Plan projet MVP

Version : 1.0 Date : 22 avril 2026 Auteur : Chaouki Barkia Documents liés :

Sommaire

Objectifs et définitions
Définition du MVP
Épics et découpage fonctionnel
Backlog initial (user stories)
Planning en sprints
Jalons produit et démos
Équipe et charge
Budget indicatif
Dépendances et chemin critique
Risques projet et mitigations
Définition of Done
Gouvernance et cadence

1. Objectifs et définitions

1.1 Objectif du MVP (6 mois)

Livrer un produit vendable à trois clients pilotes (1 banque MENA + 1 fintech MENA + 1 assurance / crédit EU) sur un périmètre fonctionnel resserré mais conforme, testé, opérable. Pas de concept, pas de démo ; un produit qui peut traiter un vrai dossier KYC en production chez un vrai client.

1.2 Critères de succès MVP

#	Critère	Cible
S1	Un dossier KYC individu bout-en-bout (web)	3 min max, drop-off < 20 % en test
S2	Screening AML sur 3+ listes officielles	Latence P95 < 800 ms
S3	Un client en production (pas staging)	Semaine 24
S4	Un client en on-prem (image OCI + Helm déployable)	Semaine 30
S5	ISO 27001 en cours (gap analysis + plan)	Semaine 20
S6	Conformité circulaires BCT 2025-06 et 06/2025	Revue par compliance officer externe
S7	SLA 99,5 % sur 30 jours post-GA	Post-semaine 24

1.3 Méthodologie

Scrum allégé : sprints de 2 semaines, stand-ups quotidiens, demo + rétro en fin de sprint.
Story points Fibonacci (1, 2, 3, 5, 8, 13), 13 maximum — au-delà, story à découper.
Kanban sur le support niveau 1 (après M+6).
Gestion : GitHub Projects (MVP) puis Linear ou Jira (V1+).

2. Définition du MVP

2.1 Inclus dans le MVP (6 mois)

✅ Module KYC :

Form Designer no-code — éditeur de parcours KYC configurable, versionné par tenant (exigence commerciale bloquante MENA — cf. ADR-007).
Onboarding individu (web SDK + API) : OCR, liveness passif, face match, proof of address.
Back-office agent : queue, revue manuelle, décision.
Parcours localisé FR + AR + EN.

✅ Module AML :

Screening sanctions (OFAC, UN, EU, HMT, BCT) + PEP + adverse media.
Ongoing monitoring daily (basique).

✅ Module TCR (partiel) :

Classification FATCA indicia détection.
Génération formulaires W-8BEN / W-8BEN-E / W-9 (PDF, sans e-signature native — intégration DocuSign en option).
Générateur XML FATCA v2.0 conforme DGI Tunisie (validable XSD, dépôt IDES manuel par l’IF).

✅ Transverse :

Multi-tenant SaaS (AWS Frankfurt) + licence modulaire.
Back-office unique pour les 3 modules.
Webhook signé + API REST documentée (OpenAPI).
Audit WORM avec hash chain.

✅ Deploiement :

SaaS multi-tenant opérationnel.
Image OCI + Helm chart prêts pour déploiement on-prem validé sur un cluster de test, pas forcément chez un client au M+6.

2.2 Explicitement hors MVP (reporté V1 / V2)

❌ KYB (entreprises) — V1. ❌ Intégration native RNE Tunisie — V1. ❌ Connecteur IDES automatisé — V1 (MVP = dépôt manuel par l’IF). ❌ SDK mobile iOS / Android natif — V1. ❌ VideoKYC agent live — V2. ❌ NFC eMRTD — V2. ❌ Biométrie vocale — V2. ❌ Transaction monitoring — V2. ❌ Certifications SOC 2 Type II, ISO 27001 (obtention) — V1 / V2. ❌ Templates régionaux autres que Tunisie + France.

Tout ajout d’un de ces éléments au MVP = décision formelle du Product Manager + repriorisation complète du backlog.

3. Épics et découpage fonctionnel

3.1 Cartographie des épics

Code	Épic	Module	Priorité MVP
E01	Plateforme de base (tenant, auth, licence)	Transverse	P0
E02	Onboarding KYC individu (web)	KYC	P0
E03	OCR + liveness + face match	KYC / IA	P0
E04	Back-office agent (case management)	Transverse	P0
E05	Screening AML	AML	P0
E06	Ongoing monitoring AML	AML	P1
E07	Classification + formulaires FATCA	TCR	P1
E08	Génération XML FATCA v2.0 DGI Tunisie	TCR	P1
E09	API REST publique + webhooks	Transverse	P0
E10	SDK Web (JS/TS)	SDK	P0
E11	Workflow engine + règles métier	Transverse	P0
E12	Audit trail WORM + export SIEM	Transverse	P1
E13	Déploiement SaaS (AWS) + observabilité	Infra	P0
E14	Packaging on-prem (Helm chart)	Infra	P1
E15	Documentation et portail développeur	Docs	P1
E16	Compliance & sécurité (gap analysis ISO)	Compliance	P1
E17	Form Designer (éditeur no-code de parcours KYC)	KYC / Transverse	P0 MVP

3.2 Dépendances inter-épics (graphe simplifié)

4. Backlog initial (user stories)

Les tailles (SP = story points) sont estimatives et doivent être revues au kickoff par l’équipe.

4.1 Épic E01 — Plateforme de base

ID	User story	SP
E01-S01	En tant qu’admin VitaKYC, je crée un tenant avec son plan et sa licence	5
E01-S02	En tant qu’admin tenant, je crée et désactive des utilisateurs (agent, superviseur)	3
E01-S03	En tant qu’utilisateur, je me connecte via Keycloak (OIDC) avec MFA	5
E01-S04	En tant qu’intégration client, j’obtiens et révoque une clé API avec scopes	3
E01-S05	En tant que système, je valide la licence à chaque appel API (cache 5 min)	5
E01-S06	Row Level Security PostgreSQL activée sur toutes les tables tenant	5
E01-S07	Chiffrement des PII avec clé per tenant (Vault Transit)	8
E01-S08	Journalisation audit WORM avec hash chain	5
	Total E01	39

4.2 Épic E02 — Onboarding KYC individu

ID	User story	SP
E02-S01	En tant que client, je démarre un parcours KYC via un lien sécurisé	3
E02-S02	Je télécharge recto/verso de ma CNI / passeport / permis (avec validation format)	5
E02-S03	Je capture un selfie pour liveness + face match	5
E02-S04	Je télécharge un justificatif de domicile	3
E02-S05	Je fournis mon email + téléphone + OTP	3
E02-S06	Je consens au traitement des données (log horodaté)	3
E02-S07	Je reçois un écran de confirmation + redirection	2
E02-S08	Localisation FR / AR (RTL) / EN du parcours complet	5
E02-S09	Reprise du parcours sur un autre device (resume token)	3
E02-S10	Détection des indicia FATCA US (pays de naissance, adresse, téléphone) et question complémentaire	5
	Total E02	37

4.3 Épic E03 — OCR + liveness + face match

ID	User story	SP
E03-S01	`ocr-svc` extrait les champs de 5 types de documents (passeport ICAO + CNI TN/FR/MA + permis FR)	13
E03-S02	OCR arabe + latin + transliteration automatique	8
E03-S03	Scoring de confiance par champ + seuil configurable par tenant	3
E03-S04	Fallback vers provider commercial si score < seuil	5
E03-S05	`liveness-svc` passif avec modèle ONNX	8
E03-S06	`face-match-svc` selfie ↔ photo document	5
E03-S07	Détection basique de spoofing (photo de photo)	5
E03-S08	Métriques FAR / FRR publiées sur dashboard	3
	Total E03	50

4.4 Épic E04 — Back-office agent

ID	User story	SP
E04-S01	Liste paginée filtrable des dossiers à revoir	5
E04-S02	Vue détail dossier : timeline, documents, décisions automatiques	5
E04-S03	Annoter, approuver ou rejeter un dossier avec raison obligatoire	3
E04-S04	Assignation manuelle / auto-assignation avec SLA	3
E04-S05	Chat interne sur dossier + mentions	3
E04-S06	Export PDF du dossier + piste d’audit	3
E04-S07	Liste des alertes AML avec filtres	3
E04-S08	Vue détail alerte AML + résolution + commentaires	3
	Total E04	28

4.5 Épic E05 — Screening AML

ID	User story	SP
E05-S01	Pipeline d’ingestion listes OFAC, UN, EU, HMT	8
E05-S02	Pipeline d’ingestion liste locale BCT Tunisie (format à confirmer avec source officielle)	5
E05-S03	Matching fuzzy multilingue (arabe ↔ latin)	8
E05-S04	Score de match + seuils configurables	3
E05-S05	Endpoint `POST /v1/aml/screen` avec SLA < 800 ms P95	5
E05-S06	Intégration dans le workflow KYC (résultat remonté au dossier)	3
E05-S07	Fournisseur PEP (via partenaire ComplyAdvantage ou équivalent)	5
E05-S08	Corpus adverse media multilingue (lecture seule V1, MVP = flux simple)	8
	Total E05	45

4.6 Épic E06 — Ongoing monitoring AML

ID	User story	SP
E06-S01	Abonnement automatique d’un client au monitoring quand KYC validé	2
E06-S02	Cron Temporal quotidien rescreening delta listes	5
E06-S03	Création `aml_alert` sur nouveau hit	3
E06-S04	Notification email + webhook `aml.alert.created`	3
E06-S05	Dashboard tenant : alertes ouvertes, SLA	3
	Total E06	16

4.7 Épic E07 — Classification + formulaires FATCA

ID	User story	SP
E07-S01	Moteur de détection indicia US à partir des données KYC	5
E07-S02	Classification auto : US person / Non-US / EENF passive / …	5
E07-S03	Génération PDF W-8BEN pré-rempli	3
E07-S04	Génération PDF W-8BEN-E pré-rempli	3
E07-S05	Génération PDF W-9 pré-rempli	2
E07-S06	Intégration DocuSign pour e-signature (optionnel par tenant)	5
E07-S07	Tracking d’expiration 3 ans + alerte revalidation	3
	Total E07	26

4.8 Épic E08 — Génération XML FATCA v2.0 DGI Tunisie

ID	User story	SP
E08-S01	Schéma de données `tcr_declaration` + `tcr_account_report` + `tcr_ides_ack`	3
E08-S02	Builder XML conforme FatcaXML_v2.0.xsd (JAXB Kotlin)	8
E08-S03	Génération `MessageRefId` et `DocRefId` conformes règles DGI	3
E08-S04	Support types FATCA 1 / 2 / 3 / 4 + NilReport avec chaînage	5
E08-S05	Validation XSD stricte avant sortie fichier	3
E08-S06	Règles de gestion RG1–RG7 (TIN à neuf A / neuf 0, FilerCategory, codes comptes OECD601-605)	5
E08-S07	Export fichier UTF-8 sans BOM, nommage `<MF>-<exercice>.xml`, GZIP optionnel	3
E08-S08	Checklist de conformité automatisée avant téléchargement	3
E08-S09	Tests de non-régression avec échantillons officiels IRS (Publication 5124)	5
	Total E08	38

4.9 Épic E09 — API REST publique + webhooks

ID	User story	SP
E09-S01	Spec OpenAPI 3.1 publique, publiée sur portail	3
E09-S02	Authentification dual (JWT OIDC / X-API-Key)	5
E09-S03	Versioning `/v1/` + `Deprecation` headers	2
E09-S04	Rate limiting par clé API + par tenant	3
E09-S05	Webhooks signés HMAC, retry exponentiel, DLQ	5
E09-S06	Format d’erreur RFC 9457 Problem Details	2
E09-S07	Idempotency-Key sur POST mutatifs	3
	Total E09	23

4.10 Épic E10 — SDK Web

ID	User story	SP
E10-S01	SDK Web Components TypeScript (embed du parcours KYC)	8
E10-S02	Thématisation (couleurs, logo, police) configurable	3
E10-S03	Événements JS (onSuccess, onError, onCancel)	3
E10-S04	Publication NPM + bundle UMD + taille bundle < 200 KB gz	3
E10-S05	Compatibilité iOS Safari + Android Chrome dernières 2 versions	3
	Total E10	20

4.11 Épic E11 — Workflow engine + règles

ID	User story	SP
E11-S01	Cluster Temporal déployé + namespaces par env	5
E11-S02	Workflow `KycOnboardingWorkflow` avec activités (OCR, liveness, AML, TCR)	8
E11-S03	Workflow `AmlOngoingMonitoringWorkflow` cron	5
E11-S04	DSL Kotlin pour règles de décision KYC	5
E11-S05	OPA sidecar + policies d’accès bundle signé	5
E11-S06	Interface admin tenant pour les seuils (pas le code des règles)	5
	Total E11	33

4.12 Épic E12 — Audit & SIEM export

ID	User story	SP
E12-S01	Table `audit_event` append-only + policy Postgres no-UPDATE no-DELETE	3
E12-S02	Hash chain par tenant (SHA-256)	3
E12-S03	Export SIEM Syslog CEF + OpenSearch	5
E12-S04	Interface auditeur : recherche et replay	3
	Total E12	14

4.13 Épic E13 — Déploiement SaaS + observabilité

ID	User story	SP
E13-S01	Cluster EKS AWS Frankfurt + Terraform	8
E13-S02	Pipelines CI (build, test, scan Trivy) + CD (ArgoCD GitOps)	8
E13-S03	Secrets Vault + rotation DB credentials	5
E13-S04	Prometheus + Grafana + Loki + Tempo	5
E13-S05	5 dashboards de référence + alerting PagerDuty	5
E13-S06	Runbook on-call pour 10 scénarios critiques	3
E13-S07	DR test : restore backup + switch région	5
	Total E13	39

4.14 Épic E14 — Packaging on-prem

ID	User story	SP
E14-S01	Helm chart unifié `vitakyc-platform`	8
E14-S02	Values profile `on-prem-small` testé sur K3s	5
E14-S03	Sous-charts postgres, kafka, redis, minio, keycloak, vault embarqués (optionnels)	5
E14-S04	Guide d’installation + prérequis client	3
E14-S05	Script de provisioning des credentials ANCE / certificats	3
E14-S06	Tests d’installation automatisés sur un cluster éphémère CI	5
	Total E14	29

4.15 Épic E15 — Documentation

ID	User story	SP
E15-S01	Portail développeur (Docusaurus) en ligne	3
E15-S02	Guide d’intégration API + SDK + exemples	5
E15-S03	Guide back-office agent et superviseur	3
E15-S04	Matrice de conformité BCT / circulaires	3
E15-S05	FAQ client (entrants commerciaux)	2
	Total E15	16

4.17 Épic E17 — Form Designer (parcours KYC configurable)

ID	User story	SP
E17-S01	Modèle de données form + version + field + rule (JSONB) + schema versioning	5
E17-S02	API CRUD pour formulaires, versions, publication	5
E17-S03	UI back-office : éditeur drag-drop de champs avec palette standard (texte, nombre, date, dropdown, fichier, selfie, signature, consentement, etc.)	13
E17-S04	Groupement en étapes (steps), ordonnancement, étapes conditionnelles	5
E17-S05	Moteur de règles de visibilité et validation (DSL simple `field.x == "y"`)	8
E17-S06	Localisation par champ (libellés + erreurs en FR/AR/EN) + support RTL	5
E17-S07	Preview live multi-device (desktop / mobile / tablette) + multi-langue	5
E17-S08	SDK Web dynamique : rendu à partir d’une définition JSONB, s’adapte à la version active	8
E17-S09	Stockage des données collectées en JSONB + requêtes d’analyse (par champ)	3
E17-S10	Templates sectoriels pré-livrés (banque retail, fintech wallet, crédit, assurance, crypto)	5
E17-S11	Export / import JSON d’un formulaire entre tenants	2
E17-S12	Audit trail des modifications + rollback de version	3
	Total E17	67

4.18 Épic E16 — Compliance & sécurité

ID	User story	SP
E16-S01	Gap analysis ISO 27001 + plan d’action	5
E16-S02	DPIA (Data Protection Impact Assessment)	3
E16-S03	Politique sécurité, politique backup, plan de continuité (documents)	5
E16-S04	Pen-test externe (partenaire sélectionné)	5
E16-S05	Kit conformité pour réponse AO (templates, certificats, attestations)	3
	Total E16	21

4.17 Synthèse quantitative

Épic	SP
E01	39
E02	37
E03	50
E04	28
E05	45
E06	16
E07	26
E08	38
E09	23
E10	20
E11	33
E12	14
E13	39
E14	29
E15	16
E16	21
E17 (Form Designer, MVP)	67
Total MVP	~541 SP

Le poids total dépasse la capacité nominale des 12 sprints initiaux (~420-540 SP). Trois arbitrages possibles :

Étendre MVP à 14 sprints (7 mois) — recommandé si le recrutement suit la cadence prévue.
Ajouter 1 FTE frontend senior en S01 — le form designer est principalement un projet UI lourd.
Réduire le scope AML ingestion initial à 3 listes (OFAC, UN, EU uniquement) et reporter BCT + adverse media full NLP en V1 (~10-15 SP gagnés).

La combinaison 1 + 2 est la plus sûre ; l’option 3 crée un risque réglementaire pour les pilotes tunisiens.

5. Planning en sprints

5.1 Hypothèses de capacité

Équipe initiale (M0 – M3) : 10 FTE (cf. §7).
Vélocité équipe cible : ~35-45 SP / sprint après sprint 3 (warmup).
12 sprints MVP de 2 semaines = 24 semaines = 6 mois.
Capacité brute cumulée sur MVP : ~420-540 SP (cohérent avec le 474 SP estimé, avec marge à consommer).

5.2 Plan sprint par sprint (orientation)

#	Semaines	Thèmes principaux	Épics touchés	Livrable démo
S00	W-2 à 0	Onboarding équipe, infra de dev, dépôt code, CI minimale	—	Environnement dev up
S01	1-2	Base tenant + auth + Keycloak + licence (mock)	E01, E13	Login back-office
S02	3-4	OCR V1 (passeport + CNI TN/FR) + upload document	E02, E03, E13	OCR vu en direct
S03	5-6	Liveness passif + face match	E03	Selfie + décision biométrique
S04	7-8	Parcours onboarding web bout-en-bout (FR)	E02, E10	Démo parcours complet en FR
S05	9-10	Workflow engine + règles de décision	E11, E04	Décision auto vs manuelle visible
S06	11-12	AML screening synchrone + listes OFAC/UN/EU	E05	Alerte AML dans un dossier
S07	13-14	Back-office : queue agent + décision	E04	Démo complète : client + agent
S08	15-16	Localisation AR (RTL) + EN + audit WORM	E02, E12, E15	Parcours arabe RTL live
S09	17-18	API publique documentée + webhooks signés + SDK Web v1	E09, E10, E15	Dév externe intègre en 1 h
S10	19-20	AML ongoing monitoring + RLS + chiffrement	E01, E06	Rescreen quotidien opérationnel
S11	21-22	TCR : classification + formulaires W-8/W-9 + XML FATCA + checklist DGI	E07, E08	Fichier XML DGI validé XSD
S12	23-24	Helm chart on-prem + gap analysis ISO + pen-test + Go Live Pilote 1	E14, E16	Pilote en prod

5.3 Diagramme macro (Gantt simplifié)

Jalons clés superposés :

D1 (fin S05) · démo interne onboarding FR bout-en-bout.
D2 (fin S09) · démo investisseurs / prospects (API, parcours AR, SDK Web, Form Designer).
GA (fin S12) · General Availability avec Pilote 1.
D1 (fin S05) : démo interne onboarding FR bout-en-bout.
D2 (fin S09) : démo investisseurs/prospects (API, parcours AR, SDK Web).
GA (fin S12) : General Availability avec Pilote 1.

6. Jalons produit et démos

Jalon	Semaine	Contenu	Gate
M0 — Kickoff	S00	Équipe en place, environnements dev, budget validé, GitHub Projects ouvert	✔ Décision Go
M1 — Proof of concept interne	S04	Parcours OCR + liveness + face match + décision sur un dossier test	✔ OCR TN/FR ≥ 95 % confiance
M2 — Démo investisseurs / design partners	S09	Parcours complet AR/FR/EN, API démo, SDK Web intégrable	✔ 3 design partners signés (LOI)
M3 — Audit sécurité	S11	Pen-test externe + gap analysis ISO terminés, plan de remédiation	✔ No findings critical
M4 — Go Live Pilote 1 (MVP)	S12	1 client en production SaaS ; 1 client on-prem en phase de déploiement	✔ SLA 99,5 % tenu 2 sem
M5 — V1	S+26 (12 mois)	KYB + RNE + connecteur IDES + SDK mobile + 10 clients	ISO 27001 obtenu
M6 — V2	S+52 (24 mois)	VideoKYC + NFC + TxMon + 30 clients + SOC 2 Type II	—

7. Équipe et charge

7.1 Équipe recommandée par phase

Rôle	M0–M3	M3–M6	M6–M12	Skills clés
Product Manager	1	1	1	Produit SaaS B2B, MENA, compliance
Lead Tech / Architecte	1	1	1	Kotlin/JVM, Kubernetes, sécurité
Backend engineer (Kotlin / Spring)	2	3	5	Spring Boot, PostgreSQL, Kafka, Temporal
ML / Data engineer	1	1	2	PyTorch, ONNX, vision, OCR
Frontend engineer	1	1	2	React, TypeScript, Web Components, i18n RTL
Mobile engineer (iOS + Android)	0	0	2	Swift, Kotlin natif, NFC, caméra
DevOps / SRE	1	1	2	Terraform, Kubernetes, Vault, Prometheus
Security engineer	0	1	1	AppSec, ISO 27001, pen-test
QA / Test engineer	1	1	2	Playwright, k6, Testcontainers
Compliance officer	0,5	0,5	1	LCB-FT, FATCA, GDPR
UX designer	1	1	1	Figma, accessibilité, RTL
Sales / Business	1	2	3	B2B regtech MENA/EU
Total FTE	~9,5	~13,5	~23	—

7.2 Charge totale estimée — MVP (6 mois)

Rôle	FTE moyen × 6 mois	J/H (≈)
Backend	2,5 × 120 j	300
ML	1 × 120 j	120
Frontend	1 × 120 j	120
DevOps	1 × 120 j	120
QA	1 × 120 j	120
UX	1 × 120 j	120
Security	0,5 × 120 j	60
Product / Lead	2 × 120 j	240
Compliance	0,5 × 120 j	60
Sales	1 × 120 j	120
Total	—	~1 380 J/H

8. Budget indicatif

⚠️ Ordres de grandeur seulement — à calibrer au marché local (salaires Tunisie vs France vs hybride). Les chiffres ci-dessous retiennent un mix MENA + 1-2 profils seniors EU.

8.1 Coûts humains — MVP (6 mois)

Poste	FTE moyen	Coût mensuel chargé (€, ordre de grandeur)	6 mois
Product Manager	1	7 000	42 000
Lead Tech / Architecte	1	9 000	54 000
Backend eng (×2,5 mix)	2,5	4 500 / FTE	67 500
ML engineer	1	6 000	36 000
Frontend eng	1	4 500	27 000
DevOps	1	6 000	36 000
QA	1	4 000	24 000
Security (.5)	0,5	7 000	21 000
Compliance (.5)	0,5	5 000	15 000
UX Designer	1	4 500	27 000
Sales	1	5 500 (+ variable)	33 000
Sous-total RH	~9,5		~380 k€

8.2 Coûts externes et outillage — MVP

Poste	Montant 6 mois (€)
Infra cloud (AWS staging + prod Frankfurt)	12 000
Licences outils (GitHub, Atlassian / Linear, Datadog trial, Figma, etc.)	6 000
Providers data AML (ComplyAdvantage ou équivalent, tier starter)	20 000
OCR fallback commercial (consommation MVP)	6 000
Pen-test externe	15 000
Gap analysis ISO 27001 (consultant)	10 000
Juridique (CGU, DPA, contrats pilotes)	8 000
Marketing / GTM léger (site, documentation, SEO)	10 000
Divers & buffer (10 %)	10 000
Sous-total externes	~97 k€

8.3 Total MVP indicatif

~ 480 k€ pour 6 mois, dont ~80 % RH. À partir de M+6, le run (hors nouveaux FTE) représente environ ~70-80 k€ / mois.

8.4 Notes

Les salaires effectifs doivent intégrer la mixité Tunisie / France / remote. Un pool Tunisie pur abaisserait le total RH MVP à ~210-250 k€, au prix d’un recrutement senior plus difficile.
Les coûts data AML (PEP, adverse media) peuvent doubler en V1 avec la montée en volume — clause de renégociation à prévoir.

9. Dépendances et chemin critique

9.1 Chemin critique technique

OCR ─▶ Face match ─▶ Workflow decision ─▶ Back-office ─▶ Pilote 1
       ↑
       Liveness ────────────┘

Tout retard sur OCR TN/FR ≥ seuil (E03-S01, E03-S02) décale le pilote d’un sprint minimum. C’est le poste #1 à sécuriser : recruter le ML engineer au plus tôt, constituer un dataset d’entraînement dès S00.

9.2 Dépendances externes

Dépendance	Fournisseur	Lead time	Action
Données AML (PEP, sanctions enrichies, adverse media)	ComplyAdvantage / Dow Jones / LSEG	4-6 semaines négociation + intégration	Démarrer RFP en S00
Certificat ANCE (pour démos connecteur IDES, en V1)	ANCE Tunisie	2-4 semaines	Démarrer en S08 pour V1
Accès RNE Tunisie (V1)	RNE	À négocier contractuellement	Contacter `interop@e-rne.tn` dès kickoff pour calendrier V1
DocuSign	Partenariat	2 semaines	Compte gratuit d’abord
Pen-test partenaire	Cabinet externe	3 semaines	Shortlist dès S04, exécution S10-S11

10. Risques projet et mitigations

#	Risque	Probabilité	Impact	Mitigation
R1	Recrutement ML engineer senior lent	Moyen	Élevé	Double piste : interne + prestataire ML externe en backup
R2	OCR arabe n’atteint pas 97 % en S05	Moyen	Élevé	Dataset d’entraînement prioritaire en S00 ; fallback commercial activé par défaut
R3	Deal pilote 1 glisse de 2 mois	Moyen	Moyen	Pipeline de 5-7 prospects qualifiés, pas 1 seul ; LOI signées dès M2
R4	Bug critique post-GA	Moyen	Élevé	Canary deployments, feature flags, runbooks sur 10 scénarios, astreinte 24/7
R5	Coût data AML dépasse budget	Moyen	Moyen	Tiers pricing avec ComplyAdvantage, démarrer Starter
R6	Incident de sécurité en pilote	Faible	Très élevé	Pen-test en S11 (gate GA), assurance cyber souscrite en S01
R7	Législation AMLA UE retarde la certification	Faible	Moyen	Veille réglementaire mensuelle ; stratégie multi-juridiction
R8	Dépendance bloquante à Temporal ou autre OSS	Faible	Moyen	Contrat de support commercial activable ; code portable

11. Définition of Done

Une user story est Done si et seulement si :

Le code est mergé dans main après revue d’au moins 1 pair.
Les tests unitaires + contrat + intégration existent et passent.
La couverture de code des composants critiques (sécurité, FATCA) ≥ 85 %.
Scan de sécurité (Trivy, Semgrep) : 0 finding critical, high triagées.
Documentation fonctionnelle mise à jour (portail dev si API publique).
Événements OpenTelemetry émis avec les attributs métier attendus.
La story est déployée en staging et fumigée en démo.
Le Product Manager a explicitement validé la story en démo de sprint.

12. Gouvernance et cadence

12.1 Rituels

Rituel	Fréquence	Participants	Durée
Stand-up	Quotidien	Équipe tech + PM	15 min
Sprint planning	Bi-hebdo	Équipe tech + PM	2 h
Sprint demo	Bi-hebdo	Équipe + sponsor + compliance	1 h
Sprint rétro	Bi-hebdo	Équipe tech	45 min
Architecture review	Hebdo	Lead tech + architectes	1 h
Pipeline revue commerciale	Hebdo	PM + Sales	30 min
Compliance checkpoint	Mensuel	Compliance + PM + Lead	1 h
Board / investor update	Trimestriel	Sponsors	1 h

12.2 Livrables tracés

README monorepo — démarrage dev en moins de 30 min.
CHANGELOG par service (conventional commits).
ADR register tenu à jour (cf. VitaKYC_ADRs.md).
Glossaire co-maintenu avec l’équipe compliance.

Fin du Plan Projet MVP.