jpgiannetti/roadwave
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(bdd): réorganiser features en catégories api/ui/e2e et créer ADR-024

Browse Source 
Résolution des incohérences #10, #11, et #12 de l'analyse d'architecture.

## Phase 1 : Réorganisation Features BDD (Point #10 - RÉSOLU)

- Créer structure features/{api,ui,e2e}
- Déplacer 83 features en 3 catégories via git mv (historique préservé)
  - features/api/ : 53 features (tests API backend)
  - features/ui/ : 22 features (tests UI mobile)
  - features/e2e/ : 8 features (tests end-to-end)

Domaines déplacés :
- API : authentication, recommendation, rgpd-compliance, content-creation,
  moderation, monetisation, premium, radio-live, publicites
- UI : audio-guides, navigation, interest-gauges, mode-offline,
  partage, profil, recherche
- E2E : abonnements, error-handling

## Phase 2 : Mise à jour Documentation

### ADR-007 - Tests BDD
- Ajouter section "Convention de Catégorisation des Features"
- Documenter règles api/ui/e2e avec exemples concrets
- Spécifier step definitions (backend Go, mobile Dart)

### ADR-024 - Stratégie CI/CD Monorepo (NOUVEAU)
- Créer ADR dédié pour stratégie CI/CD avec path filters
- Architecture workflows séparés (backend.yml, mobile.yml, shared.yml)
- Configuration path filters détaillée avec exemples YAML
- Matrice de déclenchement et optimisations (~70% gain temps CI)
- Plan d'implémentation (~2h, reporté jusqu'au développement)

### ADR-016 - Organisation Monorepo
- Simplifier en retirant section CI/CD détaillée
- Ajouter référence vers ADR-024 pour stratégie CI/CD

### INCONSISTENCIES-ANALYSIS.md
- Point #10 (Tests BDD synchronisés) :  RÉSOLU
  - Catégorisation features implémentée
  - ADR-007 mis à jour avec convention complète
- Point #11 (70/30 Split paiements) :  ANNULÉ (faux problème)
  - ADR-009 et Règle 18 parfaitement cohérents
  - Documentation exhaustive existante (formule, SQL, comparaisons)
- Point #12 (Monorepo path filters) : ⏸️ DOCUMENTÉ
  - Architecture CI/CD complète dans ADR-024
  - Implémentation reportée (projet en phase documentation)
- Métriques mises à jour :
  - MODERATE : 6/9 traités (4 résolus + 1 annulé + 1 documenté)
  - ADR à jour : 100% (19/19 avec ADR-024)

## Phase 3 : Validation

- Structure features validée (api/ui/e2e, aucun répertoire restant)
- Historique Git préservé (git mv, renommages détectés)
- 83 features total (API: 53, UI: 22, E2E: 8)

Closes: Point #10 (résolu), Point #11 (annulé), Point #12 (documenté)

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
This commit is contained in:
jpgiannetti
2026-02-01 11:31:41 +01:00
parent 841028d1b2
commit 37c62206ad
88 changed files with 625 additions and 67 deletions
Download Patch File Download Diff File Expand all files Collapse all files

254
features/api/rgpd-compliance/suppression-compte.feature Normal file
View File

@@ -0,0 +1,254 @@
# language: fr
@rgpd @account-deletion
Fonctionnalité: Suppression du compte utilisateur (Article 17 RGPD - Droit à l'effacement)
# 13.4 - Grace period 30j + anonymisation contenus
Contexte:
Étant donné que je suis un utilisateur connecté
Et que j'ai utilisé l'application depuis plusieurs mois
Scénario: Demande de suppression depuis les paramètres
Étant donné que je suis dans "Paramètres > Compte"
Quand je clique sur "Supprimer mon compte"
Alors une page d'avertissement s'affiche avec le message:
"""
Attention: La suppression de votre compte est définitive.
Que se passe-t-il lors de la suppression?
- Votre compte sera désactivé immédiatement (connexion impossible)
- Vos données personnelles seront supprimées dans 30 jours
- Vos contenus créés resteront disponibles de manière anonyme
- Vous pouvez annuler la suppression dans les 30 jours
Voulez-vous vraiment continuer?
"""
Et deux boutons sont disponibles: "Annuler" et "Confirmer la suppression"
Scénario: Confirmation de suppression avec mot de passe
Étant donné que je clique sur "Confirmer la suppression"
Quand un formulaire de confirmation s'affiche
Alors je dois entrer mon mot de passe pour confirmer
Et je dois cocher "Je comprends que cette action est définitive"
Et un captcha peut être requis pour éviter les suppressions automatisées
Quand je valide le formulaire
Alors la suppression est initiée
# Désactivation immédiate
Scénario: Compte désactivé immédiatement après confirmation
Étant donné que j'ai confirmé la suppression de mon compte
Quand la demande est traitée
Alors mon compte est désactivé immédiatement
Et je suis déconnecté de toutes mes sessions
Et je ne peux plus me reconnecter
Et si j'essaie de me connecter, je reçois le message:
"""
Votre compte est en cours de suppression. Si vous souhaitez annuler, cliquez sur le lien reçu par email.
"""
Scénario: Contenus cachés pendant le grace period
Étant donné que mon compte est en cours de suppression
Quand un autre utilisateur recherche mes contenus
Alors mes contenus ne sont plus diffusés dans l'application
Et mes contenus n'apparaissent plus dans les recherches
Et mes contenus ne sont plus recommandés
Mais mes contenus ne sont pas encore supprimés définitivement
# Email de confirmation avec lien d'annulation
Scénario: Email de confirmation envoyé immédiatement
Étant donné que j'ai confirmé la suppression de mon compte
Quand la demande est traitée
Alors je reçois un email avec le sujet "Confirmation de suppression de votre compte RoadWave"
Et l'email contient:
"""
Bonjour,
Votre compte RoadWave est en cours de suppression. Vos données seront définitivement supprimées le [date + 30j].
Si vous changez d'avis, vous pouvez annuler la suppression en cliquant sur le lien ci-dessous (valide 30 jours):
[Annuler la suppression]
Que se passe-t-il ensuite?
- Votre compte est désactivé immédiatement
- Vos contenus sont masqués de l'application
- Vos données seront supprimées dans 30 jours
- Vous pouvez annuler à tout moment pendant ces 30 jours
Pour toute question: dpo@roadwave.fr
"""
Et le lien d'annulation est valide 30 jours
# Grace period de 30 jours
Scénario: Annulation de la suppression dans les 30 jours
Étant donné que j'ai demandé la suppression de mon compte le 2025-01-20
Et que je reçois l'email de confirmation
Quand je clique sur le lien "Annuler la suppression" le 2025-02-05 (16 jours plus tard)
Alors mon compte est réactivé immédiatement
Et je peux me reconnecter normalement
Et mes contenus redeviennent visibles dans l'application
Et toutes mes données sont restaurées
Et je reçois un email de confirmation: "Votre compte a été réactivé"
Scénario: Lien d'annulation expire après 30 jours
Étant donné que j'ai demandé la suppression de mon compte le 2025-01-20
Quand j'essaie de cliquer sur le lien d'annulation le 2025-02-25 (36 jours plus tard)
Alors le lien est expiré
Et je reçois un message "Ce lien a expiré. Votre compte a été définitivement supprimé."
Et la suppression effective a déjà eu lieu
# Suppression effective après 30 jours
Scénario: Suppression effective sans annulation
Étant donné que j'ai demandé la suppression de mon compte le 2025-01-20
Et que je n'ai pas cliqué sur le lien d'annulation
Quand la date atteint le 2025-02-19 (30 jours plus tard)
Alors un job automatique exécute la suppression définitive
Et toutes mes données personnelles sont supprimées
# Données supprimées
Scénario: Liste des données supprimées définitivement
Étant donné que la suppression effective est exécutée
Quand le job de suppression se termine
Alors les données suivantes sont supprimées:
| données | supprimé |
| Compte utilisateur (email, mdp) | oui |
| Profil (pseudo, bio, avatar) | oui |
| Historique d'écoute | oui |
| Historique GPS | oui |
| Centres d'intérêt (jauges) | oui |
| Sessions et tokens | oui |
| Likes et abonnements | oui |
| Notifications non lues | oui |
| Historique consentements | oui |
| Données de paiement | oui |
Et ces suppressions sont irréversibles
# Contenus conservés anonymement
Scénario: Anonymisation des contenus créés
Étant donné que j'ai créé 10 contenus audio
Quand la suppression effective est exécutée
Alors mes contenus audio restent disponibles dans l'application
Et le nom du créateur devient "Utilisateur supprimé"
Et mon pseudo n'est plus visible
Et les métadonnées (titre, description, tags, géolocalisation) sont conservées
Et les fichiers audio restent sur le CDN
Et les statistiques d'écoute sont conservées
Scénario: Justification de l'anonymisation (intérêt légitime)
Étant donné que mes contenus sont conservés anonymement
Quand un auditeur RGPD vérifie la conformité
Alors la conservation est justifiée par l'intérêt légitime de la communauté
Et les contenus ne contiennent plus de données personnelles identifiables
Et la suppression complète nuirait à l'expérience des autres utilisateurs
Et cette pratique est conforme au RGPD si anonymisation réelle
Scénario: Contenu anonymisé visible pour les autres utilisateurs
Étant donné que mon compte a été supprimé
Et que mes contenus ont été anonymisés
Quand un utilisateur consulte un de mes anciens contenus
Alors le créateur affiché est "Utilisateur supprimé"
Et le profil du créateur n'est plus accessible
Et le contenu reste écoutable normalement
Et les likes et statistiques sont conservés
# Likes et abonnements supprimés
Scénario: Suppression de mes likes avec conservation des compteurs
Étant donné que j'avais liké 50 contenus
Quand la suppression effective est exécutée
Alors mes likes sont supprimés de la base de données
Mais les compteurs de likes sur les contenus sont préservés
Et les créateurs ne perdent pas leurs statistiques
Et seule la relation "user X a liké content Y" est supprimée
Scénario: Suppression de mes abonnements
Étant donné que je suivais 20 créateurs
Quand la suppression effective est exécutée
Alors mes abonnements sont supprimés
Et les compteurs d'abonnés des créateurs sont décrémentés de 1
Et les créateurs ne reçoivent pas de notification de désabonnement
# Sessions et tokens révoqués
Scénario: Révocation de tous les tokens immédiatement
Étant donné que je suis connecté sur 3 appareils (mobile, tablette, web)
Quand je demande la suppression de mon compte
Alors tous mes tokens d'authentification sont révoqués immédiatement
Et je suis déconnecté de tous mes appareils
Et toute tentative de reconnexion échoue
# Notifications avant suppression
Scénario: Rappels par email pendant le grace period
Étant donné que j'ai demandé la suppression de mon compte le 2025-01-20
Quand le grace period s'écoule
Alors je reçois des emails de rappel:
| date | jours restants | sujet email |
| 2025-02-04 | 15 jours | Plus que 15 jours pour annuler la suppression |
| 2025-02-12 | 7 jours | Dernière semaine pour annuler la suppression |
| 2025-02-17 | 2 jours | Attention: suppression définitive dans 2 jours |
Et chaque email contient le lien d'annulation
# Conformité RGPD Article 17
Scénario: Conformité droit à l'effacement
Étant donné que la suppression de mon compte est complète
Quand un auditeur RGPD vérifie la conformité
Alors le processus respecte l'article 17 du RGPD:
| exigence RGPD | respecté |
| Suppression de toutes les données personnelles | oui |
| Délai raisonnable (30j grace period acceptable)| oui |
| Possibilité d'annulation (bonne pratique) | oui |
| Anonymisation des contenus (intérêt légitime) | oui |
| Révocation des tokens et sessions | oui |
| Suppression irréversible | oui |
# Cas particuliers
Scénario: Suppression d'un compte Premium
Étant donné que j'ai un abonnement Premium actif
Quand je demande la suppression de mon compte
Alors mon abonnement est annulé immédiatement
Et aucun remboursement n'est effectué (conformément aux CGV)
Et je reçois un email de confirmation d'annulation de l'abonnement
Et le reste du processus de suppression se déroule normalement
Scénario: Suppression d'un compte créateur avec revenus en attente
Étant donné que je suis un créateur avec 75 de revenus en attente de paiement
Quand je demande la suppression de mon compte
Alors un message m'informe:
"""
Vous avez 75 de revenus en attente. Souhaitez-vous recevoir ce paiement avant suppression?
"""
Et je peux choisir "Recevoir le paiement et attendre" ou "Renoncer au paiement"
Et si je choisis "Recevoir le paiement", la suppression est repoussée de 7 jours
Scénario: Suppression avec signalements de modération en cours
Étant donné que j'ai 2 signalements en cours de traitement
Quand je demande la suppression de mon compte
Alors les signalements sont automatiquement clôturés
Et les contenus signalés sont masqués immédiatement
Et aucune sanction n'est appliquée (compte déjà en suppression)
# Traçabilité pour audit
Scénario: Log de la suppression pour traçabilité
Étant donné que la suppression effective est exécutée
Quand le job de suppression se termine
Alors un log est créé avec:
| champ | valeur |
| user_id | [ID anonymisé] |
| deletion_requested_at | 2025-01-20T10:00:00Z |
| deletion_executed_at | 2025-02-19T02:00:00Z |
| deletion_cancelled | false |
| data_deleted | [liste des tables] |
| contents_anonymized | 10 |
Et ce log est conservé 5 ans pour audit RGPD
Et l'user_id est pseudonymisé pour anonymat