PD-244 — Expression de besoin¶
1. Contexte¶
L'architecture ProbatioVault v4.1 (doc 41 — Spécifications Techniques) revendique la conformité aux normes d'archivage probatoire :
- ISO 14641 : Archivage électronique — Conception et exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés
- NF Z42-013 : Archivage électronique — Recommandations relatives à la conception et à l'exploitation de systèmes d'archivage électronique
Ces normes sont citées comme arguments de conformité (audit BPI, investisseurs, partenaires institutionnels) mais aucune story ne trace leur couverture en critères d'implémentation vérifiables.
Risque identifié : Claims de conformité non traçables = exposition juridique et commerciale.
2. Besoin métier¶
En tant que Product Owner / Compliance Officer, je veux :
- Disposer d'une matrice de conformité ISO 14641 documentant :
- Chaque exigence de la norme
- Son statut d'implémentation (Conforme / Partiel / Non implémenté / Hors périmètre)
- La story ProbatioVault qui la couvre (PD-XX)
-
Les preuves de conformité (code, tests, documentation)
-
Disposer d'une matrice de conformité NF Z42-013 avec le même niveau de détail
-
Identifier les gaps d'implémentation restants et créer les stories correspondantes
Afin de :
- Justifier les claims de conformité avec traçabilité complète
- Préparer les audits externes (BPI, certification)
- Prioriser les développements manquants
3. Périmètre de l'audit¶
3.1 Composants à auditer¶
| Projet | Composants | Stories clés |
|---|---|---|
| Backend | Stockage, Audit, Crypto, Horodatage | PD-37, PD-39, PD-40, PD-60, PD-31 |
| Infra | S3 WORM, Glacier, HSM, CRR | PD-4, PD-5, PD-6, PD-44, PD-7 |
| App | Crypto client, Zero-Knowledge | PD-33, PD-34, PD-42, PD-54 |
| Blockchain | Merkle anchoring, Smart contracts | PD-52, PD-53, PD-245 |
3.2 Documents de référence¶
| Document | Rôle |
|---|---|
| ISO 14641 (PDF) | Source normative — exigences à mapper |
| NF Z42-013 (PDF) | Source normative — exigences à mapper |
| Doc 41 (Architecture TechLead v4.1) | Claims actuels à vérifier |
| Doc 42 (Spécifications Techniques) | Implémentation technique |
| Doc 43 (Specs Stockage) | Détails WORM/Glacier |
4. Outputs attendus¶
4.1 Matrices de conformité (dual format)¶
Format source (YAML) — pour automatisation et dashboards :
# Exemple structure
norm: ISO-14641
version: "2018"
sections:
- id: "5.1"
title: "Exigences générales"
requirements:
- id: "5.1.1"
text: "Le système doit assurer l'intégrité..."
status: CONFORME | PARTIEL | NON_IMPLEMENTE | HORS_PERIMETRE
stories: [PD-37, PD-40]
evidence:
- type: code
path: src/crypto/signature.service.ts
- type: test
path: tests/crypto/signature.e2e.spec.ts
gaps: []
Format lisible (Markdown) — généré depuis YAML :
## ISO 14641 — Section 5.1 : Exigences générales
| Req ID | Exigence | Statut | Stories | Preuves |
|--------|----------|--------|---------|---------|
| 5.1.1 | Intégrité... | ✅ Conforme | PD-37, PD-40 | [code](path), [test](path) |
4.2 Stories de gap¶
Pour chaque exigence NON_IMPLEMENTE ou PARTIEL, une story Jira sera créée :
- Epic parent : PD-217 (LEGAL & COMPLIANCE)
- Format titre :
[ISO-14641|NF-Z42-013] {section} — {exigence courte} - Labels :
compliance,gap,{norm-id}
4.3 Dashboard de conformité¶
Mise à jour de dashboards/COMPLIANCE-DASHBOARD.md avec :
- Score global par norme (% conformité)
- Répartition par statut
- Liens vers les stories de gap
5. Critères d'acceptation¶
| ID | Critère | Mesurable |
|---|---|---|
| CA-01 | Matrice ISO 14641 complète (100% des exigences mappées) | Oui |
| CA-02 | Matrice NF Z42-013 complète (100% des exigences mappées) | Oui |
| CA-03 | Chaque exigence a un statut documenté | Oui |
| CA-04 | Chaque gap a une story Jira créée | Oui |
| CA-05 | Format dual YAML + MD livré | Oui |
| CA-06 | Dashboard de conformité mis à jour | Oui |
| CA-07 | Validation PO des matrices | Oui |
6. Contraintes¶
- Confidentialité : Les PDFs des normes ne sont pas versionnés (copyright AFNOR)
- Complétude : Seules les sections applicables à un SAE (Système d'Archivage Électronique) B2C sont dans le périmètre
- Traçabilité : Chaque claim de conformité doit pointer vers du code ou de la documentation existante
7. Hors périmètre¶
- Certification officielle ISO/NF (processus externe)
- Audit par un organisme tiers (préparation seulement)
- Conformité eIDAS (story séparée si besoin)
- Conformité RGPD (déjà couverte par PD-240, PD-241)
8. Dépendances¶
| Story | Nature |
|---|---|
| PD-217 | Epic parent (LEGAL & COMPLIANCE) |
| PD-155 | Dashboard audit & compliance (existant) |
| Doc 41/42/43 | Documents d'architecture à auditer |
9. Risques¶
| Risque | Impact | Mitigation |
|---|---|---|
| Normes non disponibles en intégralité | Bloquant | PO confirme accès aux PDFs complets |
| Nombreux gaps découverts | Charge non prévue | Priorisation par criticité (sécurité > auditabilité > UX) |
| Interprétation subjective des exigences | Qualité | Documenter les choix d'interprétation |
10. Validation¶
- Auteur : Claude (orchestrateur)
- Date : 2026-02-20
- Validateur : PO (Loïc)
- Statut : EN ATTENTE DE VALIDATION