Chapitre 8 -- Conformite normative¶
Statut du chapitre : DRAFT Derniere mise a jour : 2026-02-26 Contract : CC-08 | Story : PD-249
Ce chapitre presente les resultats de l'audit de conformite PD-244, conduit en fevrier 2026, portant sur les deux normes fondatrices de l'archivage electronique applicables au SAE ProbatioVault : ISO 14641:2018 et NF Z42-013:2020. Il constitue la reference contractuelle pour la tracabilite des claims de conformite, l'identification des ecarts et le pilotage du plan de remediation.
Methodologie d'audit : L'evaluation a ete realisee par trois agents LLM independants (Claude, ChatGPT, Gemini), puis reconciliee selon un protocole a trois niveaux -- consensus unanime (3/3), majorite (⅔) et arbitrage conservateur pour les divergences (1/1/1). Pour une certification normative, l'approche conservatrice a ete retenue : la documentation formelle est exigee au-dela de la seule implementation technique.
Perimetre : SAE B2C ProbatioVault. Les sections relatives aux tiers archiveurs (ISO 14641 art. 13) et sous-traitants (ISO 14641 art. 14) sont hors perimetre avec justification.
8.1 Matrice de conformite ISO 14641:2018¶
La norme ISO 14641:2018 definit les exigences de conception et d'exploitation des systemes d'archivage electronique. Le SAE ProbatioVault a ete evalue sur 20 exigences, dont 18 applicables au contexte B2C et 2 hors perimetre.
Synthese ISO 14641¶
| Indicateur | Valeur |
|---|---|
| Exigences evaluees | 20 |
| Applicables | 18 |
| Hors perimetre | 2 |
| Conformes | 11 (61,1%) |
| Partielles | 6 (33,3%) |
| Non implementees | 1 (5,6%) |
| Score global | 77,78% |
Matrice ISO 14641 article par article¶
| Article | Exigence | Statut | Consensus | Preuve / Reference | Gap |
|---|---|---|---|---|---|
| 5.1 | Lisibilite, integrite et tracabilite des documents pour toute la duree de conservation | Conforme | ⅔ | sha3.service.ts -- computeHash() ; TSA RFC 3161 ; audit logs PD-31 | -- |
| 5.2 | Manuel technique du systeme d'information (composants, topologie, architecture, logiciels) | Partiel | Arbitrage | Doc 41 Architecture TechLead v4.1 -- documentation existante mais non consolidee en manuel SAE unique | GAP-FINAL-001 |
| 5.5.1 | Procedure de gestion de la securite du systeme d'information | Partiel | Arbitrage | HSM FIPS 140-2 L3 (PD-7), IAM HashiCorp Vault (PD-235), MFA -- controles techniques existants sans procedure unifiee | GAP-FINAL-002 |
| 5.5.2 | Analyse des risques de securite de l'information documentee | Non implemente | ⅔ | Aucune analyse de risques formelle ISO 27005 | GAP-FINAL-003 |
| 5.5.3 | Securite physique : prevention des acces non autorises au materiel et aux medias | Conforme | ⅔ | Infrastructure OVH securisee ; HSM dedie avec acces restreint (PD-7) | -- |
| 5.5.8 | Conservation d'au moins deux copies dans deux emplacements geographiquement distants | Conforme | 3/3 | Replication CRR Paris-Francfort (crr.tf) ; backup Glacier (PD-5, PD-6) | -- |
| 5.6 | Horodatage ISO 8601 avec source UTC | Conforme | 3/3 | tsa.service.ts -- timestamp() ; TSA RFC 3161 (PD-39) | -- |
| 5.7.1 | Enregistrement horodate de tout evenement du cycle de vie | Conforme | ⅔ | audit-log.service.ts -- logEvent() (PD-31) | -- |
| 5.7.2 | Journaux stockes dans les memes conditions securisees que les documents | Conforme | ⅔ | Audit logs WORM avec meme protection que les documents (PD-31, PD-44) | -- |
| 6.2 | Conservation des medias dans un environnement compatible ; controle regulier de l'etat des donnees | Conforme | ⅔ | Stockage OVH avec monitoring continu (PD-4, PD-44) | -- |
| 9.1 | Integrite par techniques cryptographiques : toute modification detectable | Conforme | 3/3 | Object Lock WORM + SHA-3 + signature HSM (PD-44, PD-38, PD-37) | -- |
| 9.3 | Niveau de securite fort : chaque attestation signee electroniquement | Conforme | ⅔ | Signature HSM FIPS 140-2 Level 3 (PD-37, PD-7) | -- |
| 10.1.1 | Documents numeriques preserves dans un format standardise | Conforme | 3/3 | Politique de formats de preservation formalisee (PD-252). Voir preservation-format-policy.md | GAP-FINAL-004 DONE |
| 10.1.8 | Verification de l'integrite avant chargement dans le systeme | Conforme | 3/3 | integrity.service.ts -- verifyOnUpload() (PD-60, PD-82) | -- |
| 10.1.9 | Metadonnees normatives completes (origine, service, date, format, retention) | Partiel | ⅔ | metadata.service.ts -- metadonnees capturees mais referentiel normatif a completer | GAP-FINAL-005 |
| 11.2.1 | Acces base sur des criteres de recherche, restitution fidele sans traitement du contenu | Conforme | 3/3 | search.service.ts + telechargement sans alteration (PD-42, PD-46) | -- |
| 11.4 | Gestion de la periode de conservation et suppression definitive | Partiel | 3/3 | Retention WORM implementee ; destruction definitive post-expiration non formalisee | GAP-FINAL-006 |
| 12.1.1 | Audit regulier du systeme d'information et des procedures | Partiel | ⅔ | Audits techniques (SonarQube, tests) existants ; programme d'audit ISO formel absent | GAP-FINAL-007 |
| 13 | Regles applicables aux tiers archiveurs | Hors perimetre | 3/3 | Non applicable -- ProbatioVault est un SAE B2C direct | -- |
| 14 | Regles applicables aux prestataires et sous-traitants | Hors perimetre | 3/3 | Non applicable -- architecture integree sans sous-traitance d'archivage | -- |
8.2 Matrice de conformite NF Z42-013:2020¶
La norme NF Z42-013:2020 precise les recommandations et exigences pour la conception et l'exploitation d'un SAE, avec un accent sur la politique d'archivage, les durees de conservation et les controles d'integrite. Le SAE ProbatioVault a ete evalue sur 23 exigences, toutes applicables au contexte B2C.
Synthese NF Z42-013¶
| Indicateur | Valeur |
|---|---|
| Exigences evaluees | 23 |
| Applicables | 23 |
| Hors perimetre | 0 |
| Conformes | 11 (47,8%) |
| Partielles | 10 (43,5%) |
| Non implementees | 2 (8,7%) |
| Score global | 68,18% |
Matrice NF Z42-013 article par article¶
| Article | Exigence | Statut | Consensus | Preuve / Reference | Gap |
|---|---|---|---|---|---|
| 4.1 | Politique d'archivage electronique (PAE) formalisee | Non implemente | 3/3 | Aucune PAE formelle unique -- elements disperses dans la documentation corporate | GAP-FINAL-008 |
| 4.2 | Roles et responsabilites pour l'archivage | Partiel | ⅔ | IAM technique operationnel (PD-235) ; matrice RACI archivage non formalisee | GAP-FINAL-009 |
| 5.1 | Identification des documents et metadonnees associees | Partiel | Arbitrage | Schema de metadonnees structurees (PD-60) ; catalogue documentaire metier non formalise | GAP-FINAL-010 |
| 5.2 | Durees de conservation par categorie documentaire | Partiel | ⅔ | Capacite technique WORM operationnelle (PD-44) ; politique metier non formalisee | GAP-FINAL-011 |
| 6.1 | Integrite au versement | Conforme | 3/3 | upload.service.ts -- verification hash SHA-3 a l'upload (PD-60, PD-82) | -- |
| 6.2 | Accuse de reception horodate et signe | Conforme | ⅔ | tsa.service.ts + signature HSM (PD-39, PD-37) | -- |
| 6.3 | Metadonnees obligatoires au versement (identifiant, date, origine, retention) | Partiel | ⅔ | metadata.service.ts -- metadonnees capturees ; referentiel a completer | GAP-FINAL-012 |
| 7.1 | Stockage sur supports garantissant la perennite | Conforme | 3/3 | OVH Object Storage avec Object Lock WORM, replication cross-region (PD-4, PD-44, PD-6) | -- |
| 7.2 | Redondance des donnees (minimum 2 copies geographiquement distantes) | Conforme | 3/3 | Replication Paris-Francfort + backup Glacier (PD-5, PD-6) | -- |
| 7.3 | Integrite des archives verifiable a tout moment | Conforme | ⅔ | SHA-3 + arbre de Merkle + signature HSM (PD-38, PD-54, PD-37) | -- |
| 8.1 | Acces controle et trace | Conforme | 3/3 | SRP6a + MFA + audit logs pour chaque acces (PD-24, PD-25, PD-27, PD-31) | -- |
| 8.2 | Restitution fidele du document archive | Conforme | 3/3 | Telechargement securise sans alteration (PD-46) | -- |
| 8.3 | Recherche par metadonnees | Conforme | 3/3 | Recherche chiffree sur metadonnees indexees (PD-42, PD-236) | -- |
| 9.1 | Destruction irreversible et tracee | Partiel | 3/3 | Processus de destruction trace ; procedure de suppression definitive a formaliser | GAP-FINAL-013 |
| 9.2 | Bordereau de destruction | Non implemente | 3/3 | Generation automatique de bordereau non implementee | GAP-FINAL-014 |
| 10.1 | Journalisation horodatee de tous les evenements du SAE | Conforme | ⅔ | Audit logs avec horodatage TSA (PD-31, PD-39) | -- |
| 10.2 | Protection du journal contre toute modification | Conforme | ⅔ | Journaux WORM, signes par HSM (PD-31, PD-37, PD-44) | -- |
| 10.3 | Conservation du journal pendant au moins la duree de conservation des archives | Partiel | Arbitrage | Politique de retention des journaux a formaliser explicitement | GAP-FINAL-015 |
| 11.1 | Controles periodiques d'integrite | Partiel | Arbitrage | Verification on-demand possible mais job periodique automatise non implemente | GAP-FINAL-016 |
| 11.2 | Journalisation des resultats des controles d'integrite | Partiel | Arbitrage | Depend de 11.1 -- journalisation des controles a implementer | GAP-FINAL-017 |
| 12.1 | Migration preservant l'integrite | Partiel | Arbitrage | Infrastructure resiliente ; protocole de migration probatoire non formalise | GAP-FINAL-018 |
| 13.1 | Export dans un format standard | Partiel | Arbitrage | Telechargement unitaire operationnel ; export bulk non implemente | GAP-FINAL-019 |
| 13.2 | Export des metadonnees avec les documents | Partiel | Arbitrage | Export avec preuves a implementer -- depend de 13.1 | GAP-FINAL-020 |
8.3 Scores d'audit PD-244¶
Les scores presentes ci-dessous sont repris sans alteration de l'audit PD-244 (reconciliation multi-agents du 2026-02-20). Toute modification de ces valeurs est interdite en vertu de l'invariant INV-249-05 ; seule la creation d'un nouvel audit peut produire des scores actualises.
Scores par norme¶
| Norme | Score final | Verdict | Methode de calcul |
|---|---|---|---|
| ISO 14641:2018 | 77,78% | PARTIEL | (11x100 + 6x50) / 18 |
| NF Z42-013:2020 | 68,18% | PARTIEL | (11x100 + 10x50 + 2x0) / 23 |
| Score global | 72,98% | PARTIEL | Moyenne des deux normes |
La formule contractuelle est : score = ((CONFORME x 100) + (PARTIEL x 50)) / (total - HORS_PERIMETRE).
Repartition par statut¶
| Statut | ISO 14641 | NF Z42-013 | Total |
|---|---|---|---|
| Conforme | 11 | 11 | 22 |
| Partiel | 6 | 10 | 16 |
| Non implemente | 1 | 2 | 3 |
| Hors perimetre | 2 | 0 | 2 |
| Total | 20 | 23 | 43 |
Convergence multi-agents¶
L'audit a mobilise trois agents LLM avec des profils d'evaluation distincts, produisant des scores bruts divergents avant reconciliation :
| Agent | ISO 14641 (brut) | NF Z42-013 (brut) | Profil |
|---|---|---|---|
| Claude | 91,67% | 95,45% | Optimiste technique -- valorise l'implementation existante |
| ChatGPT | 63,89% | 60,87% | Exigence documentaire -- demande formalisation normative |
| Gemini | 58,82% | 45,83% | Strict normatif -- interpretation la plus conservatrice |
Ecart maximal : 32,85 points (ISO) et 49,62 points (NF). Ces ecarts revelent la distinction fondamentale entre conformite technique (le code existe) et conformite documentaire (la formalisation normative existe). Pour une certification externe, la position conservatrice prevaut : la documentation formelle est requise en complement de l'implementation technique.
Taux de convergence par type de resolution¶
| Type de resolution | ISO 14641 | NF Z42-013 | Total |
|---|---|---|---|
| Consensus unanime (3/3) | 5 (25%) | 6 (26%) | 11 (26%) |
| Majorite (⅔) | 8 (40%) | 9 (39%) | 17 (40%) |
| Divergence -> Arbitrage | 4 (20%) | 8 (35%) | 12 (28%) |
| Hors perimetre | 3 (15%) | 0 (0%) | 3 (7%) |
8.4 Gaps identifies¶
L'audit PD-244 a identifie 15 gaps uniques (apres consolidation des 20 ecarts bruts), repartis sur 11 stories de remediation planifiees sous l'epic PD-217 (LEGAL & COMPLIANCE).
Repartition des gaps¶
| Severite | Nombre | Norme ISO | Norme NF |
|---|---|---|---|
| HIGH | 3 | 2 | 1 |
| MEDIUM | 10 | 3 | 7 |
| LOW | 2 | 1 | 1 |
| Total | 15 | 6 | 9 |
Registre detaille des gaps¶
Gaps de severite haute (HIGH)¶
GAP-FINAL-003 -- Analyse de risques non formalisee
- Norme : ISO 14641:2018, article 5.5.2
- Statut actuel : Non implemente
- Description : Aucune analyse de risques formelle ISO 27005 n'existe pour le SAE. L'absence de registre de risques est bloquante pour la certification.
- Impact : Bloquant pour certification ISO 14641.
- Story planifiee : PD-NEW-RISK-ANALYSIS | Epic PD-217
- Responsable : RSSI
- Consensus : ⅔ (Claude PARTIEL ; ChatGPT et Gemini NON_IMPLEMENTE)
GAP-FINAL-007 -- Programme d'audit periodique absent
- Norme : ISO 14641:2018, article 12.1.1
- Statut actuel : Partiel
- Description : Les audits techniques existent (SonarQube, tests automatises, pipelines CI/CD) mais aucun programme d'audit formel ISO 14641/NF Z42-013 n'est etabli avec checklist, periodicite et archivage des rapports.
- Impact : Absence de cadre d'audit systematique pour la certification.
- Story planifiee : PD-NEW-AUDIT-PROGRAM | Epic PD-217
- Responsable : Compliance
- Consensus : Arbitrage (Claude PARTIEL ; ChatGPT et Gemini NON_IMPLEMENTE)
GAP-FINAL-008 -- Politique d'archivage electronique (PAE) absente
- Norme : NF Z42-013:2020, article 4.1
- Statut actuel : Non implemente
- Description : Aucune PAE formelle unique n'existe. Les elements constitutifs sont disperses dans la documentation corporate (Architecture TechLead v4.1, specifications techniques) sans consolidation.
- Impact : Prerequis fondamental pour toute certification archivage.
- Story planifiee : PD-NEW-PAE | Epic PD-217
- Responsable : Compliance
- Consensus : 3/3
Gaps de severite moyenne (MEDIUM)¶
GAP-FINAL-001 -- Manuel technique SAE non consolide
- Norme : ISO 14641:2018, article 5.2
- Statut actuel : Partiel
- Description : La documentation technique existe mais n'est pas consolidee en un manuel SAE unique et referent. La fragmentation rend l'audit externe difficile.
- Story planifiee : PD-NEW-TECHNICAL-MANUAL (repond par le present manuel PD-249)
- Responsable : TechLead
- Statut remediation : En cours (PD-249, Q1 2026)
GAP-FINAL-002 -- Procedure de securite non unifiee
- Norme : ISO 14641:2018, article 5.5.1
- Statut actuel : Partiel
- Description : Les controles techniques existent (HSM, IAM, MFA) mais aucune procedure de securite unifiee ne consolide la posture securite du SAE.
- Story planifiee : PD-NEW-SECURITY-PROCEDURE | Epic PD-217
- Responsable : RSSI
- Statut remediation : Planifie (Q2 2026)
GAP-FINAL-006 -- Destruction definitive non formalisee
- Norme : ISO 14641:2018, article 11.4
- Statut actuel : Partiel
- Description : La gestion de retention WORM est operationnelle mais la destruction definitive post-expiration n'est pas formalisee (job automatique, bordereau, audit trail). Risque de conservation excessive et de non-conformite RGPD.
- Story planifiee : PD-NEW-DESTRUCTION | Epic PD-217
- Responsable : TechLead
- Statut remediation : DONE (PD-250, Q1 2026)
GAP-FINAL-009 -- Matrice RACI archivage non formalisee
- Norme : NF Z42-013:2020, article 4.2
- Statut actuel : Partiel
- Description : L'IAM technique est operationnel mais la matrice de responsabilites metier (RACI) pour les processus d'archivage n'est pas formalisee.
- Story planifiee : PD-NEW-ROLES-MATRIX | Epic PD-217
- Responsable : Compliance
- Statut remediation : Planifie (Q2 2026)
GAP-FINAL-010 -- Catalogue documentaire metier absent
- Norme : NF Z42-013:2020, article 5.1
- Statut actuel : Partiel
- Description : Les metadonnees sont capturees mais le catalogue des types documentaires metier et leurs metadonnees associees n'est pas formalise en referentiel unique.
- Story planifiee : PD-NEW-DOCUMENT-CATALOG | Epic PD-217
- Responsable : PO
- Statut remediation : Planifie (Q2 2026)
GAP-FINAL-011 -- Politique de durees de conservation non formalisee
- Norme : NF Z42-013:2020, article 5.2
- Statut actuel : Partiel
- Description : La capacite technique WORM est operationnelle (PD-44) mais la politique metier definissant les durees de conservation par type documentaire n'est pas alignee sur les obligations legales.
- Story planifiee : PD-NEW-RETENTION-POLICY | Epic PD-217
- Responsable : Legal
- Statut remediation : Planifie (Q2 2026)
GAP-FINAL-014 -- Bordereau de destruction non implemente
- Norme : NF Z42-013:2020, article 9.2
- Statut actuel : Non implemente
- Description : La generation automatique de bordereaux de destruction (PDF/A) n'est pas implementee. Tracabilite incomplete de la destruction.
- Story planifiee : PD-NEW-DESTRUCTION | Epic PD-217
- Responsable : TechLead
- Statut remediation : DONE (PD-250, Q1 2026)
GAP-FINAL-016 -- Controles d'integrite periodiques non automatises
- Norme : NF Z42-013:2020, article 11.1
- Statut actuel : Partiel
- Description : La verification d'integrite est possible on-demand mais aucun job periodique automatise n'est deploye pour verifier l'integrite du parc archive.
- Story planifiee : PD-NEW-PERIODIC-INTEGRITY | Epic PD-217
- Responsable : TechLead
- Statut remediation : En cours (PD-251, Q1 2026)
GAP-FINAL-019 -- Export bulk non implemente
- Norme : NF Z42-013:2020, article 13.1
- Statut actuel : Partiel
- Description : Le telechargement unitaire est operationnel mais l'export bulk avec metadonnees et preuves n'est pas implemente, limitant la reversibilite en cas de migration.
- Story planifiee : PD-NEW-BULK-EXPORT | Epic PD-217
- Responsable : TechLead
- Statut remediation : Planifie (Q4 2026)
Gaps de severite basse (LOW)¶
GAP-FINAL-004 -- Politique de formats de preservation formalisee
- Norme : ISO 14641:2018, article 10.1.1
- Statut actuel : DONE
- Description : Politique de formats de preservation formalisee en document normatif. Voir preservation-format-policy.md.
- Story : PD-252 (DONE, Q1 2026) | Epic PD-217
- Responsable : TechLead
- Statut remediation : DONE (PD-252, Q1 2026)
GAP-FINAL-018 -- Protocole de migration probatoire non formalise
- Norme : NF Z42-013:2020, article 12.1
- Statut actuel : Partiel
- Description : L'infrastructure est resiliente mais le protocole formel de migration avec verification d'integrite pre/post n'est pas documente.
- Story planifiee : PD-NEW-MIGRATION-PROTOCOL | Epic PD-217
- Responsable : TechLead
- Statut remediation : Planifie (Q4 2026)
Gaps consolides non listes individuellement¶
Cinq ecarts supplementaires (GAP-FINAL-005, GAP-FINAL-012, GAP-FINAL-013, GAP-FINAL-015, GAP-FINAL-017, GAP-FINAL-020) sont couverts par les stories de remediation deja listees ci-dessus :
| Gap | Norme et article | Couvert par |
|---|---|---|
| GAP-FINAL-005 | ISO 14641 art. 10.1.9 -- Metadonnees normatives | PD-NEW-METADATA-REFERENTIAL |
| GAP-FINAL-012 | NF Z42-013 art. 6.3 -- Metadonnees obligatoires versement | PD-NEW-METADATA-REFERENTIAL |
| GAP-FINAL-013 | NF Z42-013 art. 9.1 -- Destruction irreversible | PD-NEW-DESTRUCTION (DONE -- PD-250) |
| GAP-FINAL-015 | NF Z42-013 art. 10.3 -- Retention des journaux | PD-NEW-RETENTION-POLICY |
| GAP-FINAL-017 | NF Z42-013 art. 11.2 -- Journalisation des controles | PD-NEW-PERIODIC-INTEGRITY (En cours -- PD-251) |
| GAP-FINAL-020 | NF Z42-013 art. 13.2 -- Export metadonnees avec documents | PD-NEW-BULK-EXPORT |
8.5 Plan de remediation¶
Le plan de remediation ci-dessous traduit chaque gap en action planifiee, avec priorite, horizon temporel, story associee et statut d'avancement. Les stories sont rattachees a l'epic PD-217 (LEGAL & COMPLIANCE).
Vue d'ensemble de la trajectoire¶
| Jalon | Score estime | Actions |
|---|---|---|
| Situation actuelle (fev. 2026) | 72,98% | Audit PD-244 realise |
| Apres stories HIGH (Q2 2026) | ~75% | PAE + Analyse de risques + Programme d'audit |
| Apres toutes les stories (Q4 2026) | ~95% | Remediation complete |
| Certification externe | 100% | Audit par organisme certificateur |
Plan detaille par gap¶
| Gap | Priorite | Story | Description courte | Horizon | Statut |
|---|---|---|---|---|---|
| GAP-FINAL-008 | HIGH | PD-NEW-PAE | Politique d'archivage electronique formelle | Q1-Q2 2026 | Planifie |
| GAP-FINAL-003 | HIGH | PD-NEW-RISK-ANALYSIS | Analyse de risques ISO 27005 | Q2 2026 | Planifie |
| GAP-FINAL-007 | HIGH | PD-NEW-AUDIT-PROGRAM | Programme d'audit periodique ISO 14641 | Q2-Q3 2026 | Planifie |
| GAP-FINAL-001 | MEDIUM | PD-249 | Manuel technique SAE consolide | Q1 2026 | En cours |
| GAP-FINAL-002 | MEDIUM | PD-NEW-SECURITY-PROCEDURE | Procedure securite unifiee | Q2 2026 | Planifie |
| GAP-FINAL-006 | MEDIUM | PD-250 | Destruction controlee avec bordereau | Q1 2026 | DONE |
| GAP-FINAL-013 | MEDIUM | PD-250 | Destruction irreversible et tracee | Q1 2026 | DONE |
| GAP-FINAL-014 | MEDIUM | PD-250 | Bordereau de destruction | Q1 2026 | DONE |
| GAP-FINAL-016 | MEDIUM | PD-251 | Controles d'integrite periodiques | Q1 2026 | En cours |
| GAP-FINAL-017 | MEDIUM | PD-251 | Journalisation des controles d'integrite | Q1 2026 | En cours |
| GAP-FINAL-009 | MEDIUM | PD-NEW-ROLES-MATRIX | Matrice RACI archivage | Q2 2026 | Planifie |
| GAP-FINAL-010 | MEDIUM | PD-NEW-DOCUMENT-CATALOG | Catalogue documentaire metier | Q2 2026 | Planifie |
| GAP-FINAL-011 | MEDIUM | PD-NEW-RETENTION-POLICY | Politique durees de conservation | Q2 2026 | Planifie |
| GAP-FINAL-015 | MEDIUM | PD-NEW-RETENTION-POLICY | Retention des journaux | Q2 2026 | Planifie |
| GAP-FINAL-005 | MEDIUM | PD-NEW-METADATA-REFERENTIAL | Referentiel metadonnees archivage | Q2 2026 | Planifie |
| GAP-FINAL-012 | MEDIUM | PD-NEW-METADATA-REFERENTIAL | Metadonnees obligatoires versement | Q2 2026 | Planifie |
| GAP-FINAL-019 | MEDIUM | PD-NEW-BULK-EXPORT | Export bulk avec preuves | Q4 2026 | Planifie |
| GAP-FINAL-020 | MEDIUM | PD-NEW-BULK-EXPORT | Export metadonnees | Q4 2026 | Planifie |
| GAP-FINAL-004 | LOW | PD-252 | Politique de formats de preservation | Q1 2026 | DONE |
| GAP-FINAL-018 | LOW | PD-NEW-MIGRATION-PROTOCOL | Protocole de migration probatoire | Q4 2026 | Planifie |
Synthese par statut de remediation¶
| Statut | Nombre de gaps | Stories |
|---|---|---|
| DONE | 3 | PD-250 (destruction + bordereau) |
| En cours | 3 | PD-249 (manuel), PD-251 (integrite periodique) |
| Planifie | 14 | 9 stories distinctes sous PD-217 |
| Total | 20 | 11 stories uniques |
Roadmap par trimestre¶
Q1 2026 (Immediat)¶
- PD-250 : Destruction controlee avec bordereau -- DONE
- PD-251 : Verification d'integrite periodique -- En cours
- PD-249 : Manuel technique SAE consolide -- En cours
Q2 2026 (Priorite haute + demarrage medium)¶
- PD-NEW-PAE : Politique d'archivage electronique
- PD-NEW-RISK-ANALYSIS : Analyse de risques ISO 27005
- PD-NEW-AUDIT-PROGRAM : Programme d'audit periodique
- PD-NEW-SECURITY-PROCEDURE : Procedure securite unifiee
- PD-NEW-ROLES-MATRIX : Matrice RACI archivage
- PD-NEW-DOCUMENT-CATALOG : Catalogue documentaire metier
- PD-NEW-RETENTION-POLICY : Politique durees de conservation
- PD-NEW-METADATA-REFERENTIAL : Referentiel metadonnees
Q3 2026 (Priorite medium, suite)¶
PD-NEW-FORMAT-POLICY: Politique de formats de preservation — DONE (PD-252, Q1 2026). Voir preservation-format-policy.md- Pre-audit interne avec checklist ISO 14641 / NF Z42-013
Q4 2026 (Finalisation)¶
- PD-NEW-BULK-EXPORT : Export bulk avec preuves
- PD-NEW-MIGRATION-PROTOCOL : Protocole de migration probatoire
- Preparation de l'audit externe par organisme certificateur
Diagramme 1 -- Couverture normative par composant¶
Le diagramme ci-dessous illustre la correspondance entre les composants du SAE ProbatioVault et les articles normatifs qu'ils couvrent. Les composants en trait plein sont implementes (DONE) ; les composants en trait pointille sont en cours ou planifies.
graph LR
subgraph Composants SAE
A[Stockage WORM]
B[Chaine de preuve]
C[Piste audit]
D[HSM + Crypto]
E[Destruction]
F[Integrite periodique]
end
subgraph ISO 14641
I1["5.5.8 Copies distantes"]
I2["9.1 Integrite crypto"]
I3["5.6 Horodatage"]
I4["5.7 Journaux"]
I5["11.4 Destruction"]
I6["10.1.8 Verif. upload"]
end
subgraph NF Z42-013
N1["7.1-7.2 Conservation"]
N2["6.1 Versement"]
N3["8.1 Acces trace"]
N4["10.1-10.2 Journaux"]
N5["9.1-9.2 Destruction"]
N6["11.1 Integrite period."]
end
A --> I1
A --> N1
B --> I2
B --> I3
B --> I6
B --> N2
C --> I4
C --> N3
C --> N4
D --> I2
D --> I3
E --> I5
E --> N5
F --> N6References¶
| Document | Localisation | Role |
|---|---|---|
| PD-244-reconciliation.yaml | ProbatioVault-doc/docs/epics/legal-compliance/PD-244-*/ | Matrice reconciliee (source de verite) |
| PD-244-gaps.yaml | ProbatioVault-doc/docs/epics/legal-compliance/PD-244-*/ | Registre consolide des 15 gaps |
| PD-244-compliance-dashboard.md | ProbatioVault-doc/docs/epics/legal-compliance/PD-244-*/ | Tableau de bord de conformite |
| PD-244-specification-v2.md | ProbatioVault-doc/docs/epics/legal-compliance/PD-244-*/ | Specification de l'audit |
| ISO 14641:2018 | docs/normes/ISO-14641-2018.pdf | Norme internationale (document protege) |
| NF Z42-013:2020 | docs/normes/Z42-013.pdf | Norme francaise (document protege) |
Source de donnees : Audit PD-244, reconciliation multi-agents (Claude, ChatGPT, Gemini) du 2026-02-20. Scores 77,78% (ISO) et 68,18% (NF) repris sans alteration conformement a INV-249-05.