feat(absences) : avancement module absences + suppression du portail client

Deux lots regroupés sur la branche feat/absence-management.

Suppression complète du portail client :
- retire ROLE_CLIENT (security.yaml) ; User::getRoles() ajoute toujours ROLE_USER
- supprime l'entité ClientTicket (+ repo, states, relations), User.client et
  User.allowedProjects, NotificationService, ProjectAllowedExtension, le bloc
  ROLE_CLIENT de MailAccessChecker
- front : pages /portal, layout portal, composants client-ticket/,
  AdminClientTicketTab, services/dto/i18n/docs associés
- fixtures : retire les users client-liot / client-acme
- migration Version20260522110000 (drop client_ticket, user_allowed_projects,
  colonnes liées ; task_document.task_id -> NOT NULL)
- tests : retire les cas obsolètes testant le blocage des clients sur le mail

Module gestion des absences (WIP) :
- entités / migrations (Version20260521160000, Version20260522090000)
- pages absences.vue / team-absences.vue, composants frontend/components/absence/
- services front, AccrueLeaveCommand, PublicHolidayController

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/Security/MailAccessChecker.php

@@ -18,7 +18,6 @@ final readonly class MailAccessChecker
     /**
      * Verifie que l'utilisateur courant peut acceder aux endpoints mail.
      * Autorise : ROLE_USER, ROLE_ADMIN.
-     * Refuse : ROLE_CLIENT pur (sans ROLE_ADMIN), non authentifie.
      *
      * @throws AccessDeniedException
      */
@@ -30,10 +29,6 @@ final readonly class MailAccessChecker
 
         $roles = $user->getRoles();
 
-        if (in_array('ROLE_CLIENT', $roles, true) && !in_array('ROLE_ADMIN', $roles, true)) {
-            throw new AccessDeniedException('Mail not accessible to clients');
-        }
-
         if (!in_array('ROLE_USER', $roles, true) && !in_array('ROLE_ADMIN', $roles, true)) {
             throw new AccessDeniedException('ROLE_USER required');
         }