feat(infra) : injecte les DSN Sentry au build prod (Dockerfile + CI Gitea)

Complète le branchement Sentry/GlitchTip côté déploiement pour que le front
reçoive son DSN et uploade ses source maps en prod.

- infra/prod/Dockerfile (stage frontend-build) : ARG NUXT_PUBLIC_SENTRY_DSN +
  SENTRY_URL/ORG/PROJECT/AUTH_TOKEN, passés en préfixe inline du RUN npm run
  generate (pas en ENV → token non persisté ; stage intermédiaire jeté de toute
  façon). Vides par défaut => module Sentry inerte, pas d'upload.
- .gitea/workflows/build-docker.yml : --build-arg depuis les secrets Gitea
  (INVENTORY_SENTRY_DSN_FRONT, SENTRY_URL, SENTRY_ORG, SENTRY_PROJECT,
  SENTRY_AUTH_TOKEN).
- infra/prod/.env.example : documente SENTRY_DSN (back, runtime).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

infra/prod/Dockerfile

@@ -31,11 +31,27 @@ RUN npm ci
 
 COPY frontend/ ./
 COPY config/version.yaml /app/config/version.yaml
+
+# Error tracking → GlitchTip (build-time). Vides par défaut => module Sentry inerte
+# et aucun upload de source maps. Fournis par la CI via --build-arg (secrets Gitea).
+# Passés en préfixe inline du RUN (pas en ENV) pour ne pas persister le token dans
+# une couche d'image.
+ARG NUXT_PUBLIC_SENTRY_DSN=""
+ARG SENTRY_URL=""
+ARG SENTRY_ORG=""
+ARG SENTRY_PROJECT=""
+ARG SENTRY_AUTH_TOKEN=""
+
 ENV CI=1 \
     NUXT_TELEMETRY_DISABLED=1 \
     NUXT_PUBLIC_API_BASE_URL=/api \
     NUXT_PUBLIC_APP_BASE=/
-RUN npm run generate
+RUN NUXT_PUBLIC_SENTRY_DSN="$NUXT_PUBLIC_SENTRY_DSN" \
+    SENTRY_URL="$SENTRY_URL" \
+    SENTRY_ORG="$SENTRY_ORG" \
+    SENTRY_PROJECT="$SENTRY_PROJECT" \
+    SENTRY_AUTH_TOKEN="$SENTRY_AUTH_TOKEN" \
+    npm run generate
 
 # --- Stage 3: Production image ---
 FROM php:8.4-fpm AS production