DOC
Accueil/ Projets/ Gestion RH/ 🔍 Audit de l'application GestionRH - 10/07/2026

🔍 Audit de l'application GestionRH - 10/07/2026

Audit réalisé par Claude à la demande de Seer MENSAH-ASSIAKOLEY. PérimÚtre : application de gestion RH multi-établissements (gestionrh-github/). Nature : audit documentaire et technique - aucune modification du code applicatif, aucun commit. Tous les livrables sont dans ce dossier.


🧭 Comment lire cet audit

Commencez par la synthÚse exécutive, puis descendez dans le détail selon votre besoin.

# Document Pour qui / quoi
00 SynthÚse exécutive Vue d'ensemble, note globale, top priorités
01 Technologies & architecture Stack, déploiement, schéma, flux de données
02 Conventions & organisation du code Découpage, style, dette technique
- Décisions d'architecture (ADR) Choix structurants, tracés et justifiés
- Fonctionnalités EN PLACE Ce que l'app fait aujourd'hui, écran par écran
- Fonctionnalités FUTURES Ce qui manque, ce qu'on peut ajouter
- Scénarios & parcours (user journeys) Comment les utilisateurs travaillent
- Product backlog Liste priorisée du travail à faire
- Release planning Séquencement en versions
- Stack, bonnes pratiques & commandes Mémo technique opérationnel
- Besoins export comptable Ce dont les comptables ont besoin
- Templates de prompts Prompts prĂȘts pour corriger / faire Ă©voluer

📾 Le projet en une image

  • Nom : GestionRH - « Multi-Ă©tablissements »
  • Usage : gĂ©rer les salariĂ©s, plannings, congĂ©s, paie (Ă©lĂ©ments variables), transport et registre du personnel d'un rĂ©seau de boutiques/franchises rĂ©parties par ville (Paris, Bordeaux, Lyon).
  • Utilisateurs : admin (siĂšge/RH), manager (responsable boutique/ville, pĂ©rimĂštre restreint), employee (salariĂ©, self-service).
  • Stack : React + Vite + Tailwind (front) · Supabase (base + auth + fichiers) · Netlify (hĂ©bergement). Pas de Java, pas de serveur applicatif dĂ©diĂ©.
  • Taille du code : ~2 800 lignes concentrĂ©es dans un seul fichier App.jsx.

🚩 Verdict en 30 secondes

Ce qui est remarquable : pour un produit « one-file », la couverture fonctionnelle est impressionnante (planning, paie variable, transport avec justificatifs, historique de contrats, registre du personnel, self-service salarié, alertes d'échéances). L'UX est soignée et cohérente.

Ce qui doit ĂȘtre corrigĂ© en prioritĂ© :

  1. 🔮 SĂ©curitĂ© - RLS permissive : n'importe quel compte connectĂ© peut lire et modifier toutes les donnĂ©es (salaires, donnĂ©es personnelles) via l'API, quel que soit son rĂŽle. Le cloisonnement n'existe que dans l'interface.
  2. 🟠 Dette structurelle - monolithe : tout dans App.jsx, sans tests, sans lint, Ă©ditĂ© directement sur main via l'UI GitHub. Maintenance et Ă©volution risquĂ©es.
  3. 🟠 SchĂ©ma de base non documentĂ© : des tables utilisĂ©es par le code (transport_receipts, planning_notes, contract_history) ne figurent dans aucune migration SQL du dĂ©pĂŽt.

Le détail, les impacts et le plan d'action sont dans la synthÚse exécutive.


đŸ—‚ïž Arborescence de l'audit

docs/audits/audit_10_07_26_Seer/
├── README.md                          ← vous ĂȘtes ici
├── 00-synthese-executive.md
├── 01-technologies-et-architecture.md
├── 02-conventions-et-organisation-code.md
├── adr/
│   ├── README.md                      (index + lien vers le format ADR)
│   ├── _template-adr.md
│   ├── 0001-stack-react-vite-supabase-netlify.md
│   ├── 0002-application-monolithique-app-jsx.md
│   ├── 0003-rls-permissive-controle-cote-client.md
│   ├── 0004-multi-tenant-par-scope-applicatif.md
│   ├── 0005-planning-source-de-verite-de-la-paie.md
│   └── 0006-export-csv-pour-la-comptabilite.md
├── features/
│   ├── on-place/    (auth, salariĂ©s, planning, congĂ©s, paie, transport, registre, contrats, alertes)
│   └── futures/     (alertes avancĂ©es, export comptable, nouvelles fonctionnalitĂ©s, conformitĂ©, technique)
├── scenarios/
│   ├── README.md
│   └── user-journeys.md
├── backlog/
│   ├── product-backlog.md
│   └── release-planning.md
├── tech/
│   ├── stack-et-bonnes-pratiques.md
│   ├── commandes-utiles.md
│   └── export-comptable-besoins.md
└── prompts/
    ├── README.md
    ├── 01-corriger-un-bug.md
    ├── 02-refactor-decoupage.md
    ├── 03-nouvelle-fonctionnalite.md
    ├── 04-revue-de-code.md
    └── 05-durcir-securite-rls.md

Des routines réutilisables (commandes /ouverture-session, /preparer-commits, /audit-refresh) sont installées dans .claude/commands/ à la racine du dépÎt.


⚖ MĂ©thode & limites

  • Audit statique : lecture du code (App.jsx, fichiers supabase-*.sql, configuration) et de l'historique Git. L'application n'a pas Ă©tĂ© exĂ©cutĂ©e avec des donnĂ©es rĂ©elles (pas d'accĂšs Ă  l'instance Supabase de production).
  • Les constats « base de donnĂ©es » se fondent sur ce que le code appelle (supabase.from(...), storage.from(...)) et sur les migrations prĂ©sentes.
  • Les recommandations sont priorisĂ©es (P0 → P3) mais non estimĂ©es en jours ; voir le release planning pour un sĂ©quencement.