đ Audit de l'application GestionRH - 10/07/2026
Audit réalisé par Claude à la demande de Seer MENSAH-ASSIAKOLEY. PérimÚtre : application de gestion RH multi-établissements (
gestionrh-github/). Nature : audit documentaire et technique - aucune modification du code applicatif, aucun commit. Tous les livrables sont dans ce dossier.
đ§ Comment lire cet audit
Commencez par la synthÚse exécutive, puis descendez dans le détail selon votre besoin.
| # | Document | Pour qui / quoi |
|---|---|---|
| 00 | SynthÚse exécutive | Vue d'ensemble, note globale, top priorités |
| 01 | Technologies & architecture | Stack, déploiement, schéma, flux de données |
| 02 | Conventions & organisation du code | Découpage, style, dette technique |
| - | Décisions d'architecture (ADR) | Choix structurants, tracés et justifiés |
| - | Fonctionnalités EN PLACE | Ce que l'app fait aujourd'hui, écran par écran |
| - | Fonctionnalités FUTURES | Ce qui manque, ce qu'on peut ajouter |
| - | Scénarios & parcours (user journeys) | Comment les utilisateurs travaillent |
| - | Product backlog | Liste priorisée du travail à faire |
| - | Release planning | Séquencement en versions |
| - | Stack, bonnes pratiques & commandes | Mémo technique opérationnel |
| - | Besoins export comptable | Ce dont les comptables ont besoin |
| - | Templates de prompts | Prompts prĂȘts pour corriger / faire Ă©voluer |
đž Le projet en une image
- Nom : GestionRH - « Multi-établissements »
- Usage : gérer les salariés, plannings, congés, paie (éléments variables), transport et registre du personnel d'un réseau de boutiques/franchises réparties par ville (Paris, Bordeaux, Lyon).
- Utilisateurs :
admin(siÚge/RH),manager(responsable boutique/ville, périmÚtre restreint),employee(salarié, self-service). - Stack : React + Vite + Tailwind (front) · Supabase (base + auth + fichiers) · Netlify (hébergement). Pas de Java, pas de serveur applicatif dédié.
- Taille du code : ~2 800 lignes concentrées dans un seul fichier
App.jsx.
đŠ Verdict en 30 secondes
Ce qui est remarquable : pour un produit « one-file », la couverture fonctionnelle est impressionnante (planning, paie variable, transport avec justificatifs, historique de contrats, registre du personnel, self-service salarié, alertes d'échéances). L'UX est soignée et cohérente.
Ce qui doit ĂȘtre corrigĂ© en prioritĂ© :
- đŽ SĂ©curitĂ© - RLS permissive : n'importe quel compte connectĂ© peut lire et modifier toutes les donnĂ©es (salaires, donnĂ©es personnelles) via l'API, quel que soit son rĂŽle. Le cloisonnement n'existe que dans l'interface.
- đ Dette structurelle - monolithe : tout dans
App.jsx, sans tests, sans lint, Ă©ditĂ© directement surmainvia l'UI GitHub. Maintenance et Ă©volution risquĂ©es. - đ SchĂ©ma de base non documentĂ© : des tables utilisĂ©es par le code
(
transport_receipts,planning_notes,contract_history) ne figurent dans aucune migration SQL du dépÎt.
Le détail, les impacts et le plan d'action sont dans la synthÚse exécutive.
đïž Arborescence de l'audit
docs/audits/audit_10_07_26_Seer/
âââ README.md â vous ĂȘtes ici
âââ 00-synthese-executive.md
âââ 01-technologies-et-architecture.md
âââ 02-conventions-et-organisation-code.md
âââ adr/
â âââ README.md (index + lien vers le format ADR)
â âââ _template-adr.md
â âââ 0001-stack-react-vite-supabase-netlify.md
â âââ 0002-application-monolithique-app-jsx.md
â âââ 0003-rls-permissive-controle-cote-client.md
â âââ 0004-multi-tenant-par-scope-applicatif.md
â âââ 0005-planning-source-de-verite-de-la-paie.md
â âââ 0006-export-csv-pour-la-comptabilite.md
âââ features/
â âââ on-place/ (auth, salariĂ©s, planning, congĂ©s, paie, transport, registre, contrats, alertes)
â âââ futures/ (alertes avancĂ©es, export comptable, nouvelles fonctionnalitĂ©s, conformitĂ©, technique)
âââ scenarios/
â âââ README.md
â âââ user-journeys.md
âââ backlog/
â âââ product-backlog.md
â âââ release-planning.md
âââ tech/
â âââ stack-et-bonnes-pratiques.md
â âââ commandes-utiles.md
â âââ export-comptable-besoins.md
âââ prompts/
âââ README.md
âââ 01-corriger-un-bug.md
âââ 02-refactor-decoupage.md
âââ 03-nouvelle-fonctionnalite.md
âââ 04-revue-de-code.md
âââ 05-durcir-securite-rls.md
Des routines réutilisables (commandes
/ouverture-session,/preparer-commits,/audit-refresh) sont installées dans.claude/commands/à la racine du dépÎt.
âïž MĂ©thode & limites
- Audit statique : lecture du code (
App.jsx, fichierssupabase-*.sql, configuration) et de l'historique Git. L'application n'a pas été exécutée avec des données réelles (pas d'accÚs à l'instance Supabase de production). - Les constats « base de données » se fondent sur ce que le code appelle
(
supabase.from(...),storage.from(...)) et sur les migrations prĂ©sentes. - Les recommandations sont priorisĂ©es (P0 â P3) mais non estimĂ©es en jours ; voir le release planning pour un sĂ©quencement.
