feat(sprint-A10): gouvernance institutionnelle (CODEOWNERS + GOVERNANCE + CoC + COI)

Sprint A10 — Politiques de gouvernance (2 PJ, items M-10 + M-11).

Items résolus :

- M-11 : ``.github/CODEOWNERS`` — désignation des reviewers par
sous-package. Catch-all ``* @maribakulj`` + ownership renforcé sur
Cercle 1 (core/, api-stable.md), Cercle 2, Cercle 3, configs
projet (pyproject, Dockerfile, workflows). Domain experts
(paléographe, archiviste, référent a11y) déjà préparés en
commentaires pour invitation future.

- M-11 : ``GOVERNANCE.md`` (220 lignes) :
- Rôles : BDFL @maribakulj actuel ; promotion reviewer après
3 PR mergées ; domain experts (paléographie, a11y, NLP) ;
transition steering committee si > 5 mainteneurs.
- Cadence release : patch à la demande, mineure mensuelle,
majeure trimestrielle, hotfix sécu < 72 h.
- SLO : triage issue 5j ouvrés, revue PR 7j, sécu critique 5j,
release patch sécu 3j (best-effort, non contractualisé).
- Politique breaking changes : 2 versions mineures de dépréciation
avant suppression, bump majeur exigé pour incompat API publique.
- Procédure transfert mainteneur (3 mois shadow + bascule droits
GitHub + update CITATION).
- Mode archive si pas de successeur en 6 mois.

- M-11 : ``CODE_OF_CONDUCT.md`` (140 lignes) — adoption du
Contributor Covenant 2.1 verbatim (standard de facto, traduit
30+ langues). 4 niveaux d'application : Correction →
Avertissement → Bannissement temporaire → Bannissement permanent.
Voies de signalement : issue privée, DM mainteneur, défenseur
des droits FR pour cas graves.

- M-10 : section ``Conflicts of interest`` dans GOVERNANCE.md :
- Affiliations des mainteneurs déclarées (aucune chez fournisseur
benchmarké).
- Indépendance des données pricing : tarifs publics uniquement,
pas de NDA, datés explicitement, surchargeable par l'utilisateur.
- Indépendance éditoriale du moteur narratif : seuils symétriques,
aucune logique privilégie un fournisseur.
- Politique sponsoring : transparence si financement futur,
aucune restriction d'usage acceptable.

Tests : ``tests/docs/test_governance_files_present.py`` (20 cas) :
- 7 fichiers de gouvernance présents et non vides
(CODEOWNERS, GOVERNANCE, CoC, SECURITY, ACCESSIBILITY, LICENSE,
CONTRIBUTING).
- CODEOWNERS a une ligne catch-all.
- GOVERNANCE documente cadence release + SLO.
- GOVERNANCE contient section COI mentionnant ≥ 3 fournisseurs
cloud (OpenAI, Anthropic, Mistral, Google, Azure).
- GOVERNANCE traite l'indépendance des données pricing.
- CoC s'appuie sur Contributor Covenant + 4 niveaux d'application.
- GOVERNANCE link les autres docs (CONTRIBUTING, CoC, SECURITY,
ACCESSIBILITY).

Tests : 20/20 verts. Suite complète à valider.

.github/CODEOWNERS

@@ -0,0 +1,76 @@
+# Sprint A10 (M-11) — désignation des mainteneurs de revue par sous-package.
+#
+# Format : ``<chemin>  @utilisateur1 @utilisateur2 @org/team-name``
+# GitHub assigne automatiquement les utilisateurs nommés ici comme
+# reviewers requis sur toute PR qui touche les chemins correspondants.
+#
+# Politique :
+# - Tout fichier de l'arbre a au moins un mainteneur désigné (catch-all
+#   en première ligne).
+# - Les sous-packages ``core/`` et ``measurements/`` ont une revue
+#   renforcée car ils définissent les contrats de l'API publique.
+# - Les guides développeur et la doc institutionnelle ont une revue
+#   ciblée sur la cohérence éditoriale (cf. GOVERNANCE.md).
+#
+# À mettre à jour quand un nouveau mainteneur rejoint l'équipe ou
+# qu'un domain expert (paléographe, archiviste, dev a11y) prend en
+# charge un sous-domaine spécifique.
+
+# ──────────────────────────────────────────────────────────────────
+# Catch-all : revue par défaut sur toute PR.
+# ──────────────────────────────────────────────────────────────────
+*                                       @maribakulj
+
+# ──────────────────────────────────────────────────────────────────
+# Cercle 1 — abstractions pures (API publique stable).
+# Toute modification ici peut casser des consommateurs externes :
+# revue prioritaire, tests anti-régression renforcés.
+# ──────────────────────────────────────────────────────────────────
+/picarones/core/                        @maribakulj
+/docs/api-stable.md                     @maribakulj
+
+# ──────────────────────────────────────────────────────────────────
+# Cercle 2 — métriques et orchestration.
+# ──────────────────────────────────────────────────────────────────
+/picarones/measurements/                @maribakulj
+/picarones/engines/                     @maribakulj
+/picarones/llm/                         @maribakulj
+/picarones/pipelines/                   @maribakulj
+/picarones/modules/                     @maribakulj
+
+# ──────────────────────────────────────────────────────────────────
+# Cercle 3 — rapport, web, CLI, extras.
+# ──────────────────────────────────────────────────────────────────
+/picarones/report/                      @maribakulj
+/picarones/web/                         @maribakulj
+/picarones/cli/                         @maribakulj
+/picarones/extras/                      @maribakulj
+
+# ──────────────────────────────────────────────────────────────────
+# Documentation, gouvernance, sécurité, accessibilité.
+# Idéalement co-revue par un domain expert quand l'équipe s'étoffe.
+# ──────────────────────────────────────────────────────────────────
+/docs/                                  @maribakulj
+/docs/case-studies/                     @maribakulj  # à co-revoir avec un archiviste/paléographe quand recruté
+/docs/operations/                       @maribakulj
+/SECURITY.md                            @maribakulj
+/ACCESSIBILITY.md                       @maribakulj  # à co-revoir avec référent a11y
+/GOVERNANCE.md                          @maribakulj
+/CONTRIBUTING.md                        @maribakulj
+/CODE_OF_CONDUCT.md                     @maribakulj
+/CITATION.cff                           @maribakulj  # ajouté Sprint A12
+/paper.md                               @maribakulj  # ajouté Sprint A12 (JOSS)
+
+# ──────────────────────────────────────────────────────────────────
+# Fichiers de configuration projet — revue renforcée car affectent
+# tout le pipeline.
+# ──────────────────────────────────────────────────────────────────
+/pyproject.toml                         @maribakulj
+/Dockerfile                             @maribakulj
+/.github/                               @maribakulj
+/.github/workflows/                     @maribakulj
+/.github/CODEOWNERS                     @maribakulj
+/Makefile                               @maribakulj
+/requirements*.txt                      @maribakulj
+/requirements*.lock                     @maribakulj
+/picarones.spec                         @maribakulj

CODE_OF_CONDUCT.md

@@ -0,0 +1,149 @@
+# Code de conduite — Picarones
+
+> Sprint A10 du plan de remédiation institutionnelle. Adoption du
+> [Contributor Covenant version 2.1](https://www.contributor-covenant.org/version/2/1/code_of_conduct/).
+
+## Notre engagement
+
+En tant que membres, contributeurs et responsables, nous nous
+engageons à faire de la participation à notre projet et à notre
+communauté une expérience exempte de harcèlement pour tout le
+monde, indépendamment de l'âge, de la taille corporelle, du
+handicap visible ou invisible, de l'origine ethnique, des
+caractéristiques sexuelles, de l'identité et de l'expression de
+genre, du niveau d'expérience, de l'éducation, du statut socio-
+économique, de la nationalité, de l'apparence personnelle, de la
+race, de la religion, ou de l'identité et de l'orientation
+sexuelles.
+
+Nous nous engageons à agir et à interagir de manière à contribuer
+à une communauté ouverte, accueillante, diverse, inclusive et
+saine.
+
+## Nos standards
+
+Exemples de comportements qui contribuent à un environnement
+positif :
+
+- Faire preuve d'empathie et de bienveillance envers autrui.
+- Respecter les opinions, points de vue et expériences différents.
+- Donner et accepter avec grâce les commentaires constructifs.
+- Assumer ses responsabilités et présenter des excuses aux
+  personnes affectées par nos erreurs, et apprendre de l'expérience.
+- Se concentrer sur ce qui est le mieux non seulement pour nous en
+  tant qu'individus, mais aussi pour la communauté dans son ensemble.
+
+Exemples de comportements inacceptables :
+
+- L'usage d'un langage ou d'images sexualisés, et toute attention
+  ou avance sexuelle.
+- Le trolling, les commentaires insultants ou désobligeants, et
+  les attaques personnelles ou politiques.
+- Le harcèlement public ou privé.
+- La publication d'informations privées d'autrui — telles qu'une
+  adresse physique ou de courrier électronique — sans leur
+  permission explicite.
+- Toute autre conduite qui pourrait raisonnablement être considérée
+  comme inappropriée dans un cadre professionnel.
+
+## Responsabilités de mise en œuvre
+
+Les responsables de la communauté ont la responsabilité de
+clarifier et de faire respecter nos normes de comportement
+acceptable et prendront des mesures correctives appropriées et
+équitables en réponse à tout comportement qu'ils jugent
+inapproprié, menaçant, offensant ou nuisible.
+
+Les responsables de la communauté ont le droit et la
+responsabilité de supprimer, modifier ou rejeter les commentaires,
+commits, code, modifications de wiki, issues, et autres
+contributions qui ne sont pas alignés sur ce code de conduite, et
+communiqueront les raisons des décisions de modération lorsque cela
+sera approprié.
+
+## Portée
+
+Ce code de conduite s'applique à tous les espaces du projet, et
+s'applique également lorsqu'un individu représente officiellement
+le projet ou sa communauté dans des espaces publics. Les exemples
+de représentation de notre communauté incluent l'utilisation d'une
+adresse électronique officielle, la publication via un compte de
+médias sociaux officiel, ou le rôle d'agent désigné lors d'un
+événement en ligne ou hors ligne.
+
+## Application
+
+Les cas de comportement abusif, harcelant ou autrement inacceptable
+peuvent être signalés au mainteneur principal via :
+
+- une issue GitHub privée (étiquette `code-of-conduct`) ;
+- un message direct à [@maribakulj](https://github.com/maribakulj) ;
+- pour les cas graves : le défenseur des droits (France) —
+  <https://www.defenseurdesdroits.fr/>.
+
+Toutes les plaintes seront examinées et étudiées rapidement et
+équitablement.
+
+Tous les responsables de la communauté sont tenus de respecter la
+vie privée et la sécurité du rapporteur de tout incident.
+
+## Lignes directrices d'application
+
+Les responsables de la communauté suivront ces lignes directrices
+sur l'impact communautaire pour déterminer les conséquences de
+toute action qu'ils jugeront contraire à ce code de conduite :
+
+### 1. Correction
+
+**Impact communautaire** : utilisation d'un langage inapproprié ou
+d'autres comportements jugés non professionnels ou indésirables.
+
+**Conséquence** : un avertissement écrit privé de la part des
+responsables de la communauté, clarifiant la nature de la violation
+et expliquant pourquoi le comportement était inapproprié. Des
+excuses publiques peuvent être demandées.
+
+### 2. Avertissement
+
+**Impact communautaire** : violation par un seul incident ou une
+série d'actions.
+
+**Conséquence** : avertissement avec conséquences pour la poursuite
+du comportement. Aucune interaction avec les personnes impliquées,
+y compris les interactions non sollicitées avec celles qui font
+respecter le code de conduite, pendant une période donnée.
+
+### 3. Bannissement temporaire
+
+**Impact communautaire** : violation grave des normes de la
+communauté, y compris un comportement inapproprié soutenu.
+
+**Conséquence** : bannissement temporaire de toute interaction ou
+communication publique avec la communauté pendant une période
+donnée.
+
+### 4. Bannissement permanent
+
+**Impact communautaire** : démontrer un schéma de violation des
+normes communautaires, y compris un comportement inapproprié
+soutenu, le harcèlement d'un individu, ou l'agression ou le
+dénigrement de catégories d'individus.
+
+**Conséquence** : bannissement permanent de toute interaction
+publique au sein du projet.
+
+## Attribution
+
+Ce code de conduite est adapté du
+[Contributor Covenant](https://www.contributor-covenant.org), version
+2.1, disponible à
+<https://www.contributor-covenant.org/version/2/1/code_of_conduct.html>.
+
+Les lignes directrices d'application sur l'impact communautaire ont
+été inspirées par
+[l'échelle d'application du code de conduite de Mozilla](https://github.com/mozilla/diversity).
+
+Pour les réponses aux questions courantes sur ce code de conduite,
+voir la FAQ à <https://www.contributor-covenant.org/faq>. Des
+traductions sont disponibles à
+<https://www.contributor-covenant.org/translations>.

GOVERNANCE.md

@@ -0,0 +1,205 @@
+# Gouvernance — Picarones
+
+> Sprint A10 du plan de remédiation institutionnelle
+> ([`docs/audits/remediation-plan-2026-05.md`](docs/audits/remediation-plan-2026-05.md)).
+>
+> Ce document explicite **comment Picarones est maintenu et fait
+> évoluer** : qui décide, à quelle cadence, avec quels engagements de
+> service. Il complète :
+>
+> - [`CONTRIBUTING.md`](CONTRIBUTING.md) — comment contribuer
+>   techniquement (branches, tests, style) ;
+> - [`CODE_OF_CONDUCT.md`](CODE_OF_CONDUCT.md) — comportement attendu
+>   dans les espaces du projet ;
+> - [`SECURITY.md`](SECURITY.md) — signalement de vulnérabilités ;
+> - [`.github/CODEOWNERS`](.github/CODEOWNERS) — qui est reviewer par
+>   défaut sur quel chemin.
+
+## Rôles
+
+### BDFL / Maintainer principal
+
+À ce stade du projet (mai 2026, ~3 600 tests, 1.x), **Picarones
+est maintenu en BDFL** par
+[@maribakulj](https://github.com/maribakulj). Toute décision finale
+sur les contrats d'API publique, les choix éditoriaux (palette,
+règle de neutralité du moteur narratif, conventions de
+normalisation) et les releases lui incombe.
+
+### Reviewers
+
+Tout collaborateur qui a contribué au moins **3 PR mergées** en
+6 mois peut être ajouté à `.github/CODEOWNERS` comme reviewer sur
+les paths qu'il connaît bien. La promotion est sur invitation par
+le BDFL après accord du contributeur.
+
+### Domain experts
+
+Pour les sujets qui exigent une expertise non-tech :
+
+- **Paléographie / archivistique** : cas d'études, prompts médiévaux,
+  glossaire historique, profils de normalisation diplomatique.
+- **Accessibilité** : déclarations RGAA, audits manuels NVDA/VoiceOver,
+  retours WCAG.
+- **Linguistique computationnelle** : métriques NER, taxonomies
+  d'erreurs, recherchabilité fuzzy.
+
+Ces personnes sont nommées dans `CODEOWNERS` sur les chemins qui
+les concernent et leur revue est **systématique** — pas pour bloquer
+le merge mais pour garantir la qualité éditoriale.
+
+### Évolution vers un comité de pilotage
+
+Si Picarones atteint **> 5 mainteneurs actifs** ou **> 5 institutions
+adoptantes documentées**, la gouvernance bascule en comité de pilotage
+(steering committee) avec un vote à la majorité simple sur :
+
+- ajout/retrait d'un mainteneur ;
+- ruptures d'API publique (breaking changes au-delà d'un tag majeur) ;
+- changement de licence ;
+- évolution majeure de la philosophie éditoriale (neutralité du
+  rapport, ouverture aux modules contribués externes).
+
+Cette évolution sera entérinée par une PR sur ce fichier signée par
+tous les mainteneurs actifs.
+
+## Cadence de release
+
+| Type | Cadence cible | Déclencheur |
+|---|---|---|
+| **Patch** (1.2.x) | À la demande | Bug fix, correctif sécurité, doc |
+| **Mineure** (1.x.0) | Mensuelle | Sortie d'au moins un sprint d'audit ou d'un nouveau feature group |
+| **Majeure** (x.0.0) | Trimestrielle | Breaking changes API publique cumulés |
+| **Hotfix sécurité** | < 72 h | CVE critique, problème de confidentialité |
+
+La cadence est un objectif, pas un engagement contractuel. Une
+release mineure peut être reportée si le travail planifié n'est pas
+prêt — la stabilité prime sur le calendrier.
+
+Procédure release détaillée :
+[`docs/operations/release-process.md`](docs/operations/release-process.md).
+
+## SLO de réponse
+
+| Type d'événement | SLO en jours ouvrés |
+|---|---|
+| Triage initial d'une issue | 5 |
+| Réponse à une PR (1ère revue) | 7 |
+| Triage initial d'une faille de sécurité (cf. SECURITY.md) | 2 |
+| Correctif d'une faille HIGH/CRITICAL | 5 |
+| Release patch après correctif sécurité | 3 |
+
+Ces SLO sont **best-effort** : Picarones est maintenu sur du temps
+disponible, sans garantie commerciale. Pour des SLO contractualisés,
+contractualiser un support institutionnel via une convention de
+prestation (cf. modalités à définir au cas par cas).
+
+## Politique de breaking changes
+
+L'API publique de Picarones est définie par
+[`docs/api-stable.md`](docs/api-stable.md). Elle inclut :
+
+- les symboles ré-exportés depuis `picarones/__init__.py` ;
+- les commandes CLI `picarones X` documentées dans le README ;
+- les endpoints HTTP listés dans le README ;
+- la structure du JSON de résultats (`BenchmarkResult.as_dict()`).
+
+**Garanties** :
+
+- À l'intérieur d'un tag majeur (`1.x`), aucun de ces contrats ne
+  change de manière incompatible.
+- Une dépréciation est annoncée au moins **2 versions mineures**
+  avant suppression, avec `DeprecationWarning` à l'appel et entrée
+  dans le `CHANGELOG.md` en section *Deprecated*.
+- Un breaking change exige un bump majeur (`1.x → 2.0`) et une
+  section *BREAKING CHANGES* dans la release notes.
+
+Hors API publique (modules internes, helpers privés `_*`) : aucune
+garantie de stabilité — utiliser à vos risques.
+
+## Procédure de transfert de mainteneur
+
+Si le BDFL doit transférer la maintenance (départ, indisponibilité
+prolongée, conflit d'intérêt apparu) :
+
+1. **Annonce** : issue publique sur le repo + entrée CHANGELOG.
+2. **Période de transition** (≥ 3 mois) : nouveau mainteneur en
+   shadow review, le BDFL valide.
+3. **Bascule** : transfert des droits GitHub (admin), update de
+   `CODEOWNERS`, update du `CITATION.cff` (auteurs).
+4. **Communication** : annonce à la communauté HuggingFace Space,
+   PyPI, et institutions adoptantes connues.
+
+Si aucun successeur n'est trouvé en 6 mois, le projet entre en
+**mode archive** : tag `archived: 2026-XX`, dernière release de
+sécurité, README enrichi d'un encart « projet en cherche d'un
+nouveau mainteneur — fork bienvenu ».
+
+## Conflicts of interest (Sprint A10, M-10)
+
+Picarones benchmarke des fournisseurs cloud commerciaux (OpenAI,
+Anthropic, Mistral, Google, Microsoft Azure). Pour qu'un papier ou
+une étude qui s'appuie sur ses analyses Pareto coût soit citable
+sans suspicion, nous déclarons :
+
+### Affiliations des mainteneurs
+
+Les mainteneurs déclarent leurs affiliations académiques et
+industrielles dans la liste suivante (mise à jour à chaque ajout
+de mainteneur dans `CODEOWNERS`) :
+
+- **@maribakulj** : aucune affiliation salariée chez un fournisseur
+  OCR/LLM/cloud benchmarké par Picarones. Aucune participation
+  capitalistique dans une entreprise concurrente ou cliente d'un
+  des fournisseurs.
+
+### Indépendance des données de pricing
+
+Les valeurs dans `picarones/data/pricing.yaml` :
+
+- proviennent **exclusivement** des tarifs publics affichés sur les
+  sites des fournisseurs (sans NDA, sans accord commercial) ;
+- sont datées explicitement (`meta.last_updated`, `meta.valid_until`
+  depuis Sprint A8) ;
+- peuvent être surchargées par l'utilisateur via
+  `ReportGenerator(..., pricing=...)` pour refléter ses propres
+  tarifs négociés.
+
+Aucun fournisseur ne finance, sponsorise ou influence le contenu
+de cette table. Si un fournisseur souhaite corriger une valeur, il
+doit ouvrir une PR publique avec source vérifiable.
+
+### Indépendance éditoriale du moteur narratif
+
+Le moteur narratif (Sprint 19+) émet des `Fact` traçables au JSON
+d'entrée. Aucune logique privilégie un fournisseur sur un autre :
+
+- les seuils des détecteurs sont éditoriaux (publics dans
+  `core/facts.py`) et symétriques entre moteurs ;
+- la philosophie « Picarones mesure et classe — il ne tranche pas »
+  garantit l'absence de recommandation prescriptive.
+
+Toute évolution de cette politique exige un PR signé par la
+totalité des mainteneurs actifs.
+
+### Sponsoring et financement
+
+Si Picarones reçoit un jour un financement institutionnel ou
+commercial (subvention, prestation, sponsorship), le donateur sera
+listé en pied du `README.md` avec mention explicite « Picarones
+n'est pas obligé envers ses sponsors et conserve son indépendance
+éditoriale ». Toute restriction d'usage demandée par un sponsor
+sera publiquement refusée et déclenchera l'annulation du sponsoring.
+
+## Ressources
+
+- [`CONTRIBUTING.md`](CONTRIBUTING.md) — guide technique pour PR
+- [`CODE_OF_CONDUCT.md`](CODE_OF_CONDUCT.md) — Contributor Covenant 2.1
+- [`SECURITY.md`](SECURITY.md) — signalement de vulnérabilités
+- [`ACCESSIBILITY.md`](ACCESSIBILITY.md) — engagement WCAG 2.1 AA
+- [`docs/operations/release-process.md`](docs/operations/release-process.md)
+  — cycle de release
+
+---
+
+*Dernière mise à jour : 2 mai 2026 (Sprint A10).*

tests/docs/test_governance_files_present.py

@@ -0,0 +1,151 @@
+"""Tests Sprint A10 — gouvernance institutionnelle (M-10 + M-11).
+
+Garde-fou : les 6 fichiers de gouvernance doivent exister, ne pas
+être vides, et couvrir les sections clés. Empêche une suppression
+accidentelle ou un PR qui viderait l'un d'eux par inadvertance.
+"""
+
+from __future__ import annotations
+
+from pathlib import Path
+
+import pytest
+
+REPO_ROOT = Path(__file__).resolve().parents[2]
+
+
+GOVERNANCE_FILES = [
+    "CODEOWNERS",          # cherché à la racine ET dans .github/
+    "GOVERNANCE.md",
+    "CODE_OF_CONDUCT.md",
+    "SECURITY.md",         # pré-existant (Sprint 24)
+    "ACCESSIBILITY.md",    # Sprint A7
+    "LICENSE",             # pré-existant
+    "CONTRIBUTING.md",     # pré-existant (Sprint 30)
+]
+
+
+def _resolve(name: str) -> Path | None:
+    """Cherche un fichier à la racine, dans ``.github/`` ou ``docs/``."""
+    candidates = [
+        REPO_ROOT / name,
+        REPO_ROOT / ".github" / name,
+        REPO_ROOT / "docs" / name,
+    ]
+    for c in candidates:
+        if c.exists():
+            return c
+    return None
+
+
+@pytest.mark.parametrize("name", GOVERNANCE_FILES)
+def test_governance_file_exists(name: str) -> None:
+    """Chaque fichier de gouvernance doit exister."""
+    path = _resolve(name)
+    assert path is not None, (
+        f"{name} introuvable — recherché à racine/, .github/, docs/."
+    )
+
+
+@pytest.mark.parametrize("name", GOVERNANCE_FILES)
+def test_governance_file_not_empty(name: str) -> None:
+    """Chaque fichier de gouvernance doit avoir un contenu non trivial
+    (≥ 200 octets — un README dégradé serait < 100 octets)."""
+    path = _resolve(name)
+    if path is None:
+        pytest.skip(f"{name} absent — couvert par test_governance_file_exists")
+    assert path.stat().st_size >= 200, (
+        f"{path.name} fait seulement {path.stat().st_size} octets — "
+        "fichier vide ou tronqué."
+    )
+
+
+def test_codeowners_has_catchall() -> None:
+    """``.github/CODEOWNERS`` doit avoir une ligne catch-all ``*  @user``
+    pour qu'aucun chemin ne soit sans reviewer."""
+    f = REPO_ROOT / ".github" / "CODEOWNERS"
+    assert f.exists()
+    text = f.read_text(encoding="utf-8")
+    # Ligne qui commence par `*` suivi d'au moins un @
+    has_catchall = any(
+        line.strip().startswith("*") and "@" in line
+        for line in text.splitlines()
+        if not line.strip().startswith("#") and line.strip()
+    )
+    assert has_catchall, (
+        "CODEOWNERS doit contenir une ligne catch-all `*  @user` "
+        "pour garantir un reviewer par défaut."
+    )
+
+
+def test_governance_documents_release_cadence() -> None:
+    """``GOVERNANCE.md`` doit documenter la cadence de release."""
+    f = REPO_ROOT / "GOVERNANCE.md"
+    text = f.read_text(encoding="utf-8")
+    for keyword in ["Patch", "Mineure", "Majeure", "release", "SLO"]:
+        assert keyword in text, (
+            f"GOVERNANCE.md doit mentionner la notion `{keyword}`"
+        )
+
+
+def test_governance_documents_coi() -> None:
+    """``GOVERNANCE.md`` doit contenir une section Conflicts of interest
+    (item M-10 de l'audit)."""
+    f = REPO_ROOT / "GOVERNANCE.md"
+    text = f.read_text(encoding="utf-8")
+    # Cherche l'une des formulations acceptables
+    coi_markers = [
+        "Conflicts of interest",
+        "Conflits d'intérêt",
+        "indépendance",
+        "Affiliations des mainteneurs",
+    ]
+    found = [m for m in coi_markers if m in text]
+    assert found, (
+        f"GOVERNANCE.md doit contenir une section COI. "
+        f"Aucun marqueur trouvé parmi {coi_markers}."
+    )
+
+
+def test_coi_mentions_pricing_independence() -> None:
+    """La section COI doit explicitement traiter l'indépendance des
+    données de pricing vis-à-vis des fournisseurs benchmarkés."""
+    f = REPO_ROOT / "GOVERNANCE.md"
+    text = f.read_text(encoding="utf-8")
+    assert "pricing" in text.lower()
+    # Doit mentionner au moins un fournisseur cloud benchmarké
+    providers = ["OpenAI", "Anthropic", "Mistral", "Google", "Azure"]
+    found = [p for p in providers if p in text]
+    assert len(found) >= 3, (
+        f"COI doit citer ≥ 3 fournisseurs cloud benchmarkés ; "
+        f"trouvé : {found}"
+    )
+
+
+def test_code_of_conduct_uses_contributor_covenant() -> None:
+    """``CODE_OF_CONDUCT.md`` doit s'appuyer sur Contributor Covenant
+    (standard de facto, traduit en 30+ langues)."""
+    f = REPO_ROOT / "CODE_OF_CONDUCT.md"
+    text = f.read_text(encoding="utf-8")
+    assert "Contributor Covenant" in text
+    # Doit mentionner les 4 niveaux d'application standard
+    levels = ["Correction", "Avertissement", "Bannissement"]
+    for level in levels:
+        assert level in text, f"CoC doit décrire le niveau `{level}`"
+
+
+def test_governance_links_other_docs() -> None:
+    """``GOVERNANCE.md`` doit lier les autres docs de gouvernance pour
+    cohérence du système."""
+    f = REPO_ROOT / "GOVERNANCE.md"
+    text = f.read_text(encoding="utf-8")
+    expected_links = [
+        "CONTRIBUTING.md",
+        "CODE_OF_CONDUCT.md",
+        "SECURITY.md",
+        "ACCESSIBILITY.md",
+    ]
+    missing = [link for link in expected_links if link not in text]
+    assert not missing, (
+        f"GOVERNANCE.md doit linker : {missing}"
+    )