Aller au contenu

PD-82 — Specification Review (Gate 3 CONFORMITY_CHECK)

Type : Ambiguïté Référence : PD-82-specification.md §2 (Périmètre: "TTL strict de 7 jours calendaires") + §10 Q-82-01 Description : La règle TTL est déclarée "stricte" et "calendaire", mais la définition opérationnelle est explicitement marquée comme non tranchée (jour calendaire vs 168 heures UTC). Le seuil contractuel n'est donc pas univoque. Impact : Calcul de l'expiration non déterministe selon implémentation, divergences d'audit possibles sur les cas frontière. Gravité : Bloquant

Type : Ambiguïté Référence : PD-82-specification.md §10 Q-82-02 + §7 CA-82-10 + §6 ERR-82-04 Description : Le comportement après état EXPIRED pour une révocation tardive n'est pas normé, alors que les états terminaux sont annoncés irréversibles. Le mode de traitement (refus explicite tracé ou autre) reste ouvert. Impact : Hétérogénéité de comportement entre équipes tierces, traçabilité juridique non homogène sur tentatives post-expiration. Gravité : Majeur

Type : Non testable Référence : PD-82-specification.md §5 Flux N3 ("RFC 3161 ou équivalent") + §10 Q-82-03 + PD-82-tests.md (règle partiellement non testable n°1) Description : La notion d'"équivalent" n'est pas définie contractuellement (formats admis, champs obligatoires, niveau de preuve), ce qui empêche un oracle de test déterministe. Impact : Acceptation formelle impossible sur la portabilité de la preuve exportée; risque de faux positifs de conformité. Gravité : Bloquant

Type : Non testable Référence : PD-82-specification.md §4 INV-82-12 + §7 CA-82-08 + §9 HYP-82-05 Description : L'assertion "aucune suppression/modification historique possible" est absolue mais dépend d'un composant externe (PD-31) sans critère de vérification borné dans la story PD-82. Impact : La propriété append-only est déclarative mais non vérifiable de manière autonome dans le périmètre de test PD-82. Gravité : Majeur

Type : Incohérence Spec↔Tests Référence : PD-82-specification.md §8 (10 scénarios GWT) + PD-82-tests.md (résumé uniquement) Description : La spécification affirme l'existence de 10 scénarios GWT, mais les preuves test fournies ne listent pas les scénarios ni leur rattachement explicite aux IDs d'invariants/CA. Impact : Traçabilité de couverture non auditabile de bout en bout (exigence → test exécutable → preuve). Gravité : Majeur

Type : Contradiction Référence : PD-82-tests.md (résumé: "34 tests" vs détail "4 + 8 + 12 + 8 + 8") Description : Le total annoncé (34) contredit la somme des catégories détaillées (40). Impact : Fiabilité du dossier de test dégradée; impossibilité de statuer avec certitude sur la complétude réelle. Gravité : Bloquant

Type : Incohérence Spec↔Tests Référence : PD-82-tests.md ("Verdict QA : Partiellement testable") + PD-82-specification.md §7 (CA contractuels) Description : Le verdict de testabilité partielle implique que toutes les exigences contractuelles ne disposent pas d'observables pleinement vérifiables, alors que les critères d'acceptation sont présentés comme testables sans réserve. Impact : Risque d'acceptation contractuelle avec zones non démontrables. Gravité : Majeur

Type : Hypothèse dangereuse Référence : PD-82-specification.md §9 HYP-82-01 + §4 INV-82-11 + §5 Flux N1/N2 Description : La prévention du double déclenchement repose sur une hypothèse externe (idempotence/contrôle du module PRE) et non sur une garantie contractuelle interne à PD-82. Impact : En cas de non-idempotence réelle, risque d'activation multiple et d'état probatoire incohérent. Gravité : Bloquant

Type : Hypothèse dangereuse Référence : PD-82-specification.md §9 HYP-82-03 + §4 INV-82-06 + INV-82-03 Description : La validité temporelle (horodatage probatoire + TTL) dépend d'une source de temps fiable sans bornes de dérive, de disponibilité, ni règle de repli contractuelle. Impact : Litiges possibles sur la validité des validations proches du seuil d'expiration. Gravité : Majeur

Type : Hypothèse dangereuse Référence : PD-82-specification.md §9 HYP-82-04 + §6 ERR-82-05 Description : La vérification de signature/certificat est supposée disponible; le comportement contractuel en indisponibilité transitoire n'est pas défini (échec technique vs invalidité juridique). Impact : Rejets potentiellement abusifs ou non déterministes; risque d'indisponibilité fonctionnelle et contestation légale. Gravité : Majeur

Type : Risque sécu/conformité Référence : PD-82-specification.md §3 (Identité non contestable) + §4 INV-82-10 Description : "X.509/eIDAS ou équivalent opposable" est formulé sans référentiel d'équivalence juridictionnel explicite, alors que la conformité légale visée est sensible. Impact : Acceptation de preuves d'identité hétérogènes selon implémentation; risque de non-opposabilité en audit/justice. Gravité : Majeur

Type : Risque sécu/conformité Référence : PD-82-specification.md §9 HYP-82-06 + §5 Flux N3 + §7 CA-82-08 Description : La conformité RGPD mineurs sur conservation/anonymisation des traces est externalisée à PD-240 sans critères vérifiables intégrés au dossier PD-82. Impact : Dossier probatoire potentiellement non conforme en durée de rétention ou minimisation des données. Gravité : Majeur