feat(commercial) : expose accounting referentials read-only API

Expose TvaMode, PaymentDelay, PaymentType et Bank en lecture seule
(GetCollection + Get), security commercial.clients.view au niveau
operations + ressource. Aucune ecriture declaree -> POST/PATCH/DELETE
renvoient 405.

Tri par defaut position ASC puis label ASC (spec M1 § 4.7). Pagination
serveur conservee (ERP-72) avec paginationClientEnabled pour activer
l'echappatoire ?pagination=false (alimenter un select sans pagination).

Endpoints : GET /api/tva_modes, /api/payment_delays, /api/payment_types,
/api/banks. Tests fonctionnels : 200 + seed, tri position/label,
405 ecritures, 403 sans permission, 401 anonyme, pagination toggle.

config/sidebar.php

@@ -105,7 +105,7 @@ return [
         'items' => [
             [
                 'label'      => 'sidebar.commercial.clients',
-                'to'         => '/clients',
+                'to'         => '/commercial/clients',
                 'icon'       => 'mdi:account-group-outline',
                 'module'     => 'commercial',
                 'permission' => 'commercial.clients.view',