Aller au contenu

PD-287 — Rapport de confrontation (Étape 3)

Ce rapport est produit par l'orchestrateur Claude avant chaque gate PMO.
Il confronte les documents produits pour identifier convergences, divergences et zones d'ombre.

1. Sources confrontées

  • PD-287-specification.md (étape spécification)
  • PD-287-tests.md (étape tests contractuels)

2. Convergences

  • Alignement sur l’objectif central : partage sans compte, OTP email, lecture seule, révocation, expiration, traçabilité append-only, export ZIP optionnel.
  • Alignement FSM/invariants d’accès : états autorisés, terminalité REVOKED/EXPIRED, OTP requis par nouvelle session, anti-enumeration 404 (hors 429 anti-abus).
  • Alignement crypto/probatoire : PRE obligatoire, fail-closed crypto/trust-store, intégrité WORM, audit hash-chain + ancrage Merkle.
  • Alignement sur les mécanismes distribués : lock, idempotence, quotas/rate-limit, réconciliation, clearing.
  • Alignement sur la politique de rétention : suppression données destinataire à J+90 post-terminal et conservation du journal d’audit selon durée de vie de la preuve.
  • Alignement explicite sur le retrait de INV-287-14 et la couverture export conditionnelle si feature activée.

3. Divergences

⚠️ Les conflits ne doivent JAMAIS être lissés. Chaque divergence est rendue visible.

  • DIV-01 : Référence Epic incohérente
  • Source A (document) : PD-287-specification.md → Epic sharing
  • Source B (document) : PD-287-tests.md §1 → Epic EPIC-XX

  • Impact : traçabilité Epic/JIRA non univoque à la gate.

  • DIV-02 : Conservation append-only vs précondition de purge du journal en tests

  • Source A (document) : PD-287-specification.md INV-287-13 et §5.11 (journal append-only conservé)
  • Source B (document) : PD-287-tests.md §3 (préconditions) “Journal d’audit vidé en début de scénario”

  • Impact : contradiction opérationnelle potentielle sur immuabilité/conservation si l’environnement de test n’est pas explicitement isolé/éphémère.

  • DIV-03 : Exigence technique contractuelle non couverte dans le plan de tests

  • Source A (document) : PD-287-specification.md §10.1 (CT-287-01 conformité stack backend obligatoire et vérifiable)
  • Source B (document) : PD-287-tests.md (pas de test dédié CT-287-01) + verdict QA §10 “Testable intégralement : Oui”

  • Impact : incohérence de couverture déclarée vs exigence contractuelle.

  • DIV-04 : Mapping INV/CA partiellement incohérent

  • Source A (document) : PD-287-specification.md INV-287-16 (chiffrement au repos des artefacts secrets temporaires)
  • Source B (document) : PD-287-tests.md matrice §2 associe INV-287-16 à CA-287-14 (non-exposition du document en clair)
  • Impact : ambiguïté sur la preuve de couverture exacte de l’invariant INV-287-16.

4. Zones d'ombre

  • Décision GO/NO-GO export MVP non tranchée (Q-287-06), avec tests export conditionnels “si activé”.
  • Protocole détaillé de mesure SLO P95 non explicité (Q-287-03) : fenêtre, volumétrie, méthode.
  • Schéma/versionnement final du manifeste d’export signé non figé (Q-287-05).
  • Modalités exactes de la “trace consentement info” RGPD non détaillées malgré CA-287-27.
  • Comportement complet attendu quand export_zip_enabled=false non couvert par un scénario explicite dédié côté tests.

5. Recommandation

  • Procéder — convergence confirmée, aucun conflit bloquant
  • Rework nécessaire — divergences à résoudre avant de continuer
  • Escalade — décision humaine requise sur un point structurant