PD-240-SPECIFICATION-REVIEW-V2

Type : Ambiguïté Référence : (PD-240-specification.md §8 ERR-240-SESSION-INVALIDATION-FAILED / INV-240-06) Description : Le comportement en cas d’échec d’invalidation des sessions après suppression reste inchangé : « suppression déjà effectuée ». Aucune compensation ni contrainte temporelle n’est définie ; l’écart v1 ECT-04 est donc toujours partiellement traité. Impact : Risque de sessions actives post‑suppression ; sécurité et conformité PD‑106 non garanties. Gravité : Majeur Statut v1 : Persistant

Type : Hypothèse dangereuse Référence : (PD-240-specification.md §7 F-240-01 / §8 ERR-240-DELETE-FAILED) Description : L’ordre « purge RGPD puis suppression Keycloak » est désormais contractuel, mais le cas d’échec purge RGPD n’explicite pas d’état final distinct ; l’erreur ERR-240-DELETE-FAILED ne distingue pas la cause ni l’état du compte si la purge échoue. Impact : Auditabilité réduite ; ambiguïté sur l’état réel du compte en cas d’échec purge. Gravité : Mineur Statut v1 : Corrigé (partiel)

Type : Non testable Référence : (PD-240-specification.md §6 INV-240-05 / §9 CA-240-05 / PD-240-tests.md T-240-POST-02) Description : L’observable autorise SQL direct OU endpoint admin, mais aucun des deux n’est contractuellement garanti (dépend d’artefacts/admin hors périmètre fonctionnel). Le test reste dépendant d’un accès non contractualisé. Impact : Test non déterministe selon environnement ; preuve RGPD interne fragile. Gravité : Majeur Statut v1 : Persistant

Type : Incohérence Spec↔Tests Référence : (PD-240-tests.md T-240-ERR-04 / Spec §7-§8) Description : T-240-ERR-04 suppose erreur injectée « purge RGPD ou suppression Keycloak », alors que le flux impose purge puis suppression ; si purge échoue, suppression Keycloak ne doit pas avoir lieu. Le test ne précise pas la contrainte d’ordre. Impact : Test ambigu ; risque de couverture incomplète de l’ordre contractuel. Gravité : Mineur Statut v1 : Nouveau

Type : Ambiguïté Référence : (PD-240-specification.md §11 Points à clarifier / §6 INV-240-04) Description : La méthode d’observation de la suppression Keycloak est toujours à clarifier, alors que CA-240-04 exige une preuve via échec d’authentification ultérieure sans préciser délai/propagation. Impact : Test potentiellement flaky ; auditabilité partielle. Gravité : Mineur Statut v1 : Persistant