fix(absences) : durcissement RGPD des données RH des utilisateurs

Suite à la revue de conformité du module absences.

Fuite corrigée : GET /api/users et /api/users/{id} n'avaient aucun contrôle
d'accès alors que le groupe user:list exposait les données RH/familiales
(date d'embauche, contrat, soldes de CP, rôles…). Tout utilisateur authentifié
pouvait donc lire ces informations sur tous ses collègues.
- chaque champ RH (isEmployee, hireDate, endDate, contractType, workTimeRatio,
  annualLeaveDays, referencePeriodStart, initialLeaveBalance) ainsi que roles
  est désormais exposé via #[ApiProperty(security: "is_granted('ROLE_ADMIN') or
  object == user")] : visible uniquement par un admin ou par l'utilisateur
  lui-même. id et username restent publics (sélecteurs d'assigné, avatars).

Minimisation : suppression de familySituation et nbChildren, collectés et
exposés (form RH, API, outil MCP) mais utilisés par aucun calcul.
- entité User + enum FamilySituation + migration de drop des colonnes
- Serializer MCP, update-user (MCP), EmployeeDrawer, DTO, fixtures, i18n

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/Mcp/Tool/Serializer.php

@@ -389,8 +389,6 @@ final class Serializer
             'annualLeaveDays'      => $u->getAnnualLeaveDays(),
             'referencePeriodStart' => $u->getReferencePeriodStart(),
             'initialLeaveBalance'  => $u->getInitialLeaveBalance(),
-            'familySituation'      => $u->getFamilySituation()?->value,
-            'nbChildren'           => $u->getNbChildren(),
         ];
     }
 }