diff --git a/docs/ci.md b/docs/ci.md
index 2830a3ba..68ea111a 100644
--- a/docs/ci.md
+++ b/docs/ci.md
@@ -73,6 +73,17 @@ Cette documentation décrit le pipeline CI/CD tel qu’il peut être déduit des
 - **Runtime**: aucune variable sensible n’est stockée dans l’image; elles sont injectées à l’exécution par Vault.
 - **Pull de l’image**: la config Docker (`.dockerconfigjson`) est fournie par `ExternalSecret` à partir de Vault.
 
+### Secrets CI requis
+
+- **USER**: identifiant du compte CI sur `git.4nkweb.com` disposant des droits requis (lecture repo, push d’image vers le registry).
+- **TOKEN**: jeton d’accès (API/registry) associé à `USER`. Utilisé par la CI pour:
+  - Authentifier les actions git/HTTP vers `git.4nkweb.com` (si nécessaire)
+  - Authentifier le `docker login` vers le registry Gitea si la CI ne repose pas sur des credentials intégrés.
+
+Notes:
+- Préférer des tokens à portée restreinte, régénérés périodiquement.
+- Stocker `USER` et `TOKEN` dans le gestionnaire de secrets CI et ne jamais les committer.
+
 ### Points à confirmer
 
 - Outil CI utilisé (Gitea Actions, Woodpecker/Drone, GitLab CI, autre) et fichiers de pipeline hébergés ailleurs.