docs(deploy): stack chlova déployé + note secret passerelle ≥32 car (v0.34.1)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Claude-Session: https://claude.ai/code/session_016w5jRe87MGdd6AMvXQcHNi

docs/deploy.md

@@ -66,8 +66,9 @@ git push gitea main          # auth : <admin> + token de l'étape 1.3
    `chlova`, l'accès réel est borné à ce que `chlova` peut voir.)*
 3. Connecté en `chlova` → **My account → Access tokens → Add token** →
    `PORTAINER_API_KEY` (envoyé en `X-Portainer-API-Key`, cloisonne l'accès).
-4. **`PORTAINER_MCP_AUTH_TOKEN`** = secret de **passerelle** au choix (chaîne
-   aléatoire) ; même valeur dans le stack `mcp-portainer` et côté backend.
+4. **`PORTAINER_MCP_AUTH_TOKEN`** = secret de **passerelle** au choix, **≥ 32
+   caractères** (`openssl rand -hex 32`) sinon le serveur MCP refuse de démarrer.
+   Même valeur dans le stack `mcp-portainer` et côté backend.
 
 ### 3b. n8n-chlova — MCP token
 1. `https://n8n-chlova.pogoo.app` → créer le compte propriétaire.
@@ -106,7 +107,14 @@ l'opérateur, jamais par l'agent).
 | `CHLOVA_TOTP_SECRET` | (§4) | **oui** |
 | `CHLOVA_JWT_SECRET` | (§4) | **oui** |
 
-**Stacks → Add stack → Git repository** :
+> **Stack pré-créé.** Le stack `chlova` est déjà déployé en GitOps (depuis
+> `http://gitea:3000/k.petit/chlova.git`, `infra/docker-compose.prod.yml`) avec
+> des **placeholders** `CHANGEME` sur les 7 secrets. Les conteneurs `backend` et
+> `mcp-portainer` redémarrent en boucle tant que les vraies valeurs ne sont pas
+> mises. **Pour finaliser : Stacks → chlova → Editor / Environment variables →
+> remplacer les 7 valeurs → Update the stack** (pas besoin de recréer).
+
+Sinon, pour (re)créer à la main — **Stacks → Add stack → Git repository** :
 - Repository URL = `http://gitea:3000/<admin>/chlova.git` (clone interne) ou
   `https://git.pogoo.app/<admin>/chlova.git`.
 - Authentication = user gitea + token (§1.3).