sont retirés par la passerelle ; vous configurez la fenêtre, la passerelle l’applique.
La posture la moins risquée est l’évidente : laissez la capture désactivée sauf si vous dépannez activement, et quand vous l’activez, définissez la rétention la plus courte qui couvre encore votre boucle de débogage. Le défaut de 30 jours est déjà conservateur.

4. Rétention vs. effacement

La rétention fait expirer les logs capturés dans le cours ordinaire. L’effacement est le chemin à la demande pour une demande d’accès de personne concernée (DSAR) ou une fermeture de compte — et il va plus loin que l’horloge des logs :
DéclencheurFenêtreEnsuite
Log capturé au-delà de la rétentionjusqu’à 180 jourslog retiré
Auto-suppression de comptegrâce de 30 jourspurge des PII + cascade
Une auto-suppression supprime de façon douce le compte immédiatement et planifie une purge irréversible des PII pour 30 jours plus tard. Pendant cette fenêtre de grâce, le compte peut encore être restauré et ses données exportées ; une fois la fenêtre fermée, la purge s’exécute et la cascade purge les logs de requêtes, les correspondances de guardrail, les événements firewall et les nœuds de trace d’agent liés au sujet. Le droit à l’effacement n’est donc pas un réglage de rétention séparé — c’est une purge plus forte, initiée par le sujet, qui prime sur la fenêtre temporelle.
La grâce de suppression de 30 jours est une fenêtre de récupération, pas de la rétention de logs supplémentaire. Les données à l’intérieur sont supprimées de façon douce et exportables, mais elles sont sur un chemin à sens unique vers la purge. Planifiez les exports avant que la fenêtre ne se ferme.
Voir Droit à l’effacement pour les mécaniques DSAR complètes — grâce, purge, et ce que la cascade touche.

5. Comment cela satisfait un framework

La plupart des régimes de confidentialité demandent deux choses démontrables : une période de rétention définie et un chemin d’effacement fonctionnel. Le cadran de rétention et la cascade de suppression sont exactement ces deux contrôles, et un pack de conformité les fait correspondre aux preuves du framework de sorte qu’un rapport puisse en lire l’état. Installez un pack et le même comportement de rétention et d’effacement est référencé dans votre vue de readiness — aucune configuration séparée.

Installer un pack

Matérialisez les contrôles d’un framework ; la rétention et l’effacement font partie de l’histoire de confidentialité qu’il attend.

Frameworks

Le catalogue en direct — GDPR, CCPA, HIPAA, et les régimes de confidentialité régionaux qui fixent la rétention.

6. Où cela s’inscrit

Droit à l'effacement

L’auto-suppression, la grâce de 30 jours, la purge des PII, et la cascade de purge.

Consentement

L’acquiescement enregistré requis avant que la capture des logs de requêtes ne s’active.

Résidence des données

Où les preuves de conformité signées sont stockées et servies — un contrôle de région distinct de la rétention.

Responsabilité partagée

La passerelle applique la rétention que vous définissez ; choisir la fenêtre et le rythme d’effacement reste le vôtre.
La rétention sur OrcaRouter est un seul cadran honnête avec un défaut et un plafond strict : activez la capture seulement quand vous en avez besoin, gardez la fenêtre courte, et laissez la passerelle faire expirer les corps — avec l’effacement en attente pour le moment où un sujet vous demande de l’oublier entièrement.