Passer au contenu principal
Lorsqu’une personne concernée invoque son droit à l’oubli, vous avez besoin de deux choses : une copie portable de ses données, et une suppression irréversible qui atteint réellement chaque surface que son activité a touchée — pas seulement la ligne utilisateur. OrcaRouter rend les deux en libre-service. Un compte connecté peut exporter ses propres données et planifier sa propre suppression ; la suppression s’exécute comme une fenêtre de grâce de 30 jours suivie d’une purge des PII qui élimine en cascade les enregistrements d’observabilité liés à ce compte. Cette page couvre le flux d’effacement observable par le client. Pour l’endroit où vivent les artefacts de preuves, voir Résidence des données ; pour combien de temps les logs de requêtes persistent indépendamment de l’effacement, voir Rétention.

1. Effacement GDPR LLM : le flux DSAR en libre-service

Trois actions de console couvrent une demande d’accès de personne concernée de bout en bout. Chacune est une route UserAuth sous /api/user/* — pilotée par votre session console, jamais une clé de relais sk-orca-… :

Exporter

Téléchargez une copie JSON portable de vos données personnelles avant de supprimer.

Supprimer

Suppression douce immédiate ; planifiez la purge irréversible pour +30 jours.

Annuler

Restaurez le compte à tout moment à l’intérieur de la fenêtre de grâce.
L’export est la portabilité des données — la moitié accès d’un DSAR. La suppression est la moitié effacement. Exécutez d’abord l’export ; une fois la purge déclenchée, il ne reste plus rien à exporter.

2. Exporter vos données (un flux concret)

Depuis la console, ouvrez Account → Privacy et choisissez Export my data. La console pilote cette route de lecture avec votre session : 
GET /api/user/self/export
Authorization: Bearer <your console session>
La réponse est un document JSON téléchargeable de votre profil et de vos données personnelles non secrètes. L’export est une liste blanche explicite — il n’inclut jamais votre hash de mot de passe, votre token d’accès système, vos secrets OAuth, vos références de webhook/notification, ni les corps de charge utile des logs de requêtes.
L’export reste disponible pendant la fenêtre de grâce. Un compte planifié pour suppression est supprimé de façon douce mais peut encore atteindre l’export et l’annulation — la portabilité est tout l’intérêt de garder cette porte ouverte jusqu’à ce que la purge s’exécute.

3. Planifier la suppression

Account → Privacy → Delete my account supprime de façon douce le compte immédiatement et planifie la purge des PII pour maintenant + 30 jours : 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
La réponse porte la date de purge planifiée. Quelques garde-fous s’appliquent :
Les comptes à mot de passe doivent fournir leur mot de passe actuel sur la requête de suppression — défense contre une session détournée détruisant des données de façon permanente. Les comptes OAuth uniquement n’ont pas de mot de passe ; la session authentifiée est la preuve.
Si vous êtes le seul propriétaire d’un espace de travail d’équipe partagé qui a encore d’autres membres, la suppression est refusée — sinon les coéquipiers hériteraient d’un espace de travail sans propriétaire. Transférez la propriété ou archivez d’abord l’espace de travail.
Le compte root de l’instance est refusé — l’auto-effacer laisserait le déploiement sans super-admin. Transmettez d’abord le rôle root.
Rappeler la suppression alors qu’elle est déjà en attente renvoie une réponse amicale « déjà planifiée » plutôt qu’une erreur.
Une fois planifiée, votre session est restreinte aux endpoints cancel et export pour le reste de la fenêtre de grâce — un cookie conservé ne passe plus l’authentification sur le reste de /api/user/*. Annuler lève la restriction et restaure l’accès complet sans reconnexion.

4. La fenêtre de grâce de 30 jours

La fenêtre de grâce est un tampon d’annulation délibéré. Tant qu’elle n’est pas écoulée, le compte est supprimé de façon douce, pas effacé, et un seul appel le restaure : 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
Si une annulation atterrit dans la course entre le balayage sélectionnant votre compte et la purge s’exécutant, le compte désormais actif n’est pas anonymisé — la purge se garde sur un état encore-en-attente et saute tout ce qui a été ressuscité.
Traitez les 30 jours comme votre tampon de SLA de réalisation DSAR. Un sujet qui change d’avis, ou une requête levée par erreur, est entièrement récupérable jusqu’à ce que la fenêtre se ferme — après quoi la purge est irréversible par conception.

5. La purge des PII et sa purge en cascade

Lorsque la fenêtre de grâce s’écoule, un balayage exécute la purge. Elle ne se contente pas de cacher une ligne — elle retire les identifiants directs et purge en cascade les enregistrements que votre activité a laissés à travers chaque surface d’observabilité :
SurfaceCe que fait la purge
CompteIdentifiants directs anonymisés ; références d’identification, clés, liaisons OAuth, passkeys et 2FA supprimés en dur
Logs de requêtesPurgés du store des logs de requêtes
Lignes de comptabilité / d’usageNom d’utilisateur rédigé et IP effacée sur les lignes conservées pour la facturation
Correspondances de guardrailPurgées — y compris toute sous-chaîne brute correspondante
Événements firewallPurgés — noms d’outils, IPs et request IDs attribués à vous
Les champs du compte sont anonymisés en place (nom d’utilisateur et email réécrits vers un placeholder deleted-…, statut désactivé), de sorte que les lignes de comptabilité et d’audit qui ont une base légale de persistance gardent leur forme tout en perdant les données personnelles intégrées. Tout ce qui porte des références d’identification est supprimé en dur — un véritable effacement, pas une suppression douce qui se contente de cacher.
La cascade atteint les trois mêmes surfaces que vous lisez ailleurs dans la console : correspondances de Guardrail, événements de Firewall, et logs de requêtes. Après la purge, aucun d’eux ne se résout vers la personne supprimée. C’est ce qui rend l’effacement symétrique à travers la couche de contenu, la couche d’action et le log.
Notez la distinction avec le contenu brut correspondant. Les correspondances de guardrail ne stockent une sous-chaîne correspondante que lorsque le toggle Log raw content de ce guardrail est activé (désactivé par défaut). Dans tous les cas, la purge purge ces enregistrements entièrement — donc le toggle change ce qui a jamais été enregistré, pas ce qui survit à une suppression.

6. Effacement vs rétention

L’effacement et la rétention sont deux horloges différentes — ne les confondez pas :
  • La rétention fait expirer les logs de requêtes sur une fenêtre glissante pour tout le monde — un défaut de 30 jours, borné par le serveur à un maximum strict de 180 jours. Voir Rétention.
  • L’effacement est un événement ponctuel, à portée de compte, déclenché par un DSAR : la fenêtre de grâce de 30 jours, puis la purge.
Les logs d’un sujet peuvent avoir déjà expiré sous la rétention avant même qu’il dépose un DSAR ; la purge s’exécute quand même contre ce qui reste et rédige les lignes de comptabilité conservées.

7. Où cela s’inscrit

Le droit à l’effacement est une pièce de vos obligations envers les personnes concernées. Associez-le aux preuves estampillées par région et à la boucle de conformité plus large :

Rétention

La fenêtre glissante des logs de requêtes — défaut de 30 jours, plafond de 180 jours — qui tourne indépendamment de l’effacement.

Résidence des données

La région sous laquelle vos rapports de conformité signés sont stockés et servis.

Pack GDPR

Installez les contrôles et livrez des preuves GDPR signées à un auditeur.

Responsabilité partagée

Ce que la passerelle efface pour vous et ce qui reste votre décision.
La passerelle vous donne un DSAR en libre-service qui atteint chaque enregistrement qu’elle possède. Décider quand une suppression est requise, et respecter toute échéance spécifique à une juridiction, reste votre choix — la fenêtre de grâce de 30 jours est votre tampon pour le faire.