AdministrationDonnées et conformité

API et conservation des données

Découvrez comment les API d'Anthropic et les fonctionnalités associées conservent les données, y compris des informations sur la conservation zéro des données (ZDR) et l'accès à l'API compatible HIPAA.

Les informations sur les politiques de conservation standard d'Anthropic sont présentées dans la politique de conservation des données commerciales d'Anthropic et la politique de conservation des données des consommateurs.

Anthropic propose deux dispositifs de traitement des données pour l'API Claude :

« Zero data retention » (conservation zéro des données), ou ZDR : Les données client ne sont pas stockées au repos après le renvoi de la réponse de l'API, sauf lorsque cela est nécessaire pour se conformer à la loi ou lutter contre les utilisations abusives.
Compatibilité HIPAA : Pour les organisations traitant des informations de santé protégées (PHI), Anthropic propose un accès à l'API compatible HIPAA avec un « Business Associate Agreement » (accord d'associé commercial), ou BAA, signé. Voir Compatibilité HIPAA.

Approche d'Anthropic en matière de conservation des données

Différentes API et fonctionnalités ont des besoins de stockage et de conservation différents. Lorsqu'une API ou une fonctionnalité ne nécessite pas le stockage des prompts ou des réponses du client, elle peut être éligible au ZDR. Lorsqu'une API ou une fonctionnalité nécessite obligatoirement le stockage des prompts ou des réponses du client, Anthropic conçoit ses systèmes pour minimiser autant que possible l'empreinte de conservation. Pour ces fonctionnalités :

Les données conservées ne sont jamais utilisées pour l'entraînement des modèles sans votre autorisation expresse.
Seul ce qui est techniquement nécessaire au fonctionnement de l'API et de la fonctionnalité est conservé. Le contenu des conversations (vos prompts et les sorties de Claude) n'est pas conservé par défaut. Certains modèles nécessitent une conservation des données de 30 jours ; voir Exigences de conservation des données spécifiques aux modèles.
Les données sont purgées selon le TTL le plus court possible en pratique, et Anthropic vise à donner aux clients le contrôle sur la durée de conservation des données. Ce qui est conservé, ainsi que la durée de conservation lorsqu'un TTL spécifique s'applique, est documenté sur la page de chaque fonctionnalité.

Les données accessibles via l'API de conformité suivent leur propre modèle de conservation. Le flux d'activité conserve les données pendant 6 ans. Le contenu des conversations, des fichiers et des projets provenant de claude.ai suit la politique de conservation de votre organisation, définie dans claude.ai > Paramètres de l'organisation > Données et confidentialité.

Dans le tableau d'éligibilité des fonctionnalités, certaines fonctionnalités sont marquées « Oui (sous conditions) » dans la colonne Éligible ZDR. Si votre organisation dispose d'un dispositif ZDR, vous pouvez utiliser ces fonctionnalités en ayant l'assurance que ce qu'Anthropic conserve est limité et nécessaire pour des performances optimales.

Périmètre de la conservation zéro des données (ZDR)

Claude Fable 5 et Claude Mythos 5 ne sont pas disponibles sous ZDR ; voir Exigences de conservation des données spécifiques aux modèles.

Ce que couvre le ZDR

Certaines API Claude : Le ZDR s'applique aux API Messages et Token Counting de Claude.
Claude Code : Le ZDR s'applique lorsqu'il est utilisé avec des clés API d'organisation commerciale ou via Claude Enterprise (voir la documentation ZDR de Claude Code)

Ce que le ZDR ne couvre PAS

Console et Workbench : Toute utilisation sur la Console ou le Workbench
Claude Managed Agents : Claude Managed Agents est une ressource avec état. Vous pouvez supprimer les transcriptions de session, mais il n'y a pas de suppression automatique.
Produits Claude grand public : Les forfaits Claude Free, Pro ou Max, y compris lorsque les clients de ces forfaits utilisent les applications web, de bureau ou mobiles de Claude, ou Claude Code
Claude Teams et Claude Enterprise : Les interfaces produit de Claude Teams et Claude Enterprise ne sont pas éligibles au ZDR, à l'exception de Claude Code lorsqu'il est utilisé via Claude Enterprise avec le ZDR activé pour l'organisation. Pour les autres interfaces produit, seules les clés API d'organisation commerciale sont éligibles au ZDR.
Intégrations tierces : Les données traitées par des sites web, outils ou autres intégrations tiers ne sont pas éligibles au ZDR, bien que certains puissent proposer des offres similaires. Lorsque vous utilisez des services externes conjointement avec l'API Claude, assurez-vous de consulter les pratiques de traitement des données de ces services.

Pour obtenir les informations les plus récentes sur les produits et fonctionnalités éligibles au ZDR, consultez les conditions de votre contrat ou contactez votre représentant de compte Anthropic.

Exigences de conservation des données spécifiques aux modèles

Claude Fable 5 et Claude Mythos 5 sont désignés comme modèles couverts et nécessitent une conservation des données de 30 jours. La conservation zéro des données n'est pas disponible pour Claude Fable 5 ni Claude Mythos 5. Les requêtes adressées à l'un ou l'autre de ces modèles depuis une organisation dont la configuration de conservation des données ne répond pas à cette exigence renvoient une erreur 400 invalid_request_error.

Cette exigence s'applique à l'API Claude. Pour Claude Fable 5 sur Amazon Bedrock, Vertex AI et Microsoft Foundry, les exigences de conservation des données sont définies par chaque plateforme.

Les organisations disposant d'un dispositif ZDR peuvent configurer la conservation des données au niveau de l'espace de travail dans Claude Console > Paramètres > Espaces de travail : ouvrez l'onglet Contrôles de confidentialité d'un espace de travail et activez la conservation des données de 30 jours pour cet espace de travail. Cela rend Claude Fable 5 et Claude Mythos 5 disponibles dans l'espace de travail désigné, tandis que les autres espaces de travail de l'organisation conservent la conservation zéro des données. Les espaces de travail sans dérogation suivent la valeur par défaut de l'organisation.

Compatibilité HIPAA

L'API Claude prend en charge les intégrations compatibles HIPAA pour les organisations qui traitent des informations de santé protégées (PHI). Avec un BAA signé et une organisation compatible HIPAA, vous pouvez utiliser les fonctionnalités d'API prises en charge pour traiter des PHI tout en soutenant la conformité HIPAA de votre organisation.

Auparavant, les organisations qui nécessitaient la compatibilité HIPAA pour l'API Claude devaient activer le ZDR. L'accès à l'API compatible HIPAA supprime cette exigence et fournit une base permettant à Anthropic d'activer progressivement des fonctionnalités supplémentaires à mesure qu'elles sont auditées pour la compatibilité HIPAA.

Cette page couvre la compatibilité HIPAA pour l'API Claude. Pour le guide complet de mise en œuvre HIPAA couvrant Claude Enterprise et les exigences de configuration, consultez le Trust Center d'Anthropic.

Premiers pas

Pour configurer l'accès à l'API compatible HIPAA :

Signer un Business Associate Agreement
Contactez l'équipe commerciale d'Anthropic pour signer un BAA couvrant l'utilisation de l'API.
Provisionner une organisation compatible HIPAA
Anthropic provisionne une organisation dédiée avec les contrôles de compatibilité HIPAA activés. Cette organisation applique automatiquement les restrictions de fonctionnalités, bloquant les requêtes API qui utilisent des fonctionnalités non éligibles.
Développer avec les fonctionnalités éligibles
Utilisez le tableau d'éligibilité des fonctionnalités pour confirmer quelles fonctionnalités sont prises en charge. Consultez les directives de traitement des PHI pour les fonctionnalités qui nécessitent des restrictions spécifiques sur l'emplacement où les PHI peuvent apparaître. Pour les exigences détaillées de configuration et de conformité, consultez le guide de mise en œuvre HIPAA.

La compatibilité HIPAA est appliquée au niveau de l'organisation. Si vous avez besoin à la fois d'un accès à l'API compatible HIPAA et d'un accès à usage général, utilisez des organisations distinctes pour chacun.

Périmètre de la compatibilité HIPAA

Ce que couvre la compatibilité HIPAA

API Claude : La compatibilité HIPAA s'applique à l'API Claude (api.anthropic.com) pour les fonctionnalités éligibles répertoriées dans le tableau d'éligibilité des fonctionnalités.

Ce que la compatibilité HIPAA ne couvre PAS

Produits Claude grand public : Les forfaits Claude Free, Pro ou Max
Console et Workbench : L'utilisation via l'interface Claude Console
Plateformes exploitées par des partenaires : Amazon Bedrock ou Vertex AI (consultez la documentation de conformité de ces plateformes)
Claude Platform sur AWS et Microsoft Foundry : La compatibilité HIPAA n'est pas disponible
Intégrations tierces : Les données traitées par des outils ou services externes connectés à votre application
Claude Code : Claude Code n'est pas couvert par la compatibilité HIPAA
Fonctionnalités bêta : Les fonctionnalités en bêta ne sont généralement pas couvertes par le BAA, sauf si elles sont explicitement répertoriées comme éligibles dans le tableau d'éligibilité des fonctionnalités

Directives de traitement des PHI

Les informations de santé protégées (PHI) comprennent toute information de santé individuellement identifiable. Dans le contexte de l'API Claude, les PHI apparaissent généralement dans :

Le contenu des messages (prompts et réponses de Claude)
Les fichiers joints (images, PDF)
Les noms de fichiers et métadonnées associés au contenu des messages

Les champs suivants ne sont pas censés contenir de PHI dans le cadre du BAA : noms d'espaces de travail, informations utilisateur (nom, e-mail, numéro de téléphone), données de facturation et tickets d'assistance.

Restrictions relatives aux schémas et aux définitions d'outils

Lors de l'utilisation des sorties structurées ou d'outils avec strict: true, l'API compile les schémas JSON en grammaires qui sont mises en cache séparément du contenu des messages. Ces schémas mis en cache ne bénéficient pas des mêmes protections PHI que les prompts et les réponses.

N'incluez pas de PHI dans les définitions de schéma JSON. Cette restriction s'applique aux éléments suivants :

Noms de propriétés de schéma
Valeurs enum
Valeurs const
Expressions régulières pattern

Les informations spécifiques aux patients ne doivent apparaître que dans le contenu des messages, où elles sont protégées par les garanties HIPAA.

Gestion des erreurs HIPAA

Votre BAA signé constitue la source officielle de référence pour déterminer quelles fonctionnalités sont couvertes. L'API applique également ces restrictions automatiquement : lorsqu'une organisation compatible HIPAA envoie une requête incluant une fonctionnalité non éligible, l'API renvoie une erreur 400 pour empêcher l'utilisation accidentelle de fonctionnalités non couvertes par votre BAA :

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Le message d'erreur répertorie les fonctionnalités non éligibles détectées dans la requête. Supprimez ces fonctionnalités de votre requête et réessayez.

Éligibilité des fonctionnalités

Le tableau suivant répertorie les fonctionnalités de l'API Claude éligibles aux dispositifs ZDR et de compatibilité HIPAA. Pour les organisations compatibles HIPAA, les fonctionnalités marquées « Non » dans la colonne HIPAA sont automatiquement bloquées, et les requêtes qui les incluent renvoient une erreur 400.

Fonctionnalité	Point de terminaison	Éligible ZDR	Éligible HIPAA	Détails
API Messages	`/v1/messages`	Oui	Oui	Appels API standard pour générer des réponses de Claude.
Comptage de tokens	`/v1/messages/count_tokens`	Oui	Oui	Compter les tokens avant d'envoyer des requêtes.
Recherche web	`/v1/messages` (avec l'outil `web_search`)	Oui¹	Oui¹	Résultats de recherche web en temps réel renvoyés dans la réponse de l'API.
Récupération web	`/v1/messages` (avec l'outil `web_fetch`)	Oui¹ ²	Non	Contenu web récupéré renvoyé dans la réponse de l'API.
Outil Advisor	`/v1/messages` (avec l'outil `advisor`)	Oui	Non	La sortie du modèle Advisor est renvoyée dans la réponse de l'API ; rien n'est stocké côté serveur après la réponse.
Outil de mémoire	`/v1/messages` (avec l'outil `memory`)	Oui	Oui	Stockage de mémoire côté client où vous contrôlez la conservation des données.
Gestion du contexte (compaction)	`/v1/messages` (avec `context_management`)	Oui	Non	Les résultats de compaction côté serveur sont renvoyés/transmis sans état via la réponse de l'API.
Édition de contexte	`/v1/messages` (avec `context_management`)	Oui	Non	Les modifications de contexte (effacement de l'utilisation d'outils + effacement de la réflexion) sont appliquées en temps réel.
Mode rapide	`/v1/messages` (avec `speed: "fast"`)	Oui	Oui	Même point de terminaison de l'API Messages avec une inférence plus rapide. Le ZDR s'applique quel que soit le paramètre de vitesse.
Fenêtre de contexte de 1 M de tokens	`/v1/messages`	Oui	Oui	Le traitement de contexte étendu utilise l'API Messages standard.
Réflexion adaptative	`/v1/messages`	Oui	Oui	La profondeur de réflexion dynamique utilise l'API Messages standard.
Citations	`/v1/messages`	Oui	Oui	L'attribution des sources utilise l'API Messages standard.
Résidence des données	`/v1/messages` (avec `inference_geo`)	Oui	Oui	Le routage géographique utilise l'API Messages standard.
Effort	`/v1/messages` (avec `effort`)	Oui	Oui	Le contrôle de l'efficacité des tokens utilise l'API Messages standard.
Réflexion étendue	`/v1/messages` (avec `thinking`)	Oui	Oui	Le raisonnement étape par étape utilise l'API Messages standard.
Prise en charge des PDF	`/v1/messages`	Oui	Oui	Le traitement des documents PDF utilise l'API Messages standard. L'éligibilité HIPAA s'applique aux PDF envoyés en ligne via l'API Messages, et non via l'API Files.
Résultats de recherche	`/v1/messages` (avec la source `search_results`)	Oui	Oui	La prise en charge des citations RAG utilise l'API Messages standard.
Outil Bash	`/v1/messages` (avec l'outil `bash`)	Oui	Oui	Outil côté client exécuté dans votre environnement.
Outil d'édition de texte	`/v1/messages` (avec l'outil `text_editor`)	Oui	Oui	Outil côté client exécuté dans votre environnement.
Utilisation de l'ordinateur	`/v1/messages` (avec l'outil `computer`)	Oui	Non	Outil côté client où les captures d'écran et les fichiers sont capturés et stockés dans votre environnement, et non par Anthropic. Voir Utilisation de l'ordinateur.
Streaming d'outils à granularité fine	`/v1/messages`	Oui	Oui	Le streaming des paramètres d'outils utilise l'API Messages standard.
Mise en cache des prompts	`/v1/messages`	Oui	Oui	Vos prompts et les sorties de Claude ne sont pas stockés. Les représentations de cache KV et les hachages cryptographiques sont conservés en mémoire pendant le TTL du cache et supprimés rapidement après expiration. Voir Mise en cache des prompts.
Sorties structurées	`/v1/messages`	Oui (sous conditions)	Oui³	Vos prompts et les sorties de Claude ne sont pas stockés. Seul le schéma JSON est mis en cache, jusqu'à 24 heures après la dernière utilisation. Cela couvre également l'utilisation stricte d'outils (`strict: true` sur les outils), qui utilise le même pipeline de grammaire. Voir Sorties structurées.
Diagnostics de cache	`/v1/messages` (avec `diagnostics`)	Oui (sous conditions)	Non	Vos prompts et les sorties de Claude ne sont pas stockés. Une empreinte de hachages cryptographiques et d'estimations de nombre de tokens est conservée brièvement pour permettre la comparaison avec la requête suivante. Voir Diagnostics de cache.
Recherche d'outils	`/v1/messages` (avec l'outil `tool_search`)	Oui	Non	La recherche d'outils utilise l'API Messages standard.
Traitement par lots	`/v1/messages/batches`	Non	Non	Conservation de 29 jours ; stockage asynchrone requis. Voir Traitement par lots.
Exécution de code	`/v1/messages` (avec l'outil `code_execution`)	Non	Non	Données de conteneur conservées jusqu'à 30 jours. Voir Exécution de code.
Appel d'outils programmatique	`/v1/messages` (avec l'outil `code_execution`)	Non	Non	Basé sur des conteneurs d'exécution de code ; données conservées jusqu'à 30 jours. Voir Appel d'outils programmatique.
API Files	`/v1/files`	Non	Non	Fichiers conservés jusqu'à suppression explicite. Voir API Files.
Compétences d'agent	`/v1/messages` (avec `skills`) / `/v1/skills`	Non	Non	Données de compétence conservées selon la politique standard. Voir Compétences d'agent.
Connecteur MCP	`/v1/messages` (avec `mcp_servers`)	Non	Non	Données conservées selon la politique standard. Voir Connecteur MCP.
Claude Managed Agents	`/v1/agents`, `/v1/sessions`, `/v1/environments`	Non	Non	Les sessions sont des ressources avec état ; les transcriptions persistent jusqu'à ce que vous les supprimiez. S'applique à toutes les sous-fonctionnalités de Managed Agents, y compris les bacs à sable auto-hébergés.
Tunnels MCP	`/v1/organizations/tunnels`	Non	Non	Aperçu de recherche. Voir Sécurité des tunnels MCP pour la délimitation des flux de données et les détails sur les sous-traitants.

¹ Le filtrage dynamique n'est pas éligible au ZDR ni à HIPAA.

² Bien que la récupération web soit éligible au ZDR, les éditeurs de sites web peuvent conserver les données de requête (telles que les URL récupérées et les métadonnées de requête) conformément à leurs propres politiques.

³ Les PHI ne doivent pas être incluses dans les définitions de schéma JSON. Voir Directives de traitement des PHI.

Limitations et exclusions

CORS non pris en charge pour le ZDR

Le « Cross-Origin Resource Sharing » (partage de ressources entre origines multiples), ou CORS, n'est pas pris en charge pour les organisations disposant de dispositifs ZDR. Si vous devez effectuer des appels API depuis des applications basées sur un navigateur, vous devez :

Utiliser un serveur proxy backend pour effectuer les appels API au nom de votre front-end
Implémenter votre propre gestion CORS sur le serveur proxy
Ne jamais exposer les clés API directement dans le JavaScript du navigateur

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Même avec des dispositifs ZDR ou HIPAA en place, Anthropic peut conserver des données lorsque la loi l'exige ou pour lutter contre les violations de la politique d'utilisation et les utilisations malveillantes de la plateforme d'Anthropic. Par conséquent, si une conversation ou une session est signalée pour une telle violation, Anthropic peut conserver les entrées et les sorties pendant une durée maximale de 2 ans.

Questions fréquentes

Ressources connexes

Was this page helpful?

AdministrationDonnées et conformité

API et conservation des données

Anthropic propose deux dispositifs de traitement des données pour l'API Claude :

« Zero data retention » (conservation zéro des données), ou ZDR : Les données client ne sont pas stockées au repos après le renvoi de la réponse de l'API, sauf lorsque cela est nécessaire pour se conformer à la loi ou lutter contre les utilisations abusives.
Compatibilité HIPAA : Pour les organisations traitant des informations de santé protégées (PHI), Anthropic propose un accès à l'API compatible HIPAA avec un « Business Associate Agreement » (accord d'associé commercial), ou BAA, signé. Voir Compatibilité HIPAA.

Approche d'Anthropic en matière de conservation des données

Les données conservées ne sont jamais utilisées pour l'entraînement des modèles sans votre autorisation expresse.
Seul ce qui est techniquement nécessaire au fonctionnement de l'API et de la fonctionnalité est conservé. Le contenu des conversations (vos prompts et les sorties de Claude) n'est pas conservé par défaut. Certains modèles nécessitent une conservation des données de 30 jours ; voir Exigences de conservation des données spécifiques aux modèles.
Les données sont purgées selon le TTL le plus court possible en pratique, et Anthropic vise à donner aux clients le contrôle sur la durée de conservation des données. Ce qui est conservé, ainsi que la durée de conservation lorsqu'un TTL spécifique s'applique, est documenté sur la page de chaque fonctionnalité.

Périmètre de la conservation zéro des données (ZDR)

Claude Fable 5 et Claude Mythos 5 ne sont pas disponibles sous ZDR ; voir Exigences de conservation des données spécifiques aux modèles.

Ce que couvre le ZDR

Certaines API Claude : Le ZDR s'applique aux API Messages et Token Counting de Claude.
Claude Code : Le ZDR s'applique lorsqu'il est utilisé avec des clés API d'organisation commerciale ou via Claude Enterprise (voir la documentation ZDR de Claude Code)

Ce que le ZDR ne couvre PAS

Console et Workbench : Toute utilisation sur la Console ou le Workbench
Claude Managed Agents : Claude Managed Agents est une ressource avec état. Vous pouvez supprimer les transcriptions de session, mais il n'y a pas de suppression automatique.
Produits Claude grand public : Les forfaits Claude Free, Pro ou Max, y compris lorsque les clients de ces forfaits utilisent les applications web, de bureau ou mobiles de Claude, ou Claude Code
Claude Teams et Claude Enterprise : Les interfaces produit de Claude Teams et Claude Enterprise ne sont pas éligibles au ZDR, à l'exception de Claude Code lorsqu'il est utilisé via Claude Enterprise avec le ZDR activé pour l'organisation. Pour les autres interfaces produit, seules les clés API d'organisation commerciale sont éligibles au ZDR.
Intégrations tierces : Les données traitées par des sites web, outils ou autres intégrations tiers ne sont pas éligibles au ZDR, bien que certains puissent proposer des offres similaires. Lorsque vous utilisez des services externes conjointement avec l'API Claude, assurez-vous de consulter les pratiques de traitement des données de ces services.

Exigences de conservation des données spécifiques aux modèles

Cette exigence s'applique à l'API Claude. Pour Claude Fable 5 sur Amazon Bedrock, Vertex AI et Microsoft Foundry, les exigences de conservation des données sont définies par chaque plateforme.

Compatibilité HIPAA

Premiers pas

Pour configurer l'accès à l'API compatible HIPAA :

Signer un Business Associate Agreement
Contactez l'équipe commerciale d'Anthropic pour signer un BAA couvrant l'utilisation de l'API.
Provisionner une organisation compatible HIPAA
Anthropic provisionne une organisation dédiée avec les contrôles de compatibilité HIPAA activés. Cette organisation applique automatiquement les restrictions de fonctionnalités, bloquant les requêtes API qui utilisent des fonctionnalités non éligibles.
Développer avec les fonctionnalités éligibles
Utilisez le tableau d'éligibilité des fonctionnalités pour confirmer quelles fonctionnalités sont prises en charge. Consultez les directives de traitement des PHI pour les fonctionnalités qui nécessitent des restrictions spécifiques sur l'emplacement où les PHI peuvent apparaître. Pour les exigences détaillées de configuration et de conformité, consultez le guide de mise en œuvre HIPAA.

Périmètre de la compatibilité HIPAA

Ce que couvre la compatibilité HIPAA

API Claude : La compatibilité HIPAA s'applique à l'API Claude (api.anthropic.com) pour les fonctionnalités éligibles répertoriées dans le tableau d'éligibilité des fonctionnalités.

Ce que la compatibilité HIPAA ne couvre PAS

Produits Claude grand public : Les forfaits Claude Free, Pro ou Max
Console et Workbench : L'utilisation via l'interface Claude Console
Plateformes exploitées par des partenaires : Amazon Bedrock ou Vertex AI (consultez la documentation de conformité de ces plateformes)
Claude Platform sur AWS et Microsoft Foundry : La compatibilité HIPAA n'est pas disponible
Intégrations tierces : Les données traitées par des outils ou services externes connectés à votre application
Claude Code : Claude Code n'est pas couvert par la compatibilité HIPAA
Fonctionnalités bêta : Les fonctionnalités en bêta ne sont généralement pas couvertes par le BAA, sauf si elles sont explicitement répertoriées comme éligibles dans le tableau d'éligibilité des fonctionnalités

Directives de traitement des PHI

Les informations de santé protégées (PHI) comprennent toute information de santé individuellement identifiable. Dans le contexte de l'API Claude, les PHI apparaissent généralement dans :

Le contenu des messages (prompts et réponses de Claude)
Les fichiers joints (images, PDF)
Les noms de fichiers et métadonnées associés au contenu des messages

Restrictions relatives aux schémas et aux définitions d'outils

N'incluez pas de PHI dans les définitions de schéma JSON. Cette restriction s'applique aux éléments suivants :

Noms de propriétés de schéma
Valeurs enum
Valeurs const
Expressions régulières pattern

Les informations spécifiques aux patients ne doivent apparaître que dans le contenu des messages, où elles sont protégées par les garanties HIPAA.

Gestion des erreurs HIPAA

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

Le message d'erreur répertorie les fonctionnalités non éligibles détectées dans la requête. Supprimez ces fonctionnalités de votre requête et réessayez.

Éligibilité des fonctionnalités

Fonctionnalité	Point de terminaison	Éligible ZDR	Éligible HIPAA	Détails
API Messages	`/v1/messages`	Oui	Oui	Appels API standard pour générer des réponses de Claude.
Comptage de tokens	`/v1/messages/count_tokens`	Oui	Oui	Compter les tokens avant d'envoyer des requêtes.
Recherche web	`/v1/messages` (avec l'outil `web_search`)	Oui¹	Oui¹	Résultats de recherche web en temps réel renvoyés dans la réponse de l'API.
Récupération web	`/v1/messages` (avec l'outil `web_fetch`)	Oui¹ ²	Non	Contenu web récupéré renvoyé dans la réponse de l'API.
Outil Advisor	`/v1/messages` (avec l'outil `advisor`)	Oui	Non	La sortie du modèle Advisor est renvoyée dans la réponse de l'API ; rien n'est stocké côté serveur après la réponse.
Outil de mémoire	`/v1/messages` (avec l'outil `memory`)	Oui	Oui	Stockage de mémoire côté client où vous contrôlez la conservation des données.
Gestion du contexte (compaction)	`/v1/messages` (avec `context_management`)	Oui	Non	Les résultats de compaction côté serveur sont renvoyés/transmis sans état via la réponse de l'API.
Édition de contexte	`/v1/messages` (avec `context_management`)	Oui	Non	Les modifications de contexte (effacement de l'utilisation d'outils + effacement de la réflexion) sont appliquées en temps réel.
Mode rapide	`/v1/messages` (avec `speed: "fast"`)	Oui	Oui	Même point de terminaison de l'API Messages avec une inférence plus rapide. Le ZDR s'applique quel que soit le paramètre de vitesse.
Fenêtre de contexte de 1 M de tokens	`/v1/messages`	Oui	Oui	Le traitement de contexte étendu utilise l'API Messages standard.
Réflexion adaptative	`/v1/messages`	Oui	Oui	La profondeur de réflexion dynamique utilise l'API Messages standard.
Citations	`/v1/messages`	Oui	Oui	L'attribution des sources utilise l'API Messages standard.
Résidence des données	`/v1/messages` (avec `inference_geo`)	Oui	Oui	Le routage géographique utilise l'API Messages standard.
Effort	`/v1/messages` (avec `effort`)	Oui	Oui	Le contrôle de l'efficacité des tokens utilise l'API Messages standard.
Réflexion étendue	`/v1/messages` (avec `thinking`)	Oui	Oui	Le raisonnement étape par étape utilise l'API Messages standard.
Prise en charge des PDF	`/v1/messages`	Oui	Oui	Le traitement des documents PDF utilise l'API Messages standard. L'éligibilité HIPAA s'applique aux PDF envoyés en ligne via l'API Messages, et non via l'API Files.
Résultats de recherche	`/v1/messages` (avec la source `search_results`)	Oui	Oui	La prise en charge des citations RAG utilise l'API Messages standard.
Outil Bash	`/v1/messages` (avec l'outil `bash`)	Oui	Oui	Outil côté client exécuté dans votre environnement.
Outil d'édition de texte	`/v1/messages` (avec l'outil `text_editor`)	Oui	Oui	Outil côté client exécuté dans votre environnement.
Utilisation de l'ordinateur	`/v1/messages` (avec l'outil `computer`)	Oui	Non	Outil côté client où les captures d'écran et les fichiers sont capturés et stockés dans votre environnement, et non par Anthropic. Voir Utilisation de l'ordinateur.
Streaming d'outils à granularité fine	`/v1/messages`	Oui	Oui	Le streaming des paramètres d'outils utilise l'API Messages standard.
Mise en cache des prompts	`/v1/messages`	Oui	Oui	Vos prompts et les sorties de Claude ne sont pas stockés. Les représentations de cache KV et les hachages cryptographiques sont conservés en mémoire pendant le TTL du cache et supprimés rapidement après expiration. Voir Mise en cache des prompts.
Sorties structurées	`/v1/messages`	Oui (sous conditions)	Oui³	Vos prompts et les sorties de Claude ne sont pas stockés. Seul le schéma JSON est mis en cache, jusqu'à 24 heures après la dernière utilisation. Cela couvre également l'utilisation stricte d'outils (`strict: true` sur les outils), qui utilise le même pipeline de grammaire. Voir Sorties structurées.
Diagnostics de cache	`/v1/messages` (avec `diagnostics`)	Oui (sous conditions)	Non	Vos prompts et les sorties de Claude ne sont pas stockés. Une empreinte de hachages cryptographiques et d'estimations de nombre de tokens est conservée brièvement pour permettre la comparaison avec la requête suivante. Voir Diagnostics de cache.
Recherche d'outils	`/v1/messages` (avec l'outil `tool_search`)	Oui	Non	La recherche d'outils utilise l'API Messages standard.
Traitement par lots	`/v1/messages/batches`	Non	Non	Conservation de 29 jours ; stockage asynchrone requis. Voir Traitement par lots.
Exécution de code	`/v1/messages` (avec l'outil `code_execution`)	Non	Non	Données de conteneur conservées jusqu'à 30 jours. Voir Exécution de code.
Appel d'outils programmatique	`/v1/messages` (avec l'outil `code_execution`)	Non	Non	Basé sur des conteneurs d'exécution de code ; données conservées jusqu'à 30 jours. Voir Appel d'outils programmatique.
API Files	`/v1/files`	Non	Non	Fichiers conservés jusqu'à suppression explicite. Voir API Files.
Compétences d'agent	`/v1/messages` (avec `skills`) / `/v1/skills`	Non	Non	Données de compétence conservées selon la politique standard. Voir Compétences d'agent.
Connecteur MCP	`/v1/messages` (avec `mcp_servers`)	Non	Non	Données conservées selon la politique standard. Voir Connecteur MCP.
Claude Managed Agents	`/v1/agents`, `/v1/sessions`, `/v1/environments`	Non	Non	Les sessions sont des ressources avec état ; les transcriptions persistent jusqu'à ce que vous les supprimiez. S'applique à toutes les sous-fonctionnalités de Managed Agents, y compris les bacs à sable auto-hébergés.
Tunnels MCP	`/v1/organizations/tunnels`	Non	Non	Aperçu de recherche. Voir Sécurité des tunnels MCP pour la délimitation des flux de données et les détails sur les sous-traitants.

¹ Le filtrage dynamique n'est pas éligible au ZDR ni à HIPAA.

³ Les PHI ne doivent pas être incluses dans les définitions de schéma JSON. Voir Directives de traitement des PHI.

Limitations et exclusions

CORS non pris en charge pour le ZDR

Utiliser un serveur proxy backend pour effectuer les appels API au nom de votre front-end
Implémenter votre propre gestion CORS sur le serveur proxy
Ne jamais exposer les clés API directement dans le JavaScript du navigateur

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Questions fréquentes

Ressources connexes

Was this page helpful?

Approche d'Anthropic en matière de conservation des données

Périmètre de la conservation zéro des données (ZDR)

Exigences de conservation des données spécifiques aux modèles

Compatibilité HIPAA

Premiers pas

Périmètre de la compatibilité HIPAA

Directives de traitement des PHI

Restrictions relatives aux schémas et aux définitions d'outils

Gestion des erreurs HIPAA

Éligibilité des fonctionnalités

Limitations et exclusions

CORS non pris en charge pour le ZDR

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Questions fréquentes

Comment savoir si mon organisation dispose d'un dispositif ZDR ?

Puis-je utiliser les fonctionnalités éligibles au ZDR (sous conditions) dans le cadre de mon dispositif ZDR ?

Que se passe-t-il si j'utilise une fonctionnalité marquée « Non » sous ZDR ?

Puis-je demander la suppression de données provenant de fonctionnalités non éligibles au ZDR ?

En quoi la compatibilité HIPAA diffère-t-elle du ZDR ?

Ai-je toujours besoin du ZDR si je dispose de la compatibilité HIPAA ?

Que se passe-t-il si j'utilise une fonctionnalité non éligible sous HIPAA ?

Puis-je utiliser la même organisation pour des charges de travail HIPAA et non HIPAA ?

Comment demander l'accès à l'API compatible HIPAA ?

Cela s'applique-t-il à Amazon Bedrock ou Vertex AI ?

Claude Platform sur AWS est-il éligible au ZDR ou à la compatibilité HIPAA ?

Claude Code est-il éligible au ZDR ?

Claude for Excel prend-il en charge le ZDR ?

Comment demander le ZDR ?

Ressources connexes

Approche d'Anthropic en matière de conservation des données

Périmètre de la conservation zéro des données (ZDR)

Exigences de conservation des données spécifiques aux modèles

Compatibilité HIPAA

Premiers pas

Périmètre de la compatibilité HIPAA

Directives de traitement des PHI

Restrictions relatives aux schémas et aux définitions d'outils

Gestion des erreurs HIPAA

Éligibilité des fonctionnalités

Limitations et exclusions

CORS non pris en charge pour le ZDR

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Questions fréquentes

Comment savoir si mon organisation dispose d'un dispositif ZDR ?

Puis-je utiliser les fonctionnalités éligibles au ZDR (sous conditions) dans le cadre de mon dispositif ZDR ?

Que se passe-t-il si j'utilise une fonctionnalité marquée « Non » sous ZDR ?

Puis-je demander la suppression de données provenant de fonctionnalités non éligibles au ZDR ?

En quoi la compatibilité HIPAA diffère-t-elle du ZDR ?

Ai-je toujours besoin du ZDR si je dispose de la compatibilité HIPAA ?

Que se passe-t-il si j'utilise une fonctionnalité non éligible sous HIPAA ?

Puis-je utiliser la même organisation pour des charges de travail HIPAA et non HIPAA ?

Comment demander l'accès à l'API compatible HIPAA ?

Cela s'applique-t-il à Amazon Bedrock ou Vertex AI ?

Claude Platform sur AWS est-il éligible au ZDR ou à la compatibilité HIPAA ?

Claude Code est-il éligible au ZDR ?

Claude for Excel prend-il en charge le ZDR ?

Comment demander le ZDR ?

Ressources connexes

Approche d'Anthropic en matière de conservation des données

Périmètre de la conservation zéro des données (ZDR)

Exigences de conservation des données spécifiques aux modèles

Compatibilité HIPAA

Premiers pas

Périmètre de la compatibilité HIPAA

Directives de traitement des PHI

Restrictions relatives aux schémas et aux définitions d'outils

Gestion des erreurs HIPAA

Éligibilité des fonctionnalités

Limitations et exclusions

CORS non pris en charge pour le ZDR

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Questions fréquentes

Ressources connexes

Approche d'Anthropic en matière de conservation des données

Périmètre de la conservation zéro des données (ZDR)

Exigences de conservation des données spécifiques aux modèles

Compatibilité HIPAA

Premiers pas

Périmètre de la compatibilité HIPAA

Directives de traitement des PHI

Restrictions relatives aux schémas et aux définitions d'outils

Gestion des erreurs HIPAA

Éligibilité des fonctionnalités

Limitations et exclusions

CORS non pris en charge pour le ZDR

Conservation des données en cas de violation des politiques et lorsque la loi l'exige

Questions fréquentes

Ressources connexes