fix(commercial) : validation onglet compta LCR + controle croise BIC/IBAN (ERP-118) (#78)

## ERP-118 — Validation onglet Comptabilité (LCR / RIB)

### 1. Fix — 422 « Au moins un RIB est obligatoire pour le type de règlement LCR »

L'onglet Comptabilité envoyait le `PATCH /clients/{id}` des scalaires (`paymentType=LCR`) **avant** le `POST /clients/{id}/ribs`. Or le back valide RG-1.13 (LCR ⟹ ≥1 RIB persisté) sur ce PATCH, en lisant les RIB en base — vides à ce stade. Résultat : 422, et le `return` empêchait la création des RIB. Premier passage en LCR impossible (deadlock).

**Correctif :** inverser l'ordre — RIB d'abord, puis PATCH des scalaires.
- `new.vue` : `POST/PATCH RIB` → `PATCH scalaires`.
- `[id]/edit.vue` : ordre universel `CREATE/UPDATE RIB` → `PATCH scalaires` → `DELETE RIB retirés` (suppressions après le PATCH : le guard back n'autorise la suppression du dernier RIB qu'une fois quitté LCR). Corrige au passage un 409 latent sur le swap du dernier RIB en LCR.

### 2. Feat — contrôle croisé pays BIC/IBAN

`Assert\Bic(ibanPropertyPath: 'iban')` sur `ClientRib` et `SupplierRib` : le pays du BIC (positions 5-6) doit correspondre au pays de l'IBAN (positions 1-2). Un BIC et un IBAN valides isolément mais de pays différents → 422, violation portée par le champ `bic` avec message FR (`ibanMessage`), mappée inline côté front. Aucune modif front nécessaire.

### Tests

- Tests fonctionnels du mismatch (BIC DE + IBAN FR → 422 sur `propertyPath=bic`, message FR) côté client et fournisseur.
- Suite back complète au vert (garde-fou `EntityConstraintsHaveFrenchMessageTest` inclus), suite front Vitest au vert.

### Points d'attention

- **Durcissement de RG** (cross-check BIC/IBAN) hors spec initiale : des RIB existants avec BIC/IBAN de pays différents deviendraient non modifiables sans correction.
- L'orchestration de submit n'est pas couverte par un test unitaire (pas d'infra de test composant sur ces écrans) — vérification golden path recommandée.

Reviewed-on: #78
Co-authored-by: tristan <tristan@yuno.malio.fr>
Co-committed-by: tristan <tristan@yuno.malio.fr>

frontend/modules/commercial/pages/clients/[id]/edit.vue

@@ -956,35 +956,21 @@ function askRemoveRib(index: number): void {
 }
 
 /**
- * Valide l'onglet Comptabilite : PATCH des scalaires (groupe client:write:accounting,
- * exige accounting.manage cote back) PUIS DELETE/POST/PATCH des RIB sur la
- * sous-ressource. Aucun champ main/information dans le payload (mode strict
- * RG-1.28 : sinon 403 sur tout le payload).
+ * Valide l'onglet Comptabilite : POST/PATCH des RIB sur la sous-ressource PUIS
+ * PATCH des scalaires (groupe client:write:accounting, exige accounting.manage cote
+ * back) PUIS DELETE des RIB retires. Les RIB crees d'abord : le back valide RG-1.13
+ * (LCR => au moins un RIB persiste) sur le PATCH scalaires ; les suppressions en
+ * dernier (le guard back n'autorise la suppression du dernier RIB qu'une fois quitte
+ * LCR). Aucun champ main/information dans le payload (mode strict RG-1.28 : sinon
+ * 403 sur tout le payload).
  */
 async function submitAccounting(): Promise<void> {
     if (accountingReadonly.value || !canValidateAccounting.value || tabSubmitting.value) return
     tabSubmitting.value = true
     accountingErrors.clearErrors()
-    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
-    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
-    // des erreurs de RIB obsoletes affichees sous les blocs.
-    ribErrors.value = []
     try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
-        try {
-            await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
-        }
-        catch (error) {
-            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
-            return
-        }
-
-        for (const id of removedRibIds.value) {
-            await api.delete(`/client_ribs/${id}`, {}, { toast: false })
-        }
-        removedRibIds.value = []
-
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        // 1) POST/PATCH des RIB d'abord (erreurs inline par ligne, tous les blocs
+        // tentes). Le back exige >=1 RIB persiste pour valider une LCR a l'etape 2.
         // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
         // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
         const ribHasError = await submitRows(
@@ -1011,6 +997,23 @@ async function submitAccounting(): Promise<void> {
             rib => rib.id === null && isRibBlank(rib),
         )
         if (ribHasError) return
+
+        // 2) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        try {
+            await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
+        }
+        catch (error) {
+            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
+            return
+        }
+
+        // 3) DELETE des RIB retires : APRES le PATCH scalaires (si on quitte LCR, le
+        // guard back n'autorise la suppression du dernier RIB qu'une fois le type change).
+        for (const id of removedRibIds.value) {
+            await api.delete(`/client_ribs/${id}`, {}, { toast: false })
+        }
+        removedRibIds.value = []
+
         toast.success({ title: t('commercial.clients.toast.updateSuccess') })
     }
     catch (e) {

frontend/modules/commercial/pages/clients/new.vue

@@ -939,37 +939,20 @@ function askRemoveRib(index: number): void {
 }
 
 /**
- * Valide l'onglet Comptabilite : PATCH des scalaires (groupe client:write:accounting)
- * PUIS POST des RIB sur /clients/{id}/ribs. Deux appels distincts (mode strict
- * RG-1.28 : il n'existe pas d'endpoint /accounting, cf. recon back).
+ * Valide l'onglet Comptabilite : POST/PATCH des RIB sur /clients/{id}/ribs PUIS
+ * PATCH des scalaires (groupe client:write:accounting). Les RIB d'abord : le back
+ * valide RG-1.13 (LCR => au moins un RIB persiste) sur le PATCH scalaires, les RIB
+ * doivent donc exister en base AVANT (sinon 422 « Au moins un RIB est obligatoire
+ * pour le type de reglement LCR »). Deux appels distincts (mode strict RG-1.28 :
+ * il n'existe pas d'endpoint /accounting, cf. recon back).
  */
 async function submitAccounting(): Promise<void> {
     if (clientId.value === null || !canValidateAccounting.value || tabSubmitting.value) return
     tabSubmitting.value = true
     accountingErrors.clearErrors()
-    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
-    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
-    // des erreurs de RIB obsoletes affichees sous les blocs.
-    ribErrors.value = []
     try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
-        try {
-            await api.patch(`/clients/${clientId.value}`, {
-                siren: accounting.siren || null,
-                accountNumber: accounting.accountNumber || null,
-                tvaMode: accounting.tvaModeIri,
-                nTva: accounting.nTva || null,
-                paymentDelay: accounting.paymentDelayIri,
-                paymentType: accounting.paymentTypeIri,
-                bank: isBankRequired.value ? accounting.bankIri : null,
-            }, { toast: false })
-        }
-        catch (error) {
-            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
-            return
-        }
-
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        // 1) POST/PATCH des RIB d'abord (erreurs inline par ligne, tous les blocs
+        // tentes). Le back exige >=1 RIB persiste pour valider une LCR a l'etape 2.
         // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
         // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
         const ribHasError = await submitRows(
@@ -997,6 +980,23 @@ async function submitAccounting(): Promise<void> {
         )
         if (ribHasError) return
 
+        // 2) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        try {
+            await api.patch(`/clients/${clientId.value}`, {
+                siren: accounting.siren || null,
+                accountNumber: accounting.accountNumber || null,
+                tvaMode: accounting.tvaModeIri,
+                nTva: accounting.nTva || null,
+                paymentDelay: accounting.paymentDelayIri,
+                paymentType: accounting.paymentTypeIri,
+                bank: isBankRequired.value ? accounting.bankIri : null,
+            }, { toast: false })
+        }
+        catch (error) {
+            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
+            return
+        }
+
         completeTab('accounting')
         toast.success({ title: t('commercial.clients.toast.updateSuccess') })
     }