diff --git a/src/main/java/dev/lions/unionflow/server/client/JwtPropagationFilter.java b/src/main/java/dev/lions/unionflow/server/client/JwtPropagationFilter.java
index a36eae7..aad6e2a 100644
--- a/src/main/java/dev/lions/unionflow/server/client/JwtPropagationFilter.java
+++ b/src/main/java/dev/lions/unionflow/server/client/JwtPropagationFilter.java
@@ -13,10 +13,16 @@ import org.jboss.logging.Logger;
 import java.io.IOException;
 
 /**
- * Filtre REST Client qui propage automatiquement le token JWT
- * des requêtes entrantes vers les appels sortants (lions-user-manager).
+ * Filtre REST Client qui propage le token JWT de la requête entrante.
+ *
+ * <p>NE PAS annoter avec {@code @Provider} — cela l'enregistrerait GLOBALEMENT
+ * sur tous les REST clients, y compris AdminUserServiceClient/AdminRoleServiceClient
+ * qui utilisent AdminServiceTokenHeadersFactory (service account). Le filtre global
+ * écraserait le token de service account avec le JWT utilisateur → 401 sur LUM.
+ *
+ * <p>La propagation JWT est assurée par {@link OidcTokenPropagationHeadersFactory}
+ * sur les clients qui en ont besoin ({@code @RegisterClientHeaders}).
  */
-@Provider
 public class JwtPropagationFilter implements ClientRequestFilter {
 
     private static final Logger LOG = Logger.getLogger(JwtPropagationFilter.class);