fix(absences) : durcissement RGPD des données RH des utilisateurs

Suite à la revue de conformité du module absences.

Fuite corrigée : GET /api/users et /api/users/{id} n'avaient aucun contrôle
d'accès alors que le groupe user:list exposait les données RH/familiales
(date d'embauche, contrat, soldes de CP, rôles…). Tout utilisateur authentifié
pouvait donc lire ces informations sur tous ses collègues.
- chaque champ RH (isEmployee, hireDate, endDate, contractType, workTimeRatio,
  annualLeaveDays, referencePeriodStart, initialLeaveBalance) ainsi que roles
  est désormais exposé via #[ApiProperty(security: "is_granted('ROLE_ADMIN') or
  object == user")] : visible uniquement par un admin ou par l'utilisateur
  lui-même. id et username restent publics (sélecteurs d'assigné, avatars).

Minimisation : suppression de familySituation et nbChildren, collectés et
exposés (form RH, API, outil MCP) mais utilisés par aucun calcul.
- entité User + enum FamilySituation + migration de drop des colonnes
- Serializer MCP, update-user (MCP), EmployeeDrawer, DTO, fixtures, i18n

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/Mcp/Tool/Reference/UpdateUserTool.php

@@ -5,7 +5,6 @@ declare(strict_types=1);
 namespace App\Mcp\Tool\Reference;
 
 use App\Enum\ContractType;
-use App\Enum\FamilySituation;
 use App\Mcp\Tool\Serializer;
 use App\Repository\UserRepository;
 use DateTimeImmutable;
@@ -17,7 +16,7 @@ use Symfony\Component\Security\Core\Exception\AccessDeniedException;
 
 use function sprintf;
 
-#[McpTool(name: 'update-user', description: 'Update a user HR/profile fields (admin). Does NOT change password or roles. contractType = CDI|CDD|STAGE|ALTERNANCE|AUTRE. familySituation = CELIBATAIRE|MARIE|PACSE|DIVORCE|VEUF. hireDate/endDate as YYYY-MM-DD. referencePeriodStart as MM-DD (e.g. 06-01).')]
+#[McpTool(name: 'update-user', description: 'Update a user HR/profile fields (admin). Does NOT change password or roles. contractType = CDI|CDD|STAGE|ALTERNANCE|AUTRE. hireDate/endDate as YYYY-MM-DD. referencePeriodStart as MM-DD (e.g. 06-01).')]
 class UpdateUserTool
 {
     public function __construct(
@@ -36,8 +35,6 @@ class UpdateUserTool
         ?float $annualLeaveDays = null,
         ?string $referencePeriodStart = null,
         ?float $initialLeaveBalance = null,
-        ?string $familySituation = null,
-        ?int $nbChildren = null,
     ): string {
         if (!$this->security->isGranted('ROLE_ADMIN')) {
             throw new AccessDeniedException('Access denied: ROLE_ADMIN required.');
@@ -75,15 +72,6 @@ class UpdateUserTool
         if (null !== $initialLeaveBalance) {
             $user->setInitialLeaveBalance($initialLeaveBalance);
         }
-        if (null !== $familySituation) {
-            $user->setFamilySituation(
-                FamilySituation::tryFrom($familySituation)
-                    ?? throw new InvalidArgumentException(sprintf('Unknown family situation "%s".', $familySituation)),
-            );
-        }
-        if (null !== $nbChildren) {
-            $user->setNbChildren($nbChildren);
-        }
 
         $this->entityManager->flush();
 

src/Mcp/Tool/Serializer.php

@@ -389,8 +389,6 @@ final class Serializer
             'annualLeaveDays'      => $u->getAnnualLeaveDays(),
             'referencePeriodStart' => $u->getReferencePeriodStart(),
             'initialLeaveBalance'  => $u->getInitialLeaveBalance(),
-            'familySituation'      => $u->getFamilySituation()?->value,
-            'nbChildren'           => $u->getNbChildren(),
         ];
     }
 }