@atlashub/smartstack-cli 1.34.0 → 1.36.0

package/templates/skills/business-analyse/questionnaire/01-context.md

@@ -25,9 +25,24 @@
 
 ---
 
-## Follow-up Questions
-
-For each vague answer:
-- "Can you give a concrete example?"
-- "How do you measure that today?"
-- "What happens if this rule is not respected?"
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q1.1 (problem) | User describes a solution, not a problem | "Oublions la solution un instant — quel problème rencontrez-vous concrètement aujourd'hui ?" |
+| Q1.2 (AS-IS) | No concrete workflow described | "Décrivez-moi une journée type : vous arrivez, vous ouvrez l'outil — que faites-vous en premier ?" |
+| Q1.3 (TO-BE) | Vague ("ça ira mieux") | "Concrètement, quel geste ou tâche sera différent ? Combien de clics/minutes en moins ?" |
+| Q1.4 (KPIs) | No measurable metric | "Comment saurez-vous dans 3 mois que cette fonctionnalité a réussi ? Quel chiffre regarderez-vous ?" |
+| Q1.5 (ROI) | "I don't know" | "Combien de temps passez-vous sur ce processus aujourd'hui par semaine ? À combien de personnes ?" |
+| Q1.7 (if NOT built) | Minimized impact | "Si on ne fait rien pendant 6 mois, qu'est-ce qui empire ? Quel est le coût de l'inaction ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "Il faudrait un bouton/écran/champ..." | **Solution disguised as need** | Apply Solution → Problem Reframing |
+| "C'est évident", "tout le monde sait" | **Implicit assumption** | "Pouvez-vous le formuler explicitement pour que je puisse le documenter ?" |
+| KPIs are feelings ("ça sera mieux") | **Non-measurable success** | "Quel chiffre regarderez-vous pour savoir si c'est réussi ?" |
+| Q1.7 = "rien de grave" | **Faible justification business** | Challenge: si ce n'est pas grave, pourquoi le développer ? |

package/templates/skills/business-analyse/questionnaire/02-stakeholders.md

@@ -27,9 +27,43 @@
 
 ## Role -> Permission Mapping
 
+> **⚠️ RBAC RULE: Roles are SmartStack permissions, NOT entity attributes.**
+>
+> When stakeholders mention "roles" (admin, manager, user...), these MUST be mapped
+> to SmartStack's RBAC permission system (`business.{app}.{module}.{action}`).
+>
+> **NEVER** model a role as:
+> - A property/column on a User entity (e.g. `User.Role`, `User.RoleType`)
+> - An enum or string attribute on any business entity
+> - A separate `Role` entity with a FK on User
+>
+> **ALWAYS** map roles to permission sets in the matrix below:
+
 | Discovered Role | SmartStack Permission |
 |-----------------|----------------------|
 | Admin | `*.admin` |
 | Manager | `*.read,create,update` |
 | User | `*.read,create` |
 | ReadOnly | `*.read` |
+
+> If the business need requires **custom roles beyond these 4**, document them
+> as additional permission sets — not as data model concepts.
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q2.1 (end users) | Only 1-2 roles listed | "Y a-t-il des auditeurs, des administrateurs système, du support, des processus automatisés ?" |
+| Q2.5 (tasks per role) | Generic tasks ("manage data") | "Prenons le rôle {role} : en arrivant le matin, quelle est sa première action ? Et après ?" |
+| Q2.6 (frequency) | "Régulièrement" | "Quotidien ? 10 fois/jour ou 1 fois ? Certains jours plus que d'autres ?" |
+| Q2.8 (frustrations) | "Rien de particulier" | "Quel processus prend le plus de temps ? Qu'est-ce qui vous fait soupirer ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Un seul type d'utilisateur identifié | **Stakeholders manquants** | Proposer systématiquement : admin, utilisateur métier, lecteur, auditeur, support N1 |
+| "Tous les utilisateurs font la même chose" | **Rôles non différenciés** | "Qui peut supprimer ? Qui ne fait que consulter ? Qui valide ?" |
+| Mélange rôle organisationnel et accès | **Confusion rôle/permission** | Séparer : rôle métier (chef de projet) vs niveau d'accès (lecture/écriture) |

package/templates/skills/business-analyse/questionnaire/03-scope.md

@@ -33,3 +33,26 @@
 | Should | Brings significant value but can wait for v2 |
 | Could | Nice-to-have, can be implemented if time available |
 | Won't | Explicitly excluded from scope |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q3.1 (Must-Have) | > 10 items listed | "Si vous ne pouviez en garder que 3 pour la v1, lesquels ? Les autres sont peut-être Should-Have." |
+| Q3.1 (Must-Have) | Mélange CRUD + complexe | "Le CRUD de base (liste, création, modification, suppression) est-il un Must, ou certaines actions sont Could ?" |
+| Q3.2 (Should-Have) | Vide | "Y a-t-il des fonctionnalités utiles mais qui peuvent attendre une v2 ? Export, filtres avancés, notifications ?" |
+| Q3.4 (exclusions) | Vide | "Que ne voulez-vous surtout PAS dans ce module ? Intégrations, reporting, mobile, historique ?" |
+| Q3.5 (main flow) | < 3 étapes | "Détaillez : l'utilisateur arrive sur l'écran → que voit-il ? → que clique-t-il ? → que se passe-t-il ?" |
+| Q3.7 (alt flows) | "Il n'y en a pas" | "Que se passe-t-il si l'utilisateur annule ? S'il n'a pas la permission ? Si les données sont invalides ?" |
+| Q3.8 (errors) | Liste vide | "Que se passe-t-il si le réseau coupe ? Si un champ obligatoire manque ? Si un doublon existe ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Tout est Must-Have | **Scope non priorisé** | Appliquer le test : "Sans cette fonctionnalité, le module a-t-il ZÉRO valeur ?" |
+| Q3.4 vide (rien d'exclu) | **Scope illimité** | "Si tout est inclus, le risque est de ne jamais livrer. Qu'est-ce qui est hors périmètre v1 ?" |
+| Flow linéaire sans alternative | **Happy path uniquement** | "Que se passe-t-il au step X si la condition Y n'est pas remplie ?" |
+| Mélange fonctionnel/technique | **Solution dans le scope** | Séparer : "gérer les commandes" (fonctionnel) vs "utiliser Redis" (technique) |

package/templates/skills/business-analyse/questionnaire/04-data.md

@@ -34,3 +34,47 @@
 | Unique attribute | `HasIndex().IsUnique()` |
 | 1:N relationship | Navigation property |
 | Sensitive data | Encryption + audit |
+
+> **⚠️ RBAC EXCLUSION: The following concepts are handled by SmartStack's RBAC system
+> and MUST NOT be modeled as entity attributes or separate entities:**
+>
+> | Concept | ❌ Wrong (entity attribute) | ✅ Correct (RBAC) |
+> |---------|---------------------------|-------------------|
+> | User role | `User.Role` property | Permission set `business.{app}.{module}.*` |
+> | Access level | `User.AccessLevel` enum | Permission matrix per role |
+> | Is admin | `User.IsAdmin` boolean | `business.{app}.{module}.admin` permission |
+> | Can edit | `User.CanEdit` boolean | `business.{app}.{module}.update` permission |
+>
+> When Q4.2 asks for "important attributes", **exclude** any role/permission/access concept.
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q4.1 (entities) | Single entity listed | "Cette entité a-t-elle des sous-éléments ? (lignes de commande, pièces jointes, historique)" |
+| Q4.1 (entities) | Mentions "User" as entity | "L'utilisateur est géré par SmartStack (Identity). Décrivez plutôt l'entité MÉTIER (Client, Employee, Contact...)" |
+| Q4.2 (attributes) | Liste de champs techniques (ID, CreatedDate) | "Les champs techniques (Id, TenantId, audit) sont auto-gérés. Quels sont les attributs MÉTIER ?" |
+| Q4.3 (relationships) | "1:N" without detail | "Un {Parent} peut avoir combien de {Children} max ? Un {Child} peut-il exister sans {Parent} ?" |
+| Q4.4 (volume) | "Beaucoup" | "Ordre de grandeur : dizaines, centaines, milliers, millions ? Croissance par mois ?" |
+| Q4.5 (validations) | Validations basiques seulement | "Y a-t-il des règles inter-champs ? (date fin > date début, montant selon statut)" |
+| Q4.8 (sensitive) | "Non" | "Pas de données personnelles (nom, email, téléphone) ? Pas de données financières ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Entity "User" avec attributs métier | **Confusion User/Identity** | SmartStack gère les Users via Identity. L'entité métier = Client, Employee, Contact |
+| Attributs Id, TenantId, CreatedBy listés | **Champs techniques comme métier** | Ces champs sont auto-générés par `AuditableEntity`. Ne pas les lister. |
+| Pas de soft delete mentionné | **Suppression non clarifiée** | "Les données supprimées sont-elles effacées définitivement ou archivées ?" → `SoftDeletableEntity` |
+| Aucune contrainte d'unicité | **Unicité non vérifiée** | "Deux entités peuvent-elles avoir le même nom/code/email ?" |
+
+### SmartStack Entity Patterns
+
+| Besoin métier | Base class SmartStack | Inclut automatiquement |
+|---------------|----------------------|----------------------|
+| Entité simple | `Entity` | Id, TenantId |
+| Avec audit | `AuditableEntity` | + CreatedBy, CreatedDate, ModifiedBy, ModifiedDate |
+| Avec suppression logique | `SoftDeletableEntity` | + IsDeleted, DeletedBy, DeletedDate |
+| Avec hiérarchie | `HierarchicalEntity` | + ParentId, Level, Path |

package/templates/skills/business-analyse/questionnaire/05-integrations.md

@@ -27,10 +27,32 @@
 
 ## SmartStack Patterns
 
-| Integration Type | Pattern |
-|-----------------|---------|
-| REST API | HttpClient + Polly |
-| Message Queue | MassTransit |
-| Webhook | Controller endpoint |
-| Real-time | SignalR |
-| Batch import | Background job |
+| Integration Type | Pattern | When to use |
+|-----------------|---------|-------------|
+| REST API | HttpClient + Polly | Appel synchrone à un service externe avec retry/circuit-breaker |
+| Message Queue | MassTransit | Communication asynchrone entre modules/services |
+| Webhook | Controller endpoint | Réception d'événements depuis un système externe |
+| Real-time | SignalR | Notifications temps réel vers le navigateur |
+| Batch import | Background job (Hangfire) | Import/traitement de gros volumes en arrière-plan |
+| File storage | Azure Blob / local | Upload/download de documents et pièces jointes |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q5.1 (internal) | "Aucun" | "Ce module doit-il notifier d'autres modules ? Lire des données d'un autre contexte ?" |
+| Q5.2 (external) | "Aucun" | "Pas d'envoi d'emails ? Pas de connexion ERP, CRM, comptabilité ? Pas de SSO externe ?" |
+| Q5.3 (APIs) | "Oui il y a une API" | "Avez-vous la documentation (Swagger/OpenAPI) ? Quel format (REST/SOAP/GraphQL) ? Auth (API key, OAuth) ?" |
+| Q5.6 (frequency) | "Temps réel" | "Temps réel = chaque seconde (SignalR) ou à chaque modification (event-driven) ? Quelle latence acceptable ?" |
+| Q5.7 (conflicts) | "Pas de conflits" | "Si le système externe envoie une donnée qui existe déjà, on écrase, on ignore ou on signale ?" |
+| Q5.8 (fallback) | "Ça ne devrait pas arriver" | "Si le service est down 1h, que fait l'utilisateur ? File d'attente, mode dégradé, retry ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Intégration synchrone pour tout | **Couplage fort** | Si l'autre système peut être lent/down, proposer pattern asynchrone (MassTransit) |
+| "On verra plus tard pour l'intégration" | **Intégration non planifiée** | Documenter minimum : système cible, direction du flux, format attendu |
+| Pas de stratégie d'erreur | **Pas de résilience** | Toute intégration externe DOIT avoir un fallback (Polly retry + circuit breaker) |

package/templates/skills/business-analyse/questionnaire/06-security.md

@@ -38,3 +38,31 @@
 | Export | `.export` |
 | Import | `.import` |
 | Admin | `.admin` |
+
+> **⚠️ RBAC ARCHITECTURE: SmartStack gère les rôles et permissions via son système RBAC intégré (HasData).**
+>
+> - Les rôles identifiés en Q6.1-Q6.4 sont des **ensembles de permissions**, pas des données métier
+> - L'accès est contrôlé par des permissions attribuées aux rôles, pas par des propriétés d'entité
+> - Ne jamais proposer de créer une entité `Role`, `UserRole`, ou un attribut `User.Role`
+> - Le mapping rôle → permissions se fait dans la **Permission Matrix** (step-03-specify)
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q6.1-Q6.4 (access) | "Admin peut tout faire" | "Tout = aussi supprimer ? Aussi exporter des données sensibles ? Aussi modifier les données d'un autre tenant ?" |
+| Q6.1-Q6.4 (access) | Un seul rôle défini | "Qui ne fait que consulter ? Qui peut modifier mais pas supprimer ? Qui valide les actions critiques ?" |
+| Q6.4 (delete) | "Tout le monde peut supprimer" | "Suppression logique ou physique ? Confirmation requise ? Possibilité de restaurer ?" |
+| Q6.7 (audit) | "Non" | "Pas besoin de savoir qui a modifié quoi et quand ? Pas de traçabilité réglementaire ?" |
+| Q6.8 (compliance) | "Pas concerné" | "Données personnelles (RGPD) ? Données financières (SOX) ? Données de santé (HDS) ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "Admin = accès total sans restriction" | **Super-admin sans granularité** | Même l'admin devrait avoir des permissions explicites, pas un bypass global |
+| Aucune mention de multi-tenant | **Isolation oubliée** | SmartStack est multi-tenant : chaque requête est filtrée par TenantId automatiquement |
+| Pas d'audit trail | **Traçabilité absente** | `AuditableEntity` fournit CreatedBy/ModifiedBy. Suffisant ou besoin d'un audit log détaillé ? |
+| Permissions uniquement CRUD | **Actions métier non couvertes** | Y a-t-il des actions spécifiques ? (valider, approuver, archiver, publier) → permissions custom |

package/templates/skills/business-analyse/questionnaire/07-ui.md

@@ -27,10 +27,35 @@
 
 ## SmartStack Components
 
-| Need | Component |
-|------|-----------|
-| List with pagination | DataTable |
-| Creation form | Form + Modal |
-| Edit form | Form + Modal |
-| Filters | FilterBar |
-| Export | ExportButton |
+| Need | Component | Détail |
+|------|-----------|--------|
+| List with pagination | DataTable | Tri, pagination, sélection, actions inline |
+| Creation form | Form + Modal | Validation FluentValidation, i18n des erreurs |
+| Edit form | Form + Modal | Pré-remplissage, dirty check, optimistic locking |
+| Filters | FilterBar | Filtres combinables, persistance URL params |
+| Export | ExportButton | CSV/Excel, respecte les filtres actifs |
+| Cards/Grid | CardGrid | Affichage visuel alternatif au tableau |
+| Detail view | DetailPanel | Side panel ou page dédiée |
+| Status/Workflow | StatusBadge + Timeline | Affichage état + historique transitions |
+| Tooltips/Infobulles | Tooltip | Info contextuelle sur champs/actions |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q7.1 (devices) | "Desktop uniquement" | "Aucun accès mobile ? Même pas en consultation ? Tablette en atelier/terrain ?" |
+| Q7.5 (screens) | "Un écran de liste" | "Avec création/édition inline ou en modal ? Détail en side panel ou page séparée ?" |
+| Q7.5 (screens) | Pas de mention dashboard | "L'utilisateur a-t-il besoin d'un tableau de bord avec des KPIs avant de plonger dans les données ?" |
+| Q7.7 (key info) | "Toutes les colonnes" | "Sur mobile/petit écran, quelles 3-4 colonnes sont indispensables ? Le reste = détail secondaire" |
+| Q7.8 (actions) | "CRUD classique" | "Actions métier spécifiques ? (valider, dupliquer, archiver, changer statut, assigner)" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "Un seul gros formulaire avec tout" | **Formulaire monolithique** | Proposer des étapes/wizard ou des onglets par section logique |
+| Aucune mention de feedback utilisateur | **UX silencieuse** | "Quels messages de succès/erreur ? Toast, notification, redirect ?" |
+| "Identique à [autre app]" | **Copier sans adapter** | "Quelles différences de contexte ? L'utilisateur fait-il le même parcours ?" |
+| Actions sans confirmation | **Actions destructives non protégées** | "La suppression nécessite-t-elle une confirmation ? Un motif ? Une double validation ?" |

package/templates/skills/business-analyse/questionnaire/08-performance.md

@@ -33,3 +33,24 @@
 | Page load | < 2s |
 | Concurrent users | Per license |
 | Uptime | 99.5% |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q8.1 (response time) | "Rapide" | "< 1 seconde ? < 200ms ? Différence acceptable entre liste et détail ?" |
+| Q8.2 (concurrent users) | "Pas beaucoup" | "Combien d'utilisateurs se connectent en même temps le matin ? Aux heures de pointe ?" |
+| Q8.3 (peaks) | "Non" | "Pas de clôture mensuelle ? Pas de période de saisie massive ? Pas d'import batch ?" |
+| Q8.4 (SLA) | "100% dispo" | "100% n'existe pas. 99.9% = ~8h d'indisponibilité/an. 99.5% est le standard SmartStack." |
+| Q8.6 (tests) | "Tests normaux" | "Tests unitaires ? Intégration ? E2E ? Tests de charge ? Tests de sécurité (OWASP) ?" |
+| Q8.8 (acceptance) | Vide | "Quels critères pour que le PO valide la livraison ? Performance, fonctionnel, UX ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| SLA irréaliste (100%, < 10ms) | **Exigences impossibles** | Rappeler les seuils SmartStack et le coût de chaque 9 supplémentaire |
+| Aucune mention de volume de données | **Scalabilité non planifiée** | "Avec 1M de lignes dans 2 ans, la recherche sera-t-elle toujours performante ?" |
+| Pas de tests mentionnés | **Qualité non vérifiable** | Au minimum : tests unitaires services + tests intégration API |

package/templates/skills/business-analyse/questionnaire/09-constraints.md

@@ -27,9 +27,32 @@
 
 ## SmartStack Constraints
 
-| Constraint | Impact |
-|-----------|--------|
-| Multi-tenant | TenantId required |
-| .NET 8+ | Minimum version |
-| React 19+ | Frontend version |
-| SQL Server/PostgreSQL | Supported databases |
+| Constraint | Impact | Non-négociable |
+|-----------|--------|----------------|
+| Multi-tenant | TenantId sur toutes les entités, isolation par tenant | Oui |
+| .NET 8+ | Version minimum du backend | Oui |
+| React 19+ | Version minimum du frontend | Oui |
+| SQL Server/PostgreSQL | Bases de données supportées | Oui |
+| CQRS | Commands/Queries séparées via MediatR | Oui |
+| FluentValidation | Validation côté serveur | Oui |
+| i18n (4 langues) | FR, EN, IT, DE obligatoires | Oui |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q9.1 (tech stack) | Propose une technologie hors SmartStack | "SmartStack impose .NET 8 + React 19. Cette contrainte est-elle compatible avec votre besoin ?" |
+| Q9.2 (infrastructure) | "Cloud" sans précision | "Azure, AWS, on-premise ? Contraintes de localisation des données (pays) ?" |
+| Q9.5 (budget) | "Pas de budget défini" | "Y a-t-il un nombre de jours maximum ? Une enveloppe à ne pas dépasser ?" |
+| Q9.6 (deadline) | "Le plus vite possible" | "Y a-t-il une date métier impérative ? (réglementaire, événement, fin de contrat)" |
+| Q9.8 (approval) | "Le chef valide" | "Validation technique (code review) + validation fonctionnelle (PO) + validation sécurité (OWASP) ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Technologie imposée hors stack | **Incompatibilité SmartStack** | Clarifier : est-ce une intégration (OK) ou un remplacement de composant (risqué) ? |
+| Pas de deadline | **Priorité floue** | "Sans deadline, comment prioriser par rapport aux autres demandes ?" |
+| "Pas de contrainte" | **Contraintes implicites oubliées** | Multi-tenant, RGPD, audit, i18n sont des contraintes SmartStack obligatoires |

package/templates/skills/business-analyse/questionnaire/10-documentation.md

@@ -27,9 +27,30 @@
 
 ## SmartStack Documentation
 
-| Type | Generated by |
-|------|-------------|
-| FRD Documentation | `/business-analyse:6-doc-html` |
-| Swagger API | Automatic |
-| User guide | Manual or AI |
-| Release notes | `/gitflow:11-finish` |
+| Type | Generated by | Format |
+|------|-------------|--------|
+| FRD Documentation | `/business-analyse:6-doc-html` | React page intégrée dans SmartStack web |
+| Swagger API | Automatic (Swashbuckle) | OpenAPI 3.0 |
+| User guide | Manual or AI | Markdown / PDF |
+| Release notes | `/gitflow:11-finish` | Changelog automatique |
+| ERD (schéma données) | `/documentation` skill | Mermaid diagram |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q10.1 (user doc) | "Oui" sans détail | "Guide pas-à-pas ? FAQ ? Vidéo tutoriel ? Tooltips in-app ? Quel public cible ?" |
+| Q10.2 (tech doc) | "Non" | "Pas de documentation API ? Pas de schéma de données pour les développeurs futurs ?" |
+| Q10.3 (training) | "Pas prévu" | "Comment les utilisateurs apprendront-ils ? Formation, doc, auto-apprentissage ?" |
+| Q10.5 (support SLA) | "Support normal" | "Temps de réponse N1 attendu ? Heures ouvrées ou 24/7 ? Canal (email, ticket, chat) ?" |
+| Q10.8 (monitoring) | "Non" | "Pas d'alerte si le service est down ? Pas de suivi des erreurs (Application Insights) ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "La doc se fera après" | **Documentation en dette** | Le FRD EST la doc. `/business-analyse:6-doc-html` la génère automatiquement. |
+| Aucun monitoring prévu | **Angle mort opérationnel** | Au minimum : health check endpoint + Application Insights |
+| Support = "le développeur" | **Pas de séparation N1/N2** | N1 = support fonctionnel (utilisateur), N2 = support technique (dev) |

package/templates/skills/business-analyse/questionnaire/11-data-lifecycle.md

@@ -0,0 +1,59 @@
+# Category 11: Data Lifecycle
+
+> **Usage:** Lifecycle, retention, archival and compliance for business data
+> **When to load:** If feature is data-centric or full module
+
+---
+
+## 11.1 Data Retention
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q11.1 | How long must data be kept active? | Duration |
+| Q11.2 | Is there a legal retention period? (GDPR, fiscal, regulatory) | Duration + regulation |
+| Q11.3 | What happens after the retention period? | Archive/Purge/Anonymize |
+| Q11.4 | Who decides when data is archived or purged? | Role |
+
+## 11.2 Data States
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q11.5 | What states can a record go through? (draft, active, archived, deleted) | List of states |
+| Q11.6 | Can a deleted record be restored? | Yes/No + conditions |
+| Q11.7 | Should historical versions be kept? (versioning) | Yes/No + depth |
+| Q11.8 | Is there a "freeze" or "lock" state? (immutable after validation) | Yes/No + trigger |
+
+---
+
+## SmartStack Lifecycle Patterns
+
+| Need | SmartStack Pattern | Impact |
+|------|-------------------|--------|
+| Soft delete | `SoftDeletableEntity` | IsDeleted, DeletedBy, DeletedDate auto-managed |
+| Audit trail | `AuditableEntity` | CreatedBy/Date, ModifiedBy/Date auto-managed |
+| Versioning | Custom `EntityVersion` table | Manual implementation per entity |
+| Archival | Status enum + background job | Scheduled job moves old records |
+| GDPR purge | Anonymization service | Replace personal data with `[REDACTED]` |
+| Immutable after state | Validation in Update command | `if (entity.Status == Locked) throw` |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q11.1 (retention) | "Toujours" | "Pas de limite légale ? Avec 1M de lignes dans 5 ans, les performances resteront-elles acceptables ?" |
+| Q11.2 (legal) | "Je ne sais pas" | "Données personnelles = RGPD (effacement après demande). Données fiscales = 10 ans. Données RH = 5 ans après départ." |
+| Q11.3 (after retention) | "On supprime" | "Suppression physique ou logique ? Anonymisation des données personnelles ? Export avant suppression ?" |
+| Q11.5 (states) | "Actif ou supprimé" | "Pas de brouillon ? Pas de 'en attente de validation' ? Pas d'archivé consultable mais non modifiable ?" |
+| Q11.6 (restore) | "Non" | "Si un utilisateur supprime par erreur, aucun recours ? Même pas l'admin ?" |
+| Q11.8 (freeze) | "Non" | "Une fois une facture validée, peut-on encore la modifier ? Une commande livrée, peut-on changer son contenu ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "On garde tout pour toujours" | **Pas de stratégie de rétention** | Volume illimité = performance dégradée. Définir une politique d'archivage. |
+| Suppression physique de données personnelles | **Non-conformité RGPD** | RGPD exige la possibilité d'effacer/anonymiser. `SoftDeletableEntity` + anonymisation. |
+| Aucun état intermédiaire | **Lifecycle trop simple** | La plupart des entités métier passent par brouillon → actif → archivé minimum. |
+| Données modifiables sans limite | **Pas d'immutabilité** | Certains documents (factures, contrats) doivent être figés après validation. |

package/templates/skills/business-analyse/questionnaire/12-migration.md

@@ -0,0 +1,58 @@
+# Category 12: Migration & Transition
+
+> **Usage:** Plan transition from AS-IS to TO-BE, handle existing data
+> **When to load:** ALWAYS for new modules (not enhancements)
+
+---
+
+## 12.1 Existing Data
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q12.1 | Is there existing data to migrate? | Yes/No + source |
+| Q12.2 | What format is the existing data in? | Excel/CSV/DB/API/Manual |
+| Q12.3 | What volume of data to migrate? | Estimation |
+| Q12.4 | What data quality issues exist? (duplicates, missing fields, inconsistencies) | List |
+
+## 12.2 Transition Plan
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q12.5 | Is there a coexistence period? (old + new system in parallel) | Duration |
+| Q12.6 | What is the cutover strategy? | Big-bang / Progressive / Parallel |
+| Q12.7 | Who validates the migrated data? | Role |
+| Q12.8 | What is the rollback plan if migration fails? | Strategy |
+
+---
+
+## SmartStack Migration Patterns
+
+| Need | Pattern | Tool |
+|------|---------|------|
+| CSV/Excel import | Background job + FluentValidation | Hangfire + custom importer |
+| Database migration | EF Core seed / SQL script | `dotnet ef` + seed data |
+| API import | HttpClient batch | Background job + Polly |
+| Data cleanup | Validation pipeline | FluentValidation + reporting |
+| Progressive rollout | Feature flag | LaunchDarkly / custom config |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q12.1 (existing data) | "Oui" sans détail | "Dans quel outil ? Excel, ERP, autre DB ? Combien de fichiers/tables ? Qui y a accès ?" |
+| Q12.2 (format) | "Excel" | "Un seul fichier ou plusieurs ? Avec des onglets ? Des macros ? Des formules ? Quelles colonnes ?" |
+| Q12.4 (quality) | "C'est propre" | "Pas de doublons ? Pas de champs vides obligatoires ? Pas de formats incohérents (dates, montants) ?" |
+| Q12.5 (coexistence) | "Non" | "Les utilisateurs passent directement au nouveau système ? Pas de période d'apprentissage en parallèle ?" |
+| Q12.6 (cutover) | "On verra" | "Big-bang (bascule à date fixe) ou progressif (équipe par équipe) ? Si progressif, quels groupes en premier ?" |
+| Q12.8 (rollback) | "Pas prévu" | "Si l'import échoue ou corrompt des données, comment revenir en arrière ? Backup avant migration ?" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| "On saisira tout à la main" | **Migration non planifiée** | Si > 100 enregistrements, l'import automatisé est indispensable |
+| Pas de validation post-migration | **Données non vérifiées** | Prévoir un rapport de migration : importés / rejetés / à corriger |
+| Aucun rollback plan | **Risque de perte de données** | Toujours faire un backup avant migration + possibilité de rollback |
+| "On migrera plus tard" | **Dette technique** | Si la migration est nécessaire, la planifier dès la v1 même si simplifiée |

package/templates/skills/business-analyse/questionnaire/13-cross-module.md

@@ -0,0 +1,69 @@
+# Category 13: Cross-Module Impact
+
+> **Usage:** Analyze impact on existing modules and shared dependencies
+> **When to load:** ALWAYS for new modules (not enhancements)
+
+---
+
+## 13.1 Existing Module Dependencies
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q13.1 | Which existing modules does this new module interact with? | List |
+| Q13.2 | What data is shared between modules? (entities, lookup tables) | Per module |
+| Q13.3 | Are there existing entities this module will reference? (FK relationships) | List |
+| Q13.4 | Will this module produce events that other modules consume? | List of events |
+
+## 13.2 Impact Assessment
+
+| # | Question | Answer Type |
+|---|----------|-------------|
+| Q13.5 | Will existing modules need modifications to support this new module? | List of changes |
+| Q13.6 | Are there shared UI components or navigation changes? | List |
+| Q13.7 | Will this module affect existing permissions/roles? | Yes/No + detail |
+| Q13.8 | Is there a risk of data model conflicts? (same entity modified by 2 modules) | Risk assessment |
+
+---
+
+## SmartStack Cross-Module Patterns
+
+| Need | Pattern | Example |
+|------|---------|---------|
+| Reference another entity | Navigation property + FK | `Order.ClientId → Client` |
+| Shared lookup data | Shared entity in Domain | `Status`, `Category` entities |
+| Event notification | MediatR notification | `OrderCreatedNotification` |
+| Cross-module query | Read-only DTO from other module | `IClientQueryService` |
+| Navigation link | Menu entry in NavRoute | `business/{app}/{module}` |
+| Shared permission | Permission hierarchy | `business.{app}.*` covers all modules |
+
+## Elicitation Guide
+
+### Follow-ups by Question
+
+| Question | If answer is vague/insufficient | Probe |
+|----------|-------------------------------|-------|
+| Q13.1 (interactions) | "Aucun" | "Ce module est totalement isolé ? Pas de lien avec des clients, produits, utilisateurs d'autres modules ?" |
+| Q13.2 (shared data) | "Je ne sais pas" | Use `{codebase_context}` from pre-research: "J'ai trouvé les entités {list} dans {app}. Ce module a-t-il besoin de les référencer ?" |
+| Q13.3 (FK references) | Vague | "Une {entity} de ce module appartient-elle à un {existing_entity} ? (ex: OrderLine → Product)" |
+| Q13.4 (events) | "Non" | "Quand un {entity} est créé/modifié/supprimé, faut-il notifier un autre module ? Mettre à jour un compteur ?" |
+| Q13.5 (modifications) | "Non" | "Pas de nouvelle colonne dans le menu ? Pas de lien depuis une page existante vers ce nouveau module ?" |
+| Q13.8 (conflicts) | "Pas de risque" | "Deux modules modifient-ils la même entité ? (ex: module A crée un Client, module B le modifie)" |
+
+### Anti-patterns to Detect
+
+| Signal | Anti-pattern | Action |
+|--------|-------------|--------|
+| Module totalement isolé | **Silo de données** | Rare qu'un module métier n'ait aucune connexion. Vérifier avec le codebase context. |
+| Duplication d'entité existante | **Entité dupliquée** | Si `Client` existe déjà, ne pas créer `Customer`. Référencer l'existant. |
+| Modification d'entité d'un autre module | **Couplage fort** | Utiliser des événements (MediatR) plutôt que des modifications directes. |
+| Aucune mention de navigation | **Module orphelin dans l'UI** | Le module doit apparaître dans le menu SmartStack (NavRoute). |
+
+### Using Pre-Research Context
+
+> **IMPORTANT:** This category benefits most from step 3 (Pre-Research).
+>
+> Use `{codebase_context}` to:
+> - **List existing entities** and ask the user which ones this module references
+> - **Show existing modules** and ask about interactions
+> - **Detect potential duplicates** (entity names similar to what the user describes)
+> - **Propose event patterns** based on existing MediatR notifications