docs: retrospective v0.803, archive scope, update SCOPE_CONTROL

- Add RETROSPECTIVE_V0803.md
- Archive V0_803_RELEASE_SCOPE.md to docs/archive/
- Update SCOPE_CONTROL: phase v0.901, link to archived scope
- Update .cursorrules: scope v0.901, v0.803 archived

.cursorrules

@@ -1,10 +1,10 @@
 # Règles de Développement UI - Projet SaaS
 
-## 0. Scope v0.803 (priorité absolue)
+## 0. Scope v0.901 (priorité absolue)
 
-- **Référence** : `docs/V0_803_RELEASE_SCOPE.md` et `docs/SCOPE_CONTROL.md`
+- **Référence** : `docs/V0_901_RELEASE_SCOPE.md` et `docs/SCOPE_CONTROL.md`
-- Avant toute modification : vérifier si le changement est **dans le scope v0.803**
+- Avant toute modification : vérifier si le changement est **dans le scope v0.901**
-- **Autorisé v0.803** : Sécurité, compliance, outillage dev (voir V0_803_RELEASE_SCOPE.md)
+- **v0.803 livré** : Voir `docs/archive/V0_803_RELEASE_SCOPE.md`
 - **Interdit** : nouvelles routes/pages hors scope, nouvelles dépendances (sauf correctif sécurité)
 - En cas de doute : ne pas ajouter. Créer une issue pour une version ultérieure.
 

docs/RETROSPECTIVE_V0803.md

@@ -0,0 +1,26 @@
+# Rétrospective v0.803 — Sécurité, Compliance & Outillage Dev
+
+## Ce qui a bien fonctionné
+
+- **Security headers** : CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy en place
+- **DDoS rate limiting** : Global 1000 req/s, per-IP 100 req/s avec Redis sliding window 1s
+- **Audit middleware** : Auto-log POST/PUT/DELETE sur toutes les routes, GET /admin/audit/logs
+- **Account deletion** : Soft delete, anonymisation (deleted-{uuid}), nettoyage S3, révocation sessions
+- **CCPA** : Sec-GPC header, POST /users/me/privacy/opt-out
+- **Modération** : Reports CRUD, actions dismiss/warn/ban alignées frontend/backend
+- **Maintenance mode** : Middleware 503, PUT/GET /admin/maintenance
+- **Annonces & Feature flags** : CRUD admin, GET /announcements/active public
+- **AdminSettingsView** : Onglet SETTINGS dans AdminDashboardView (maintenance, feature flags, annonces)
+- **API keys** : CRUD developer, auth via X-API-Key header
+- **Swagger** : Annotations sur handlers, GET /swagger/*
+
+## Points d'attention
+
+- **AdminSettingsView** : Était implémenté mais non routé (Storybook uniquement) — corrigé par l’ajout de l’onglet SETTINGS
+- **Modération actions** : Le frontend utilisait cleared/quarantined au lieu de dismiss/warn/ban — aligné
+- **DDoS rate limiting** : Nécessite Redis ; en son absence le middleware n’est pas enregistré (pas de fallback global)
+
+## Prochaines étapes (v0.901)
+
+- À définir selon V0_901_RELEASE_SCOPE.md (placeholder)
+- Pistes : Wishlist marketplace, Flash sales, Creator analytics avancées, Chat enrichi (images, GIFs)

docs/SCOPE_CONTROL.md

@@ -2,7 +2,7 @@
 
 **Objectif** : Éviter toute dérive de scope. Chaque modification doit être intentionnelle et traçable.  
 **Référence active** : [V0_901_RELEASE_SCOPE.md](V0_901_RELEASE_SCOPE.md)  
-**Version précédente** : [V0_803_RELEASE_SCOPE.md](V0_803_RELEASE_SCOPE.md)
+**Version précédente** : [V0_803_RELEASE_SCOPE.md](archive/V0_803_RELEASE_SCOPE.md) (archivé, livré)
 
 ---
 
@@ -13,7 +13,7 @@
 
 ---
 
-## 2. Pendant la phase v0.803 (jusqu'au tag)
+## 2. Pendant la phase v0.901 (jusqu'au tag)
 
 ### 2.1 Autorisé
 

docs/archive/V0_803_RELEASE_SCOPE.md

@@ -1,6 +1,6 @@
 # V0.803 Release Scope — Sécurité, Compliance & Outillage Dev
 
-**Statut** : Planifié
+**Statut** : Livré
 **Phase** : 8 (Polish & Scale — Lot 3)
 **Prérequis** : v0.802 (taguée)
 **Date cible** : TBD