fix(commercial) : corrige le contrat de sérialisation du répertoire clients (ERP-80/81/82/83) (#45)

## Contexte

Correctifs des 4 bugs de contrat de sérialisation du répertoire clients M1, révélés par la capture du JSON réel le 02/06/2026 (cf. `docs/specs/M2-suppliers/spec-back.md` § 4.0.ter). Tous étaient des oublis **silencieux** (aucune erreur levée).

## Changements

- **ERP-80 — Fuite RIB (sécurité)** : `Client::getRibs()` et les propriétés de `ClientRib` passent sous le groupe gaté `client:read:accounting` (ajouté au contexte par `ClientReadGroupContextBuilder` uniquement si `accounting.view`). La clé `ribs` est désormais **absente** du détail pour la Commerciale. La sous-ressource autonome `/api/client_ribs/{id}` conserve `client_rib:read` (écriture/PATCH intacts).
- **ERP-81 — Booléens d'adresse** : `#[Groups]` + `#[SerializedName]` portés sur les **getters** `isProspect()/isDelivery()/isBilling()` (le getter booléen strippait le préfixe `is` et droppait la clé — même pattern que `Client::isArchived`).
- **ERP-82 — Embed Category/Site** : `category:read` + `site:read` ajoutés au `normalizationContext` du `Get` Client → `categories[].code/.name` et `addresses[].sites[].name` embarqués.
- **ERP-83 — Tests anti-régression** : nouveau `ClientSerializationContractTest` (7 tests, 64 assertions) assertant sur le **corps JSON réel**.

## Dépendance signalée

⚠️ L'entité **`Site` n'a pas de champ `code`** (ni `SiteInterface`) — son libellé est `name`. Les « codes 86/17/82 » de la spec M2 sont en réalité le préfixe du code postal des sites fixtures. À planifier côté module Sites si un `Site.code` est requis (notamment pour `getSiteCodes()` au M2).

## Vérifications

- `make test` : **460 tests, 1535 assertions, exit 0** ✅
- `make php-cs-fixer-allow-risky` : 0 fix ✅
- Capture JSON réelle AVANT/APRÈS (client 6 TRANSPORTS RAPIDES) :
  - **Admin** : `ribs` présents, `siren`/`accountNumber`/`nTva` présents, `categories[].code/.name` + `addresses[].sites[].name` embarqués, booléens d'adresse présents.
  - **Commerciale** : `ribs` **absent**, scalaires comptables **absents** (omission), embed Category/Site + booléens visibles.

Tickets : ERP-80, ERP-81, ERP-82, ERP-83 (passés « En review »).
---------

Co-authored-by: admin malio <malio@yuno.malio.fr>
Co-authored-by: Matthieu <contact@malio.fr>
Reviewed-on: #45
Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>
Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>

src/Module/Commercial/Domain/Entity/Client.php

@@ -63,15 +63,23 @@ use Symfony\Component\Validator\Constraints as Assert;
         ),
         new Get(
             security: "is_granted('commercial.clients.view')",
-            // Detail : client + sous-collections embarquees. Le groupe
-            // client:read:accounting est ajoute par le context builder selon la
-            // permission, donc absent ici volontairement.
+            // Detail : client + sous-collections embarquees.
+            //  - client:read:accounting est ajoute par le context builder selon la
+            //    permission (gate les scalaires comptables ET les RIB embarques),
+            //    donc absent ici volontairement.
+            //  - client_rib:read N'EST PLUS dans le contexte : le contenu des RIB
+            //    embarques est desormais porte par client:read:accounting (gate),
+            //    ce qui retire la fuite IBAN/BIC vers les users sans accounting.view.
+            //  - category:read et site:read sont indispensables pour embarquer le
+            //    code/libelle des categories et des sites (sinon stub IRI nu) :
+            //    Category.code/name vivent sous category:read, Site.name sous site:read.
             normalizationContext: ['groups' => [
                 'client:read',
                 'client:item:read',
                 'client_contact:read',
                 'client_address:read',
-                'client_rib:read',
+                'category:read',
+                'site:read',
                 'default:read',
             ]],
             provider: ClientProvider::class,
@@ -651,8 +659,14 @@ class Client implements TimestampableInterface, BlamableInterface
         return $this;
     }
 
+    // Embed gate sur le groupe COMPTABLE (et non client:item:read comme contacts/
+    // adresses) : client:read:accounting n'est ajoute au contexte que si l'user a
+    // accounting.view (ClientReadGroupContextBuilder). Resultat : la cle `ribs` est
+    // TOTALEMENT ABSENTE du detail pour un user sans accounting.view (ex. Commerciale),
+    // au meme titre que les scalaires comptables — corrige la fuite de RIB ou la
+    // Commerciale recevait IBAN/BIC en clair.
     /** @return Collection<int, ClientRib> */
-    #[Groups(['client:item:read'])]
+    #[Groups(['client:read:accounting'])]
     public function getRibs(): Collection
     {
         return $this->ribs;