Journal d'egress

La preuve de ce qui est sorti

À chaque fois qu’une requête part vers un modèle de langage, CLEVYA en consigne une trace dans un journal d’egress. Ce journal répond à une question simple qu’un délégué à la protection des données (DPO) ou un auditeur posera : qu’est-ce qui est réellement sorti de notre serveur, et sous quelle forme ?

Ce que le journal contient

• L’empreinte (hash) de ce qui a été envoyé, et non la donnée réelle.
• L’agent, l’espace de travail et l’horodatage.
• Le motif d’une éventuelle décision de blocage (une source interdite de cloud n’est jamais envoyée, même si elle serait pertinente : la permission prime sur la pertinence).

À quoi ressemble une entrée

Exemple illustratif

Lignes fabriquées pour montrer la forme du registre. Le journal réel ne contient jamais la valeur d’un identifiant : seulement des empreintes, des compteurs et des références de source.

Horodatage	Cible	Sources autorisées	Identifiants masqués	Empreinte (hash)	Statut
2026-06-25 09:14:02	Cloud (Anthropic)	src#A12, src#A19	7	9f2c…b41e	envoyé
2026-06-25 09:15:37	Local (Ollama)	src#A07	3	1a0d…77c2	envoyé
2026-06-25 09:16:08	Cloud (Anthropic)	src#A33	—	c4e8…02af	bloqué (source interdite de cloud)

La colonne « Empreinte » est le hash de ce qui a été envoyé, pas le contenu. « Identifiants masqués » est un simple compteur. Une ligne bloquée n’envoie rien : elle consigne le motif (« source interdite de cloud »), car la permission prime sur la pertinence.

Pourquoi il est vérifiable

Les entrées sont chaînées : chaque entrée référence l’empreinte de la précédente. Une entrée modifiée ou supprimée a posteriori rompt la chaîne, ce qui rend l’altération détectable. La racine de la chaîne peut être signée. La vérification peut être recalculée côté navigateur, sans faire confiance au serveur.

C’est ce qui rend le journal opposable : il sert de pièce dans une analyse d’impact relative à la protection des données (DPIA) ou dans un registre des activités de traitement (article 30).

Honnêteté

Le journal prouve ce qui est sorti, pas que rien d’autre ne pourrait jamais sortir par une voie non instrumentée. La garantie repose sur le fait que tout chemin vers un modèle passe par le même contrôle d’egress avant l’envoi.

Pour aller plus loin

• Souveraineté - le principe que ce journal documente.
• Anonymisation locale - ce qui est anonymisé avant de partir.