PD-81 — Confrontation Gate 3 v2 (CONFORMITY_CHECK)¶

CONSTAT-v2-01 : Delai destruction non borne Verdict : Raison Justification : - La specification maintient explicitement cette lacune : "Delai maximal entre expiration TTL et destruction effective constatee." est liste dans "2.3 Informations manquantes" (point 5). - Les transitions vers DESTROYED imposent la destruction verifiable, mais sans borne de temps contractuelle : en 7.3, REVOKED|EXPIRED|COMPLETED -> DESTROYED avec contrainte "Suppression physique/zeroisation de l'artefact obligatoire." Impact revise : Inchange Gravite revisee : Inchangee (Majeure)

CONSTAT-v2-02 : Test N4 ambigu sur chemin de cloture Verdict : Raison Justification : - Le scenario N4 autorise plusieurs chemins dans une meme etape : "Declencher cloture via closeLegalAccess (motif END_OF_CONSULTATION) ou revokeReKey." - Le resultat attendu couvre aussi plusieurs statuts : "Statut de cloture dans {REVOKED, EXPIRED, COMPLETED} puis transition vers DESTROYED..." Impact revise : Inchange Gravite revisee : Inchangee (Mineure)

CONSTAT-v2-03 : Assemblage preuve composite vs ancrage Verdict : Nuance Justification : - La preuve composite exige un ancrage : en 7.5, anchoringEvidenceRef est "obligatoire". - L'ancrage peut etre differe : definition "Frequence d'ancrage probatoire ... delai maximal contractuel de 24 heures entre emission de l'evenement et ancrage observable." - Mais les textes n'imposent pas explicitement un assemblage "avant ancrage" : N4.5 dit seulement "Le systeme assemble la preuve composite complete et la rend disponible pour audit a posteriori." Impact revise : Risque principal = ambiguite de temporalite de disponibilite de la preuve, pas preuve necessairement incomplete. Gravite revisee : Mineure (au lieu de Majeure)

CONSTAT-v2-04 : Plafond consultations mandat non modelise Verdict : Nuance Justification : - Le concept est bien contractualise : "Fin de consultation ... OU par epuisement du nombre de consultations autorisees explicitement par le mandat; a defaut de plafond explicite dans le mandat, seule l'action explicite est valide." - En revanche, dans les extraits fournis, aucun attribut de compteur n'est explicite dans les entites visibles (7.3 porte sur les transitions d'etat de LegalReKey, pas sur le comptage). Impact revise : Ambiguite de modelisation/traçabilite du comptage, sans contradiction explicite du contrat fonctionnel. Gravite revisee : Mineure (au lieu de Majeure)

CONSTAT-v2-05 : Structure chaine probatoire non definie Verdict : Nuance Justification : - La chaine est exigee explicitement : 10.4 "Toute rupture de chaine probatoire doit etre detectee et faire echouer l'operation concernee." - L4 exige la verification "chainage des evenements, hash SHA3-256, signatures HSM, tokens TSA". - Le reviewer vise plus precisement l'absence d'un mecanisme explicite de "hash linking" inter-evenements ; cette granularite n'est pas detaillee textuellement. Impact revise : Ecart de precision de design probatoire, pas absence totale d'exigence de chaine. Gravite revisee : Inchangee (Mineure)

CONSTAT-v2-06 : Mapping identifiants mandat/internes non auditable Verdict : Tort Justification : - L'assertion s'appuie sur scopeDocumentIds[], element non present dans les documents sources fournis ici. - A l'inverse, les sources confirment un controle de coherence des identifiants au moins pour mandateId via E16 : "ERR-81-16 Incoherence mandateId ReKey vs dossier" avec "refus strict + emission alerte securite." Impact revise : Constat non etabli factuellement sur base des sources produites. Gravite revisee : Aucune (constat conteste)

CONSTAT-v2-07 : INV-81-11 "incoherence d'etat" non couvert dans matrice Verdict : Raison Justification : - La matrice indique : "INV-81-11 | E13, E14, E15, R1, R2, R3". - Un cas d'incoherence existe pourtant en section erreurs : "E16 - ERR-81-16 Incoherence mandateId ReKey vs dossier". - Le fait que E16 ne figure pas dans la matrice est factuellement exact. Impact revise : Inchange Gravite revisee : Inchangee (Mineure)

CONSTAT-v2-08 : Enrolement IAM des autorites judiciaires hors perimetre Verdict : Nuance Justification : - Les sources reconnaissent une lacune de gouvernance identitaire : en 2.3, "Source de verite de l'identite juridique interne." est information manquante (point 2). - Cela soutient le fond (dependance identitaire hors cadrage complet), mais les extraits fournis ne documentent pas explicitement l'enrolement IAM des autorites judiciaires ni le detail bobPublicKey invoque par le constat. Impact revise : Lacune de cadrage identitaire confirmee; perimetre IAM judiciaire specifiquement, partiellement etabli. Gravite revisee : Inchangee (Mineure)

CONSTAT-v2-09 : Echec cryptographique d'un validateur Verdict : Nuance Justification : - Le contrat couvre le comportement de securite attendu en cas de composant critique indisponible : INV-81-11 impose "refuse l'acces (fail-closed)" en cas d'"indisponibilite d'un composant critique de confiance". - Les extraits fournis ne presentent pas de table de transitions LegalValidationCase; l'absence d'automate formel sur ce point n'est donc ni prouvee ni infirmee integralement a partir des seules citations disponibles. Impact revise : Exigence de fail-closed presente, formalisation de cycle de validation potentiellement incomplète dans les extraits. Gravite revisee : Inchangee (Mineure)

CONSTAT-v2-10 : Race condition revocation/consultation dans fenetre 5s Verdict : Raison Justification : - La contrainte autorise une invalidation non strictement transactionnelle : "effective dans la meme transaction ou en <= 5 secondes" (10.2). - Cote tests, la concurrence explicite est couverte pour TTL (R6), alors que la revocation est testee en reutilisation post-revocation (S3) sans scenario explicite de lectures paralleles pendant la fenetre. Impact revise : Inchange Gravite revisee : Inchangee (Majeure)

Tableau de synthese¶