PD-106 — Dossier de conformité Step 3 v2¶
Date : 2026-02-04 Gate : CONFORMITY_CHECK (step 3, itération v2) Documents audités : - PD-106-specification.md (v2) - PD-106-tests.md (v2)
Sources consolidées : - PD-106-specification-review.md (v2) — 13 points (ChatGPT) - PD-106-confrontation-step3-v2.md — 2 divergences, 7 zones d'ombre (Claude)
1. Résumé exécutif¶
Les corrections v2 ont résolu le bloquant v1 (contradiction INV-106-05 vs F-106-05 sur la re-authentification pour changement de mot de passe) et borné les ambiguïtés majeures (re-auth 5 min, affichage unique, confirmation renforcée, stockage local durable, logs applicatifs).
Il ne reste aucun bloquant. Les points résiduels sont des réserves portant sur la couverture de tests et des précisions terminologiques.
2. Points consolidés¶
2.1 Bloquants : 0¶
Aucun bloquant identifié. Le bloquant RGPD (review point 13) a été déclassé car explicitement documenté comme hors périmètre PD-106 (INV-106-18, CA-106-19, TC-INV-03).
2.2 Majeurs : 3¶
| # | Source | Référence | Description | Action requise |
|---|---|---|---|---|
| M1 | Review P04-05 + Confrontation ZO-v2-01 | Re-auth borne 5 min + flux navigation | Les tests ne vérifient pas explicitement la borne de 5 minutes ni le rejet après sortie de flux. Deux contraintes contractuelles sans preuve de test. | Ajouter 2 scénarios de test : (a) re-auth > 5 min → rejet, (b) re-auth valide + sortie flux + retour → rejet. |
| M2 | Review P03 + Confrontation ZO-v2-02 | Terme « exploitable » non défini | Utilisé 8+ fois comme observable contractuel sans critères objectifs (contenu minimal, structure). | Ajouter une définition en section 3 ou préciser les critères minimaux dans chaque CA concerné. |
| M3 | Review P11 + Confrontation ZO-v2-05 | Testabilité télémétrie/crash reporting | La définition de « Logs applicatifs » inclut des services tiers dont l'accès exhaustif n'est pas garanti en test. | Préciser en section 8 (Observabilité) les surfaces auditables vs non-auditables, ou borner le périmètre de test aux surfaces contrôlables. |
2.3 Mineurs : 5¶
| # | Source | Référence | Description |
|---|---|---|---|
| m1 | Review P08 + Confrontation DIV-v2-02 | Point à clarifier 4 obsolète | F-106-03 a tranché la politique ; le point 4 doit être retiré ou marqué résolu. |
| m2 | Review P01 + Confrontation DIV-v2-01 | INV-106-13 vs ERR-LOGOUT-FAILED | Dégradation gracieuse par design, pas de contradiction logique. Clarification rédactionnelle optionnelle. |
| m3 | Review P09 + Confrontation ZO-v2-03 | Source horloge re-auth | Non explicité mais impliqué par H-106-03 (serveur). |
| m4 | Review P06 + Confrontation ZO-v2-04 | Traçabilité double validation | TC-ERR-12 couvre implicitement. Amélioration de traçabilité optionnelle. |
| m5 | Review P10 + Confrontation ZO-v2-07 | Rate-limit non borné | Par design (politique serveur). |
3. Matrice de progression v1 → v2¶
| Aspect | v1 | v2 | Progression |
|---|---|---|---|
| Bloquants | 1 | 0 | Résolu |
| Majeurs | 9 | 3 | -6 |
| Mineurs | 3 | 5 | +2 (reclassements) |
| Total | 13 | 8 | -5 |
4. Recommandation PMO¶
RESERVE — sous réserve de traitement des 3 points majeurs :
- M1 : Ajouter les scénarios de test manquants pour la borne temporelle (5 min) et la contrainte de flux de re-authentification.
- M2 : Définir le terme « exploitable » par des critères objectifs minimaux.
- M3 : Borner le périmètre de test des logs applicatifs aux surfaces contrôlables en environnement de test.
Les 5 points mineurs sont des améliorations recommandées mais non bloquantes pour la poursuite du workflow.
Options pour le PMO : - GO : accepter en l'état, les réserves seront traitées à l'étape 4 (plan d'implémentation) - RESERVE : exiger le traitement de M1-M3 avant passage à l'étape 4 - NON_CONFORME : exiger une correction complète et relancer la gate