Skip to main content

    Transparence · Construit en public

    État du site

    Je tiens mon propre site au niveau d'exigence que je fixe pour les produits que je construis. Cette page est la preuve, pas une affirmation : les chiffres de performance ci-dessous sont mesurés en direct dans votre navigateur en ce moment même, et les en-têtes de sécurité sont récupérés en direct depuis ce site. Chaque domaine s'accompagne aussi du raisonnement produit derrière la décision, car votre manière de penser est l'essentiel.

    État des API et services

    Des vérifications d'accessibilité en direct, exécutées depuis votre navigateur en ce moment même, pour les services dont dépend ce site. Pourquoi : un état honnête et en temps réel vaut mieux qu'un statique 'everything's fine'.

    Vérification des services…

    Site web

    Vercel edge / static hosting

    Vérification…

    API Formulaires & Newsletter

    Supabase Edge Functions

    Vérification…

    Protection anti-bots

    Google reCAPTCHA

    Vérification…

    Traduction

    14 langues · préconstruit, pas d’appels à l’exécution

    Vérification…

    Accessibilité et temps d'aller-retour depuis votre emplacement, revérifiés chaque minute. Un point rouge signifie que votre navigateur n'a pas pu joindre ce service.

    Performance

    Des pages statiques prérendues (SSG), un sous-ensemble des polices auto-hébergé, un découpage des bundles par langue et des scripts tiers (reCAPTCHA) chargés uniquement à la demande. Pourquoi : la vitesse est une fonctionnalité et un signal de confiance ; la requête la plus rapide est celle que vous ne faites jamais.

    LCP

    Bon: ≤ 2500 ms

    CLS

    Bon: ≤ 0.1

    FCP

    Bon: ≤ 1800 ms

    TTFB

    Bon: ≤ 800 ms

    Core Web Vitals en direct depuis votre chargement de page actuel (vert = bon, orange = à améliorer, rouge = mauvais). Les chiffres varient selon l'appareil et le réseau.

    Sécurité

    Une Content-Security-Policy basée sur des hachages, sans scripts inline ni eval, HSTS avec preload, des protections contre le clickjacking et le cross-origin, et un backend où le navigateur ne touche jamais la base de données. Pourquoi : une défense en profondeur, et des contrôles qui échouent en mode fermé, pas ouvert.

    Vérification des en-têtes en direct…

    Récupéré en direct depuis ce site. Le durcissement du backend (reCAPTCHA vérifié côté serveur qui échoue en mode fermé, honeypots, limitation de débit par hachage d'IP, liens de suppression signés par HMAC, tables verrouillées par RLS) n'est pas montré ici mais fait l'objet d'un audit.

    Confidentialité & RGPD

    Aucun visiteur n'est suivi avant d'avoir consenti, et rien ne se charge qui divulguerait ses données à un tiers par défaut. Pourquoi : la confidentialité n'est pas un réglage à rajouter, c'est un défaut à concevoir dès le départ.

    Soumis au consentement. Essentiel uniquement par défaut ; les analytics ne se chargent qu'après acceptation. Aucun traceur ne se déclenche au premier chargement.

    Polices auto-hébergées. Les polices sont servies depuis ce domaine, de sorte que les IP des visiteurs n'atteignent jamais Google Fonts.

    Aucune IP brute stockée. Les contrôles anti-abus des formulaires et de la newsletter utilisent un hachage à sens unique salé de l'IP, jamais l'adresse brute.

    Véritable droit à l'effacement. Un flux de suppression de données fonctionnel et vérifié par e-mail supprime définitivement vos données (RGPD Art. 17).

    Des affirmations honnêtes. Les badges de confiance disent 'Ready / Managed', pas 'Compliant', sauf s'il existe une preuve à l'appui.

    Divulgation. Un contact security.txt et une clause de langue faisant foi sur les pages légales.

    Accessibilité

    Conçu dans l'optique de WCAG 2.2 AA (prêt, non certifié par un tiers) : utilisable au clavier, avec un lecteur d'écran, et pour les personnes qui ont besoin de mouvement réduit. Pourquoi : une expérience qui exclut des personnes n'est pas terminée.

    Clavier & focus. Des anneaux de focus visibles partout et un lien d'accès au contenu sur chaque page.

    Mouvement réduit. Chaque animation, y compris les diagrammes des études de cas, respecte prefers-reduced-motion.

    Structure sémantique. Repères, titres, libellés et textes alternatifs appropriés pour les technologies d'assistance.

    Contraste & cibles. Le contraste du texte et la taille des cibles tactiles atteignent le niveau AA en thème clair comme sombre.

    Fiabilité & Processus

    Rien ne part en production sans être testé, et les formulaires sont durcis contre les abus sans pénaliser les vraies personnes. Pourquoi : la fiabilité est une décision produit, et c'est du processus que vient réellement la qualité.

    Déploiements soumis aux tests. Les tests de routes et de parité des traductions doivent passer avant tout build ; la promotion va de dev à qa à prod.

    Défense anti-abus en couches. Score reCAPTCHA + honeypot + validation serveur + limitation de débit par hachage d'IP, le tout à sécurité intégrée.

    Double opt-in. Les inscriptions à la newsletter se confirment par e-mail ; chaque message contient un lien de désabonnement fonctionnel.

    Échec en douceur. Les formulaires se rabattent sur des messages clairs et précis (y compris 'too many attempts') au lieu de casser.

    Vous voulez vérifier tout cela vous-même ? Ouvrez les outils de développement de votre navigateur et examinez les en-têtes de réponse, lancez Lighthouse, ou parcourez le site au clavier. C'est tout l'intérêt de construire en public.

    Discuter sur WhatsApp