Transparence · Construit en public
État du site
Je tiens mon propre site au niveau d'exigence que je fixe pour les produits que je construis. Cette page est la preuve, pas une affirmation : les chiffres de performance ci-dessous sont mesurés en direct dans votre navigateur en ce moment même, et les en-têtes de sécurité sont récupérés en direct depuis ce site. Chaque domaine s'accompagne aussi du raisonnement produit derrière la décision, car votre manière de penser est l'essentiel.
État des API et services
Des vérifications d'accessibilité en direct, exécutées depuis votre navigateur en ce moment même, pour les services dont dépend ce site. Pourquoi : un état honnête et en temps réel vaut mieux qu'un statique 'everything's fine'.
Vérification des services…
Site web
Vercel edge / static hosting
Vérification…
API Formulaires & Newsletter
Supabase Edge Functions
Vérification…
Protection anti-bots
Google reCAPTCHA
Vérification…
Traduction
14 langues · préconstruit, pas d’appels à l’exécution
Vérification…
Accessibilité et temps d'aller-retour depuis votre emplacement, revérifiés chaque minute. Un point rouge signifie que votre navigateur n'a pas pu joindre ce service.
Performance
Des pages statiques prérendues (SSG), un sous-ensemble des polices auto-hébergé, un découpage des bundles par langue et des scripts tiers (reCAPTCHA) chargés uniquement à la demande. Pourquoi : la vitesse est une fonctionnalité et un signal de confiance ; la requête la plus rapide est celle que vous ne faites jamais.
LCP
…
Bon: ≤ 2500 ms
CLS
…
Bon: ≤ 0.1
FCP
…
Bon: ≤ 1800 ms
TTFB
…
Bon: ≤ 800 ms
Core Web Vitals en direct depuis votre chargement de page actuel (vert = bon, orange = à améliorer, rouge = mauvais). Les chiffres varient selon l'appareil et le réseau.
Sécurité
Une Content-Security-Policy basée sur des hachages, sans scripts inline ni eval, HSTS avec preload, des protections contre le clickjacking et le cross-origin, et un backend où le navigateur ne touche jamais la base de données. Pourquoi : une défense en profondeur, et des contrôles qui échouent en mode fermé, pas ouvert.
Vérification des en-têtes en direct…
Récupéré en direct depuis ce site. Le durcissement du backend (reCAPTCHA vérifié côté serveur qui échoue en mode fermé, honeypots, limitation de débit par hachage d'IP, liens de suppression signés par HMAC, tables verrouillées par RLS) n'est pas montré ici mais fait l'objet d'un audit.
Confidentialité & RGPD
Aucun visiteur n'est suivi avant d'avoir consenti, et rien ne se charge qui divulguerait ses données à un tiers par défaut. Pourquoi : la confidentialité n'est pas un réglage à rajouter, c'est un défaut à concevoir dès le départ.
Soumis au consentement. Essentiel uniquement par défaut ; les analytics ne se chargent qu'après acceptation. Aucun traceur ne se déclenche au premier chargement.
Polices auto-hébergées. Les polices sont servies depuis ce domaine, de sorte que les IP des visiteurs n'atteignent jamais Google Fonts.
Aucune IP brute stockée. Les contrôles anti-abus des formulaires et de la newsletter utilisent un hachage à sens unique salé de l'IP, jamais l'adresse brute.
Véritable droit à l'effacement. Un flux de suppression de données fonctionnel et vérifié par e-mail supprime définitivement vos données (RGPD Art. 17).
Des affirmations honnêtes. Les badges de confiance disent 'Ready / Managed', pas 'Compliant', sauf s'il existe une preuve à l'appui.
Divulgation. Un contact security.txt et une clause de langue faisant foi sur les pages légales.
Accessibilité
Conçu dans l'optique de WCAG 2.2 AA (prêt, non certifié par un tiers) : utilisable au clavier, avec un lecteur d'écran, et pour les personnes qui ont besoin de mouvement réduit. Pourquoi : une expérience qui exclut des personnes n'est pas terminée.
Clavier & focus. Des anneaux de focus visibles partout et un lien d'accès au contenu sur chaque page.
Mouvement réduit. Chaque animation, y compris les diagrammes des études de cas, respecte prefers-reduced-motion.
Structure sémantique. Repères, titres, libellés et textes alternatifs appropriés pour les technologies d'assistance.
Contraste & cibles. Le contraste du texte et la taille des cibles tactiles atteignent le niveau AA en thème clair comme sombre.
Fiabilité & Processus
Rien ne part en production sans être testé, et les formulaires sont durcis contre les abus sans pénaliser les vraies personnes. Pourquoi : la fiabilité est une décision produit, et c'est du processus que vient réellement la qualité.
Déploiements soumis aux tests. Les tests de routes et de parité des traductions doivent passer avant tout build ; la promotion va de dev à qa à prod.
Défense anti-abus en couches. Score reCAPTCHA + honeypot + validation serveur + limitation de débit par hachage d'IP, le tout à sécurité intégrée.
Double opt-in. Les inscriptions à la newsletter se confirment par e-mail ; chaque message contient un lien de désabonnement fonctionnel.
Échec en douceur. Les formulaires se rabattent sur des messages clairs et précis (y compris 'too many attempts') au lieu de casser.
Vous voulez vérifier tout cela vous-même ? Ouvrez les outils de développement de votre navigateur et examinez les en-têtes de réponse, lancez Lighthouse, ou parcourez le site au clavier. C'est tout l'intérêt de construire en public.