fix(heures) : garde backend anti-suppression sur grille périmée (delete explicite) (#36)

## Contexte (incident prod)
Le correctif #31 (dirty-tracking front) ne protège que les sessions chargeant le nouveau bundle. Un **vieil onglet** ouvert avant déploiement tourne encore sur l'ancien JS et envoie toute la grille périmée. Hier soir, un onglet ouvert le matin a **supprimé ~10 lignes d'heures** saisies dans la journée par d'autres utilisateurs (journal BDD à l'appui : 1 save = 2 updates + 8 deletes de lignes intactes).

Cause : le backend traitait toute **entrée vide comme une suppression**, sans aucune garde indépendante du client.

## Correctif — suppression sur intention explicite (`delete: true`)
`WorkHourBulkUpsertProcessor` ne supprime une ligne existante sur entrée vide **que si l'entrée porte `delete: true`**. Sinon → **no-op** (ligne préservée). Aucune grille périmée, quel que soit le client (vieil onglet inclus), ne peut plus détruire une saisie concurrente. La création de ligne technique de validation reste limitée à `null === $existing`.

Le front (à jour) pose `delete: true` sur une ligne **vidée volontairement** (helper `isEntryEmpty`, appliqué après le filtre dirty-tracking) → suppression métier conservée. Flag optionnel ajouté au DTO front (`WorkHourEntryPayload`) et back (`WorkHourBulkUpsert`), défaut `false`.

## Testabilité
Le processor dépend désormais des interfaces repo (`EmployeeScopedRepositoryInterface` / `WorkHourReadRepositoryInterface`, repos concrets `final` non mockables) → nouveau test unitaire `WorkHourBulkUpsertProcessorTest` (no-op sans flag / suppression avec flag / update normal).

## Limite résiduelle (choix : suppression explicite, pas verrou optimiste)
L'**édition explicite** d'une ligne sur données périmées peut encore écraser une saisie concurrente sur cette même ligne. Seule la **suppression** est blindée.

## Vérification
- **267 tests PHPUnit OK** (dont 3 nouveaux), via le pre-commit hook.
- Front : revue de code (pas de harnais de tests front).

## Doc
- `doc/hours-save-dirty-tracking.md`, `CLAUDE.md`, doc in-app (`documentation-content.ts`).

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Reviewed-on: #36
Co-authored-by: tristan <tristan@yuno.malio.fr>
Co-committed-by: tristan <tristan@yuno.malio.fr>

src/ApiResource/WorkHourBulkUpsert.php

@@ -37,8 +37,13 @@ final class WorkHourBulkUpsert
      *     nightHoursMinutes?:?int,
      *     hasBreakfast?:bool,
      *     hasLunch?:bool,
-     *     hasOvernight?:bool
+     *     hasOvernight?:bool,
+     *     delete?:bool
      * }>
+     *
+     * Le flag `delete` (défaut false) autorise la suppression d'une ligne existante
+     * quand l'entrée est vide. Sans lui, une entrée vide sur une ligne existante est
+     * un no-op (garde anti-perte de données contre les grilles périmées).
      */
     public array $entries = [];
 }

src/Repository/Contract/EmployeeScopedRepositoryInterface.php

@@ -13,4 +13,11 @@ interface EmployeeScopedRepositoryInterface
      * @return list<Employee>
      */
     public function findScoped(User $user): array;
+
+    /**
+     * @param list<int> $employeeIds
+     *
+     * @return array<int, Employee>
+     */
+    public function findAccessibleByIds(array $employeeIds, User $user): array;
 }

src/Repository/Contract/WorkHourReadRepositoryInterface.php

@@ -18,6 +18,13 @@ interface WorkHourReadRepositoryInterface
      */
     public function findByDateRangeAndEmployees(DateTimeImmutable $from, DateTimeImmutable $to, array $employees): array;
 
+    /**
+     * @param list<Employee> $employees
+     *
+     * @return array<int, WorkHour>
+     */
+    public function findByDateAndEmployeesIndexedByEmployeeId(DateTimeImmutable $workDate, array $employees): array;
+
     public function findOneByEmployeeAndDate(Employee $employee, DateTimeInterface $date): ?WorkHour;
 
     public function hasValidatedInRange(Employee $employee, DateTimeInterface $from, DateTimeInterface $to): bool;

src/State/WorkHourBulkUpsertProcessor.php

@@ -12,8 +12,8 @@ use App\Entity\User;
 use App\Entity\WorkHour;
 use App\Enum\TrackingMode;
 use App\Repository\Contract\AbsenceReadRepositoryInterface;
-use App\Repository\EmployeeRepository;
-use App\Repository\WorkHourRepository;
+use App\Repository\Contract\EmployeeScopedRepositoryInterface;
+use App\Repository\Contract\WorkHourReadRepositoryInterface;
 use App\Service\AuditLogger;
 use App\Service\Contracts\EmployeeContractResolver;
 use DateTimeImmutable;
@@ -28,8 +28,8 @@ final readonly class WorkHourBulkUpsertProcessor implements ProcessorInterface
     public function __construct(
         private EntityManagerInterface $entityManager,
         private Security $security,
-        private EmployeeRepository $employeeRepository,
-        private WorkHourRepository $workHourRepository,
+        private EmployeeScopedRepositoryInterface $employeeRepository,
+        private WorkHourReadRepositoryInterface $workHourRepository,
         private AbsenceReadRepositoryInterface $absenceRepository,
         private EmployeeContractResolver $contractResolver,
         private AuditLogger $auditLogger,
@@ -142,8 +142,14 @@ final readonly class WorkHourBulkUpsertProcessor implements ProcessorInterface
             $empName = trim(($employee->getLastName() ?? '').' '.($employee->getFirstName() ?? ''));
 
             if ($this->isEntryEmpty($normalized)) {
-                // Convention choisie: une ligne vide supprime l'enregistrement existant.
-                if ($existing) {
+                // Garde anti-perte de données : une ligne vide ne supprime l'enregistrement
+                // existant QUE si la suppression est explicitement demandée (`delete: true`).
+                // Sans ce flag, une grille périmée (ex. vieil onglet sans dirty-tracking front)
+                // ne peut plus détruire une ligne saisie entre-temps par un autre utilisateur :
+                // l'entrée vide est traitée comme un no-op.
+                $deleteRequested = true === ($entry['delete'] ?? false);
+
+                if ($existing && $deleteRequested) {
                     $this->auditLogger->log(
                         $employee,
                         'delete',
@@ -155,7 +161,7 @@ final readonly class WorkHourBulkUpsertProcessor implements ProcessorInterface
                     );
                     $this->entityManager->remove($existing);
                     ++$result->deleted;
-                } elseif (($absenceByEmployeeId[$employeeId] ?? false) === true || $is4hContract) {
+                } elseif (null === $existing && (($absenceByEmployeeId[$employeeId] ?? false) === true || $is4hContract)) {
                     // Si une absence existe ce jour ou contrat 4h, on garde une ligne technique pour pouvoir valider la journée.
                     $workHour = new WorkHour()
                         ->setEmployee($employee)