fix(template): blocants laptop — metabolism, scripts VPS, profil/contexts

- metabolism/README.md créé (référencé par 3 contexts)
- scripts/brain-watch-vps.sh : paths /home/tetardtek → <user>, git url → <GITEA_URL>
- scripts/install-brain-watch.sh : path hardcodé → <user>
- scripts/kernel-isolation-check.sh : commentaire exemple → alice
- profil/contexts/ : session-deploy + session-handoff supprimés (owner-specific)

Vérification : grep tetardtek → ZÉRO FUITE ABSOLUE

profil/contexts/session-deploy.yml

@@ -1,44 +0,0 @@
-# session-deploy.yml — Contexte BHP pour sessions de déploiement
-# Trigger : "brain boot mode deploy[/<project>]"
-# Cible : ~25% contexte max au boot
-
-session_type: deploy
-description: "Session de déploiement — VPS, Docker, SSL, CI/CD, infra"
-tier_required: pro    # deploy = agents vps/ci-cd/monitoring (tous pro)
-
-# L0 — Invariant (~5%)
-L0:
-  - PATHS.md
-  - brain-compose.local.yml
-  - KERNEL.md
-
-# L1 — Session type (~15%)
-L1:
-  - agents/vps.md                   # VPS, Apache, Docker, SSL, vhost, certbot  # tier: pro
-  - agents/ci-cd.md                 # pipelines, GitHub Actions, Gitea CI         # tier: pro
-  - agents/monitoring.md            # Kuma, alertes, logs post-déploiement        # tier: pro
-
-# L2 — Project scope (~8%) — optionnel sur projet déclaré
-L2:
-  template: "projets/{project}.md"
-  extras:
-    - "todo/{project}.md"
-  fallback: null
-
-# L3 — On demand
-# Exemples : agents/security.md (audit pré-deploy), agents/mail.md (DNS/DKIM),
-#            agents/pm2.md, agents/migration.md, config spécifique
-L3:
-  hint: "Charger à la demande : security pre-deploy, mail/DNS, pm2, migration schema"
-
-# --- Règle deploy ---
-# agents/security.md NOT en L1 par défaut — deploy ≠ audit sécurité.
-# Charger si audit pré-déploiement explicitement demandé (→ session-audit).
-# agents/monitoring.md en L1 : toujours vérifier les alertes après deploy.
-
-# --- Métriques cibles ---
-context_target:
-  L0: "~5%"
-  L1: "~12%"
-  L2: "~8%"
-  total_boot: "~25%"

profil/contexts/session-handoff.yml

@@ -1,52 +0,0 @@
-# session-handoff.yml — Contexte BHP pour sessions HANDOFF
-# Trigger : "brain boot mode HANDOFF[/<handoff-id>]"
-# Cible : ~15% contexte max au boot — minimum viable pour reprendre
-
-session_type: HANDOFF
-description: "Reprise d'une session via handoff — contexte minimal + fichier handoff cible"
-tier_required: free   # handoff = protocole BSI de base — disponible pour tous
-
-# L0 — Invariant (~5%)
-L0:
-  - PATHS.md
-  - brain-compose.local.yml
-  - KERNEL.md
-
-# L1 — Session type (~8%) — chirurgical : seulement ce qu'il faut pour reprendre
-L1:
-  - BRAIN-INDEX.md                  # trouver le handoff actif
-
-# L2 — Handoff scope (~5%) — fichier handoff si déclaré dans le signal
-# Signal : "HANDOFF/<handoff-id>" → charger le fichier handoff directement
-L2:
-  template: "handoffs/{handoff_id}.md"
-  extras: []
-  fallback:
-    - handoffs/LATEST.md            # si pas d'ID déclaré → dernier handoff
-
-# L3 — On demand
-# Exemples : context complet projet, agents métier, focus.md
-# Principe : le fichier handoff CONTIENT les pointeurs vers L3.
-# La nouvelle session lit le handoff → décide elle-même quoi charger.
-L3:
-  hint: "Lire le handoff d'abord. Il indique quoi charger en L3."
-
-# --- Règle HANDOFF ---
-# Le handoff est la source de vérité pour la reprise.
-# Ne pas charger focus.md, metabolism, agents au boot — le handoff décide.
-# Après lecture du handoff → promouvoir le contexte nécessaire en L2 implicite.
-# Le claim ouvert doit référencer le handoff : parent_satellite ou story_angle.
-
-# --- Format handoff attendu ---
-# handoffs/<id>.md doit contenir :
-#   - Contexte de la session précédente (état, décisions, bloquants)
-#   - Fichiers à charger (L3 → L2 pour cette session)
-#   - Todos ouverts prioritaires
-#   - Signal de session recommandé pour la suite
-
-# --- Métriques cibles ---
-context_target:
-  L0: "~5%"
-  L1: "~5%"
-  L2: "~5%"
-  total_boot: "~15%"