fix(rbac) : referentiels /categories et /sites lisibles par les roles metier (ERP-102)

Les roles metier (bureau / compta / commerciale) prenaient un 403 sur GET /api/categories et GET /api/sites : la security des GetCollection/Get exigeait catalog.categories.view / sites.view, permissions reservees a l'administration du Catalogue et des Sites. Or ces referentiels sont transverses (selects de creation/filtre client) : creation de client cassee et filtres vides pour ces roles. Correctif back (Option C — permission de lecture-referentiel dediee) : - Nouvelles permissions catalog.categories.read_ref et sites.read_ref, distinctes de .view (pas d'item sidebar admin) et de .manage. Chaque permission appartient a son propre module -> aucun couplage inter-module (regle ABSOLUE n°1) et reutilisable tel quel par M2 Fournisseurs. - Security lecture (liste + item) elargie : view OR read_ref sur Category et Site. - Matrice RBAC § 2.7 (RbacSeeder) : read_ref attache a bureau / compta / commerciale. Usine reste sans acces. Durcissement front (resilience, requis dans tous les cas) : - useClientReferentials.loadCommon passe de Promise.all a Promise.allSettled avec affectation isolee par referentiel : l'echec d'un endpoint ne vide que SON select, plus la totalite du formulaire. Tests : - ClientRBACMatrixTest : les roles metier listent /categories et /sites (200), usine reste a 403. - SitesModuleTest : set de permissions porte a 4 codes. - useClientReferentials.spec : resilience d'un referentiel en echec. Miroirs E2E (personas.ts / SeedE2ECommand) non touches : read_ref n'ajoute aucun lien sidebar, le persona user-full lit deja via .view, et aucun persona ne modelise un role metier seul ; pas de nouveau test E2E (regle n°7).
2026-06-03 14:13:45 +02:00
135 changed files with 1551 additions and 12350 deletions
@@ -6,13 +6,6 @@
 - PHP CS Fixer : regles Symfony + PSR-12 + strict types (commande : `make php-cs-fixer-allow-risky`)
 - Commentaires (docblock, inline, bloc) **en francais** ; code (classes, methodes, variables) en anglais
 ## Messages de validation (obligatoire)
 Toute contrainte `#[Assert\*]` d'une entite metier : **message FR explicite**, et `Assert\Length.max` = `length` de la colonne ORM (coherence 3 niveaux nullable DB <-> NotBlank back <-> required front, ERP-101). RG inter-champs via `#[Assert\Callback]->atPath('<champ>')` (mapping inline front, pas toast). Exceptions miroir Length (Bic/Iban/Regex borne) : whitelist `EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR`.
 Garde-fou : `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` (casse `make test`).
 → patterns code + exemples + justification complete : skill `backend-entity-conventions`.
 ## API Platform (pas de controllers)
 - Toujours utiliser `#[ApiResource]` + Providers + Processors — pas de controllers Symfony classiques
@@ -22,10 +15,61 @@ Garde-fou : `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` (casse `
 ## Pagination (obligatoire)
-Toute collection API est paginee (defaut 10, max 50 ; `?pagination=false` = echappatoire selects, `?itemsPerPage=25` borne par le max). Standard global dans `config/packages/api_platform.yaml`. Jamais `paginationEnabled: false` hors whitelist `CollectionsArePaginatedTest::EXCLUDED`. Provider custom : ne jamais retourner un `array` brut sur une `CollectionOperationInterface` (court-circuite Hydra) — wrapper un Paginator (ORM : `ApiPlatform\Doctrine\Orm\Paginator` ; DBAL : `DbalPaginator`) et gerer `?pagination=false` via `$this->pagination->isEnabled(...)`.
+**Regle** : toute collection API DOIT etre paginee. Aucun retour de collection complete cote serveur.
-Garde-fou : `tests/Architecture/CollectionsArePaginatedTest` (casse `make test`).
+### Standard global
-→ tableau des cles `pagination_*` + selects + providers ORM/DBAL detailles : skill `backend-entity-conventions`.
+
 Pose dans `config/packages/api_platform.yaml` (section `defaults:`) et heritee par toutes les ressources :
 | Cle | Valeur | Effet |
 |---|---|---|
 | `pagination_enabled` | `true` | Pagination Hydra active par defaut. |
 | `pagination_items_per_page` | `10` | Taille de page par defaut, aligne sur l'UI `MalioDataTable`. |
 | `pagination_maximum_items_per_page` | `50` | Borne dure : `?itemsPerPage=999` → ramene a 50. Anti deep-fetch. |
 | `pagination_client_items_per_page` | `true` | Le client peut envoyer `?itemsPerPage=25` (bornee par le max). |
 | `pagination_client_enabled` | `true` | Le client peut envoyer `?pagination=false` pour TOUT recuperer (echappatoire selects). |
 ### Override par ressource (rare)
 Si une ressource a besoin d'un autre defaut (ex: payload lourd), utiliser les attributs sur l'operation. **JAMAIS `paginationEnabled: false`** sans whitelist explicite dans `tests/Architecture/CollectionsArePaginatedTest::EXCLUDED`.
 ```php
 new GetCollection(
    paginationItemsPerPage: 5,           // override taille par defaut
    paginationMaximumItemsPerPage: 20,   // override borne max
 )
 ```
 ### Selects et autocompletions
 Pour alimenter un `<select>` ou un drawer RBAC (Role, Permission, Site, CategoryType), le front passe :
 ```ts
 useApi().get('/api/roles?pagination=false')
 ```
 Le serveur retourne toute la collection, sans `view`. C'est l'echappatoire prevue par `pagination_client_enabled: true`. Sur les ressources a forte volumetrie, preferer une saisie assistee (recherche serveur via `?q=`) — a planifier dans un ticket dedie.
 Les tests fonctionnels qui exercent ce comportement doivent egalement passer `?pagination=false` (cf. `CategoryListTest`, `PermissionApiTest`).
 ### Providers customs et pagination
 Un provider custom qui retourne un `array` brut sur une `CollectionOperationInterface` **court-circuite la pagination Hydra** (pas de `totalItems`, pas de `view`). Patterns supportes :
 - **ORM** : injecter `ApiPlatform\State\Pagination\Pagination`, wrap un `Doctrine\ORM\Tools\Pagination\Paginator` dans `ApiPlatform\Doctrine\Orm\Paginator`. Exemple : `CategoryProvider`.
 - **DBAL** : implementer un paginator local conforme a `PaginatorInterface`. Exemple : `DbalPaginator` (Core) + `AuditLogProvider`.
 Gerer l'echappatoire `?pagination=false` :
 ```php
 if (!$this->pagination->isEnabled($operation, $context)) {
    return $qb->getQuery()->getResult(); // tout retourner
 }
 ```
 ### Garde-fou architecture
 `tests/Architecture/CollectionsArePaginatedTest` scanne reflexivement toutes les classes `#[ApiResource]` sous `src/` et echoue si une `GetCollection` pose `paginationEnabled: false` hors whitelist `EXCLUDED`. Ajouter une entree a la whitelist requiert une justification courte + un ticket Lesstime ouvert.
 ## Repositories
@@ -56,17 +100,42 @@ Format obligatoire : `module.resource[.subresource].action` en snake_case.
 ### Libelle i18n du type d'entite (obligatoire avec `#[Auditable]`)
-Toute entite `#[Auditable]` doit avoir sa cle `audit.entity.<module>_<entity>` dans `frontend/i18n/locales/fr.json` (cle = `strtolower(module)` + `_` + `strtolower(Entity)`, decision ERP-99). Sans elle, le filtre « Type d'entite » de l'audit-log retombe silencieusement sur le type technique brut (ex: `commercial.Client`). Fait partie de la definition de fini d'une entite auditee.
+**Toute entite `#[Auditable]` doit avoir son libelle FR dans le bloc `audit.entity` de `frontend/i18n/locales/fr.json`.** C'est la contrepartie i18n de l'attribut : sans elle, le filtre « Type d'entite » de l'audit-log affiche le type technique brut (ex: `commercial.Client`) au lieu d'un libelle lisible.
-Garde-fou : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` (casse `make test`).
+Pourquoi : le filtre est dynamique (`GET /audit-log-entity-types` renvoie les `entity_type` distincts presents en base) ; des qu'un module audite une entite, son type y apparait. Le front (`formatEntityType`, `audit-log.vue`) construit la cle `audit.entity.<module>_<entity>` et, faute de traduction, **retombe silencieusement** sur le type brut.
-→ derivation detaillee + exemples : skill `backend-entity-conventions`.
+
 Derivation de la cle (emplacement centralise + schema flat — decision ERP-99) :
 | FQCN entite | `entity_type` (back) | Cle i18n (flat) |
 |---|---|---|
 | `App\Module\Commercial\Domain\Entity\Client` | `commercial.Client` | `commercial_client` |
 | `App\Module\Commercial\Domain\Entity\ClientAddress` | `commercial.ClientAddress` | `commercial_clientaddress` |
 | `App\Module\Catalog\Domain\Entity\Category` | `catalog.Category` | `catalog_category` |
 Regle : `strtolower(module)` + `_` + `strtolower(Entity)`. Ajouter sa cle de libelle audit fait partie de la **definition de fini** d'une entite metier auditee.
 **Garde-fou** : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` scanne les entites `#[Auditable]` et echoue si une seule n'a pas sa cle `audit.entity.*`. Conclusion : creer une entite `#[Auditable]` sans son libelle i18n casse `make test`.
 ## Timestampable + Blamable (obligatoire pour entites metier)
-Toute **nouvelle** entite metier sous `src/Module/*/Domain/Entity/` : `implements TimestampableInterface, BlamableInterface` + `use TimestampableBlamableTrait` (porte les 4 colonnes `created_at` / `updated_at` / `created_by` / `updated_by`, remplies par `TimestampableBlamableSubscriber` au prePersist/preUpdate). La migration cree les 4 colonnes (`created_at`/`updated_at` NOT NULL, `created_by`/`updated_by` nullable `ON DELETE SET NULL`). Referentiel statique justifie : whitelist `EntitiesAreTimestampableBlamableTest::EXCLUDED`.
+Toute **nouvelle** entite metier sous `src/Module/*/Domain/Entity/` doit porter les 4 colonnes `created_at` / `updated_at` / `created_by` / `updated_by`, remplies automatiquement. Trois lignes a ajouter a l'entite :
-Garde-fou : `tests/Architecture/EntitiesAreTimestampableBlamableTest` (casse `make test`).
+```php
-→ snippet complet : skill `backend-entity-conventions` ; spec : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis.
+use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 class MyEntity implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait; // porte les 4 props + getters/setters
    // ... reste metier
 }
 ```
 - Le `TimestampableBlamableSubscriber` (`Shared/Infrastructure/Doctrine/`) remplit les colonnes au `prePersist` / `preUpdate`. Hors contexte HTTP (CLI, cron, migration), le blame reste `null` (libelle « Systeme » cote front).
 - La migration de l'entite doit creer les 4 colonnes (`created_at` / `updated_at` NOT NULL, `created_by` / `updated_by` nullable `ON DELETE SET NULL`).
 - **Garde-fou CI** : `tests/Architecture/EntitiesAreTimestampableBlamableTest` echoue si une entite oublie le pattern. Un referentiel statique justifie (ex: `CategoryType`) doit etre explicitement whiteliste dans la constante `EXCLUDED` avec un commentaire.
 - Spec complete : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis
 ## Serialization
@@ -84,7 +153,50 @@ Exemple : pour qu'`User.profile` soit embarque au lieu d'un lien IRI sous le gro
 ## Migrations Doctrine
-Toute migration creant/modifiant une colonne d'une table metier pose un `COMMENT ON COLUMN` (FR, ≤ 200 caracteres, semantique + contrainte/RG, cible pour les FK). Les 4 colonnes Timestampable/Blamable recoivent leur description via le helper centralise `addStandardTimestampableBlamableComments($schema, 'table')`. Bonus : `COMMENT ON TABLE` pour decrire la table.
+### Documentation SQL obligatoire (`COMMENT ON COLUMN`)
-Garde-fou : `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` (schema `public`) ; une seule colonne sans `col_description` casse `make test` (hors `EXCLUDED_TABLES`).
+**Toute migration qui cree ou modifie une colonne d'une table metier doit poser un `COMMENT ON COLUMN` decrivant le champ.** La description est stockee dans `pg_description` et visible dans tous les outils d'admin BDD (DBeaver, DataGrip, pgAdmin), sans avoir a lire les annotations PHP.
-→ exemples SQL + textes du helper : skill `backend-entity-conventions`.
+
 **Format de la description** :
 - En francais
 - ≤ 200 caracteres
 - Semantique du champ — contraintes / lien RG si pertinent
 - Pour les colonnes d'identifiant ou FK, mentionner la cible
 Exemples :
 ```php
 // Migration : creation d'une colonne avec son commentaire dans la meme migration
 $this->addSql("ALTER TABLE client ADD COLUMN siren VARCHAR(9) DEFAULT NULL");
 $this->addSql("COMMENT ON COLUMN client.siren IS 'SIREN (9 chiffres) — identifiant legal entreprise. Unique parmi non-archives (RG-1.15).'");
 // Cas FK : preciser la cible
 $this->addSql("COMMENT ON COLUMN client.legal_form_id IS 'Reference forme juridique (SARL, SAS, SA...) — FK -> legal_form.id, ON DELETE RESTRICT.'");
 // Cas booleen : preciser le sens et la valeur par defaut
 $this->addSql("COMMENT ON COLUMN user.is_admin IS 'Drapeau super-administrateur — bypass complet RBAC. Faux par defaut.'");
 // Bonus : decrire la table elle-meme
 $this->addSql("COMMENT ON TABLE client IS 'Repertoire clients (M1 Commercial) — entites archivables.'");
 ```
 ### Helper Timestampable/Blamable
 Les 4 colonnes `created_at`, `updated_at`, `created_by`, `updated_by` ajoutees par `TimestampableBlamableTrait` recoivent une description **standardisee** via le helper centralise pour eviter la duplication. Helper a creer ou appeler :
 ```php
 // Dans la migration, apres avoir ajoute les 4 colonnes :
 $this->addStandardTimestampableBlamableComments($schema, 'client');
 ```
 L'implementation du helper applique :
 - `created_at` : « Horodatage de creation de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `updated_at` : « Horodatage de derniere modification de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `created_by` : « ID de l'utilisateur ayant cree la ligne — null pour les creations hors HTTP (CLI, migration, fixture). FK -> user.id, ON DELETE SET NULL. »
 - `updated_by` : « ID de l'utilisateur ayant modifie la ligne en dernier — null pour les modifications hors HTTP. FK -> user.id, ON DELETE SET NULL. »
 ### Garde-fou architecture
 `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` filtre sur le schema `public` et echoue si **une seule colonne** n'a pas de `col_description`. Seules les tables system (`doctrine_migration_versions`) et la whitelist `EXCLUDED_TABLES` explicite (commentaire de justification + ticket Lesstime ouvert pour le retrofit) sont tolerees.
 Conclusion : si tu crees une colonne sans poser son `COMMENT ON COLUMN`, `make test` casse en CI.
@@ -44,44 +44,6 @@ Tout champ de formulaire / filtre doit utiliser les composants `Malio*` plutot q
 Toute autre exception requiert validation avant merge.
 ## Standard ecran formulaire — reference : ecran Client
 **Tout nouvel ecran de formulaire doit ressembler au premier ecran Client** (`frontend/modules/commercial/pages/clients/new.vue` + `[id]/edit.vue`) : meme structure (bloc principal puis onglets), memes marges/espacements, memes blocs de collection (ajout/suppression inline), meme validation inline 422 par champ. C'est la reference visuelle et fonctionnelle des formulaires du projet — s'en inspirer avant d'en creer un nouveau.
 ## Validation des formulaires — useFormErrors obligatoire (erreur par champ)
 **Tout formulaire qui soumet a une API DOIT afficher les erreurs de validation 422 sous le champ concerne, via `useFormErrors`** (`frontend/shared/composables/useFormErrors.ts`). C'est le pendant front de « le back renvoie TOUTES les violations d'une 422 d'un coup » : un seul aller-retour, chaque erreur affichee inline sous son champ (prop `:error` des `Malio*`), pas un toast fourre-tout.
 Principe cle : **le nom du champ cote front = le `propertyPath` renvoye par le back**. Aucun mapping manuel champ par champ.
 Pattern de reference (champs scalaires) :
 ```ts
 const { errors, setError, clearErrors, handleApiError } = useFormErrors()
 async function submit() {
    clearErrors()
    try {
        await useApi().post('/clients', payload, { toast: false }) // toast: false obligatoire
    } catch (e) {
        // 422 → mapping inline par champ (pas de toast) ; autre → toast de fallback.
        handleApiError(e, { fallbackMessage: t('foo.error') })
    }
 }
 ```
 ```vue
 <MalioInputText v-model="form.companyName" :error="errors.companyName" />
 <MalioSelect    v-model="form.siren"       :error="errors.siren" />
 ```
 Regles :
 - **Toujours `{ toast: false }`** sur l'appel API qui veut un mapping inline (sinon le toast natif d'`useApi` masque le fin).
 - **Cas metier specifique** (ex: 409 doublon) : `setError('champ', message)` + toast explicite **avant** de deleguer le reste a `handleApiError`. Cf. `useCategoryForm` (doublon RG-1.07).
 - **Collections** (listes de sous-entites sauvees par un appel par ligne) : une erreur PAR LIGNE via un tableau `ref<Record<string, string>[]>` aligne sur l'index, peuple par `mapViolationsToRecord(error.response._data)` (util pur de `shared/utils/api.ts`). Le composant de ligne expose une prop `:errors` (`Record<string, string>`) bindee sur le `:error` de chaque champ. Cf. `ClientContactBlock` / `ClientAddressBlock` et les submits de `clients/new.vue` / `clients/[id]/edit.vue`.
 **Interdit** : se contenter d'un toast global sur une 422 quand le back identifie les champs fautifs (`propertyPath`). Reimplementer un mapping `if/else` par champ a la main au lieu d'`useFormErrors` / `mapViolationsToRecord`.
 ## Tableaux de donnees — MalioDataTable obligatoire
 Tout affichage LISTE tabulaire (donnees metier paginees, CRUD admin) doit passer par `MalioDataTable` :
@@ -146,18 +108,6 @@ A NE PAS faire :
 - Seuls les deep links "de navigation metier" (ex: ouvrir un detail precis `/users/42`) sont dans l'URL
 - Exceptions autorisees **sur demande explicite** de l'utilisateur
 ## Validation des formulaires (standard ERP-101)
 Regle transverse a TOUS les formulaires front (et a rappeler a l'ecriture de chaque ticket back/front portant un formulaire). Decidee en ERP-101 (declencheur : ecran « Ajouter un client » ERP-63).
 - **Champs obligatoires** : prop `required` du composant `Malio*` + etoile (asterisque) rouge dans le label. Ne JAMAIS griser le bouton « Valider » sans feedback : bouton toujours actif + erreurs affichees sous les champs.
 - **Couche de validation autoritaire = le back** : les RG sont re-validees serveur (mode strict). Au `422`, mapper `violations[].propertyPath` vers la prop `error` du champ via `extractApiViolations` (deja utilise par `useCategoryForm`). Zero duplication de RG, zero drift.
 - **Feedback instantane au blur** : uniquement requis / min / max / format (pas de re-implementation des RG metier cote front).
 - **Regles front-only** : celles sans equivalent back (ex. FK nullable cote back mais obligatoire selon un choix UI) sont validees et affichees cote front.
 - **Email — PAS de masque** : un email n'a pas de structure fixe. Normalisation via la prop `lowercase` de `MalioInputEmail` (trim + suppression des espaces + lowercase, coherent avec la normalisation serveur RG-1.21). Le format est valide par la prop `error` (violations serveur ou check au blur), jamais par un masque. Retirer tout shaping email ad hoc des ecrans.
 - **Contrat back attendu** : tout `422` issu d'un Processor/Validator doit porter `violations[].propertyPath` aligne sur les noms de champs du formulaire, pour etre consommable par `extractApiViolations`.
 - **Dependance** : le branchement des props `required` suppose `@malio/layer-ui` a jour (props `required` + etoile — MUI-41 / ERP-101).
 ## Interdits
 - `modules-loader.ts`, `.module.ts` — le scan des layers est automatique
@@ -1,251 +0,0 @@
 ---
 name: backend-entity-conventions
 description: Conventions détaillées des entités métier Starseed (back PHP/Symfony/API Platform) — messages de validation FR sur les contraintes, pagination API Platform et providers ORM/DBAL, libellé i18n du type d'entité auditée, Timestampable/Blamable, COMMENT ON COLUMN des migrations. Charger dès qu'on crée ou modifie une entité Domain, un ApiResource, un Provider/Processor, une contrainte de validation, ou une migration Doctrine. Le résumé court de chaque règle (+ nom du test garde-fou) reste dans .claude/rules/backend.md ; ce skill porte les patterns, tableaux et exemples complets.
 ---
 # Conventions entités métier — détail
 Ce skill contient le détail (patterns code, tableaux, dérivations) des 5 règles back qui ont chacune
 un test Architecture déterministe. L'énoncé court de chaque règle vit dans `.claude/rules/backend.md`
 (chargé à chaque session) ; ici on trouve le « comment » complet.
 > Règle d'or : le **test Architecture reste le juge** (il casse `make test`). Ce skill aide à écrire
 > le code juste du premier coup, il ne remplace pas le garde-fou.
 ---
 ## 1. Messages de validation (Garde-fou : `EntityConstraintsHaveFrenchMessageTest`)
 **Toute contrainte `#[Assert\*]` portée par une entité métier doit avoir un message FR explicite**, et
 **`Assert\Length.max` doit refléter le `length` de la colonne ORM**. C'est le pendant back du mapping
 d'erreur par champ côté front (ERP-101 : `useFormErrors` / `mapViolationsToRecord` affiche sous chaque
 champ le `message` renvoyé par le back).
 Pourquoi :
 - Sans `message:` explicite, Symfony renvoie le défaut **anglais** (« This value is not a valid email
  address. »). La locale FR globale (`default_locale: fr` dans `framework.yaml`) sert de FILET via
  `validators.fr.xlf`, mais les contraintes métier portent en plus leur message FR pour un contrôle total.
 - Une colonne string bornée **sans `Assert\Length`** échoue au niveau Postgres (500 générique, non
  rattachée au champ) au lieu d'une 422 propre. Le `max` doit égaler le `length` ORM (anti-dérive).
 Pattern par champ scalaire :
 ```php
 // Email métier
 #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
 // Longueur calée sur la colonne (VARCHAR(120))
 #[ORM\Column(length: 120)]
 #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
 // Obligatoire (aligner nullable DB / NotBlank back / required front)
 #[Assert\NotBlank(message: 'Le téléphone est obligatoire.', normalizer: 'trim')]
 ```
 Cohérence à 3 niveaux pour un champ obligatoire : colonne `nullable` (DB) <-> `Assert\NotBlank` (back)
 <-> `:required` + astérisque (front ERP-101). Les trois doivent s'accorder.
 Exceptions au miroir `Length` : un format déjà borné par `Assert\Bic` / `Assert\Iban` (longueur
 garantie) ou par un `Assert\Regex` borné (ex. code postal `{4,5}`, couleur hex `#RRGGBB`) — whitelister
 alors la propriété dans `EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR` avec justification.
 Les règles inter-champs (RG métier : exclusivité distributor/broker RG-1.03, billingEmail RG-1.11, etc.)
 passent par un `#[Assert\Callback]` qui construit la violation avec `->atPath('<champ>')` — indispensable
 pour que le front la mappe en inline plutôt qu'en toast.
 ### Garde-fou architecture
 `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` scanne réflexivement les entités sous
 `src/Module/*/Domain/Entity/` et échoue si :
 1. une contrainte connue n'a pas de message FR explicite (comparé au défaut Symfony) ;
 2. une colonne string bornée writable n'a pas de `Assert\Length(max == ORM length)` (hors whitelist).
 Une contrainte non gérée par le mapping du test le fait échouer : il faut l'ajouter explicitement
 (anti faux positif vert).
 ---
 ## 2. Pagination (Garde-fou : `CollectionsArePaginatedTest`)
 **Règle** : toute collection API DOIT être paginée. Aucun retour de collection complète côté serveur.
 ### Standard global
 Posé dans `config/packages/api_platform.yaml` (section `defaults:`) et hérité par toutes les ressources :
 | Clé | Valeur | Effet |
 |---|---|---|
 | `pagination_enabled` | `true` | Pagination Hydra active par défaut. |
 | `pagination_items_per_page` | `10` | Taille de page par défaut, alignée sur l'UI `MalioDataTable`. |
 | `pagination_maximum_items_per_page` | `50` | Borne dure : `?itemsPerPage=999` → ramené à 50. Anti deep-fetch. |
 | `pagination_client_items_per_page` | `true` | Le client peut envoyer `?itemsPerPage=25` (bornée par le max). |
 | `pagination_client_enabled` | `true` | Le client peut envoyer `?pagination=false` pour TOUT récupérer (échappatoire selects). |
 ### Override par ressource (rare)
 Si une ressource a besoin d'un autre défaut (ex: payload lourd), utiliser les attributs sur l'opération.
 **JAMAIS `paginationEnabled: false`** sans whitelist explicite dans
 `tests/Architecture/CollectionsArePaginatedTest::EXCLUDED`.
 ```php
 new GetCollection(
    paginationItemsPerPage: 5,           // override taille par défaut
    paginationMaximumItemsPerPage: 20,   // override borne max
 )
 ```
 ### Selects et autocomplétions
 Pour alimenter un `<select>` ou un drawer RBAC (Role, Permission, Site, CategoryType), le front passe :
 ```ts
 useApi().get('/api/roles?pagination=false')
 ```
 Le serveur retourne toute la collection, sans `view`. C'est l'échappatoire prévue par
 `pagination_client_enabled: true`. Sur les ressources à forte volumétrie, préférer une saisie assistée
 (recherche serveur via `?q=`) — à planifier dans un ticket dédié.
 Les tests fonctionnels qui exercent ce comportement doivent également passer `?pagination=false`
 (cf. `CategoryListTest`, `PermissionApiTest`).
 ### Providers customs et pagination
 Un provider custom qui retourne un `array` brut sur une `CollectionOperationInterface`
 **court-circuite la pagination Hydra** (pas de `totalItems`, pas de `view`). Patterns supportés :
 - **ORM** : injecter `ApiPlatform\State\Pagination\Pagination`, wrap un
  `Doctrine\ORM\Tools\Pagination\Paginator` dans `ApiPlatform\Doctrine\Orm\Paginator`. Exemple : `CategoryProvider`.
 - **DBAL** : implémenter un paginator local conforme à `PaginatorInterface`. Exemple : `DbalPaginator`
  (Core) + `AuditLogProvider`.
 Gérer l'échappatoire `?pagination=false` :
 ```php
 if (!$this->pagination->isEnabled($operation, $context)) {
    return $qb->getQuery()->getResult(); // tout retourner
 }
 ```
 ### Garde-fou architecture
 `tests/Architecture/CollectionsArePaginatedTest` scanne réflexivement toutes les classes
 `#[ApiResource]` sous `src/` et échoue si une `GetCollection` pose `paginationEnabled: false` hors
 whitelist `EXCLUDED`. Ajouter une entrée à la whitelist requiert une justification courte + un ticket
 Lesstime ouvert.
 ---
 ## 3. Libellé i18n du type d'entité auditée (Garde-fou : `AuditableEntitiesHaveI18nLabelTest`)
 **Toute entité `#[Auditable]` doit avoir son libellé FR dans le bloc `audit.entity` de
 `frontend/i18n/locales/fr.json`.** C'est la contrepartie i18n de l'attribut : sans elle, le filtre
 « Type d'entité » de l'audit-log affiche le type technique brut (ex: `commercial.Client`) au lieu d'un
 libellé lisible.
 Pourquoi : le filtre est dynamique (`GET /audit-log-entity-types` renvoie les `entity_type` distincts
 présents en base) ; dès qu'un module audite une entité, son type y apparaît. Le front
 (`formatEntityType`, `audit-log.vue`) construit la clé `audit.entity.<module>_<entity>` et, faute de
 traduction, **retombe silencieusement** sur le type brut.
 Dérivation de la clé (emplacement centralisé + schéma flat — décision ERP-99) :
 | FQCN entité | `entity_type` (back) | Clé i18n (flat) |
 |---|---|---|
 | `App\Module\Commercial\Domain\Entity\Client` | `commercial.Client` | `commercial_client` |
 | `App\Module\Commercial\Domain\Entity\ClientAddress` | `commercial.ClientAddress` | `commercial_clientaddress` |
 | `App\Module\Catalog\Domain\Entity\Category` | `catalog.Category` | `catalog_category` |
 Règle : `strtolower(module)` + `_` + `strtolower(Entity)`. Ajouter sa clé de libellé audit fait partie
 de la **définition de fini** d'une entité métier auditée.
 **Garde-fou** : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` scanne les entités `#[Auditable]`
 et échoue si une seule n'a pas sa clé `audit.entity.*`. Conclusion : créer une entité `#[Auditable]`
 sans son libellé i18n casse `make test`.
 ---
 ## 4. Timestampable + Blamable (Garde-fou : `EntitiesAreTimestampableBlamableTest`)
 Toute **nouvelle** entité métier sous `src/Module/*/Domain/Entity/` doit porter les 4 colonnes
 `created_at` / `updated_at` / `created_by` / `updated_by`, remplies automatiquement. Trois lignes à
 ajouter à l'entité :
 ```php
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 class MyEntity implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait; // porte les 4 props + getters/setters
    // ... reste métier
 }
 ```
 - Le `TimestampableBlamableSubscriber` (`Shared/Infrastructure/Doctrine/`) remplit les colonnes au
  `prePersist` / `preUpdate`. Hors contexte HTTP (CLI, cron, migration), le blame reste `null`
  (libellé « Système » côté front).
 - La migration de l'entité doit créer les 4 colonnes (`created_at` / `updated_at` NOT NULL,
  `created_by` / `updated_by` nullable `ON DELETE SET NULL`).
 - **Garde-fou CI** : `tests/Architecture/EntitiesAreTimestampableBlamableTest` échoue si une entité
  oublie le pattern. Un référentiel statique justifié (ex: `CategoryType`) doit être explicitement
  whitelisté dans la constante `EXCLUDED` avec un commentaire.
 - Spec complète : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis
 ---
 ## 5. Migrations Doctrine — COMMENT ON COLUMN (Garde-fou : `ColumnsHaveSqlCommentTest`)
 **Toute migration qui crée ou modifie une colonne d'une table métier doit poser un `COMMENT ON COLUMN`
 décrivant le champ.** La description est stockée dans `pg_description` et visible dans tous les outils
 d'admin BDD (DBeaver, DataGrip, pgAdmin), sans avoir à lire les annotations PHP.
 **Format de la description** :
 - En français
 - ≤ 200 caractères
 - Sémantique du champ — contraintes / lien RG si pertinent
 - Pour les colonnes d'identifiant ou FK, mentionner la cible
 Exemples :
 ```php
 // Migration : création d'une colonne avec son commentaire dans la même migration
 $this->addSql("ALTER TABLE client ADD COLUMN siren VARCHAR(9) DEFAULT NULL");
 $this->addSql("COMMENT ON COLUMN client.siren IS 'SIREN (9 chiffres) — identifiant legal entreprise. Unique parmi non-archives (RG-1.15).'");
 // Cas FK : préciser la cible
 $this->addSql("COMMENT ON COLUMN client.legal_form_id IS 'Reference forme juridique (SARL, SAS, SA...) — FK -> legal_form.id, ON DELETE RESTRICT.'");
 // Cas booléen : préciser le sens et la valeur par défaut
 $this->addSql("COMMENT ON COLUMN user.is_admin IS 'Drapeau super-administrateur — bypass complet RBAC. Faux par defaut.'");
 // Bonus : décrire la table elle-même
 $this->addSql("COMMENT ON TABLE client IS 'Repertoire clients (M1 Commercial) — entites archivables.'");
 ```
 ### Helper Timestampable/Blamable
 Les 4 colonnes `created_at`, `updated_at`, `created_by`, `updated_by` ajoutées par
 `TimestampableBlamableTrait` reçoivent une description **standardisée** via le helper centralisé pour
 éviter la duplication. Helper à créer ou appeler :
 ```php
 // Dans la migration, après avoir ajouté les 4 colonnes :
 $this->addStandardTimestampableBlamableComments($schema, 'client');
 ```
 L'implémentation du helper applique :
 - `created_at` : « Horodatage de creation de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `updated_at` : « Horodatage de derniere modification de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `created_by` : « ID de l'utilisateur ayant cree la ligne — null pour les creations hors HTTP (CLI, migration, fixture). FK -> user.id, ON DELETE SET NULL. »
 - `updated_by` : « ID de l'utilisateur ayant modifie la ligne en dernier — null pour les modifications hors HTTP. FK -> user.id, ON DELETE SET NULL. »
 ### Garde-fou architecture
 `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` filtré sur le
 schéma `public` et échoue si **une seule colonne** n'a pas de `col_description`. Seules les tables
 système (`doctrine_migration_versions`) et la whitelist `EXCLUDED_TABLES` explicite (commentaire de
 justification + ticket Lesstime ouvert pour le retrofit) sont tolérées.
 Conclusion : si tu crées une colonne sans poser son `COMMENT ON COLUMN`, `make test` casse en CI.
@@ -1,362 +1,209 @@
 # Starseed
-CRM/ERP en architecture **modular monolith DDD** — Symfony 8 (API Platform 4) + Nuxt 4.
+CRM/ERP — Symfony 8 (API Platform 4) + Nuxt 4
 Le backend est la **source de vérité unique** : il décide des modules actifs et de
 l'organisation de la sidebar. Le frontend scanne `frontend/modules/*/` comme layers
 Nuxt et consomme l'API pour la navigation.
 ---
 ## Sommaire
 - [Stack](#stack)
 - [Prérequis](#prérequis)
 - [Démarrage rapide](#démarrage-rapide)
 - [Dev local : avec ou sans données de seed](#dev-local--avec-ou-sans-données-de-seed)
 - [Comptes (dev)](#comptes-dev)
 - [Bases de données : dev et test](#bases-de-données--dev-et-test)
 - [Tests](#tests)
 - [Déploiement : seed RBAC en recette / prod](#déploiement--seed-rbac-en-recette--prod)
 - [Commandes make](#commandes-make)
 - [Architecture](#architecture)
 - [Structure du dépôt](#structure-du-dépôt)
 - [CI/CD](#cicd)
 - [Conventions](#conventions)
 ---
 ## Stack
 - **Backend** : PHP 8.4, Symfony 8, API Platform 4, Doctrine ORM, PostgreSQL 16
- **Frontend** : Nuxt 4 (SPA, SSR off), Vue 3, Pinia, Tailwind CSS, @malio/layer-ui, @nuxtjs/i18n
+- **Frontend** : Nuxt 4 (SPA), Vue 3, Pinia, Tailwind CSS, @malio/layer-ui
- **Auth** : JWT HTTP-only cookie (Lexik), login sur `/login_check`
+- **Auth** : JWT HTTP-only cookie (Lexik)
 - **Infra** : Docker Compose (dev + prod multi-stage)
 - **CI/CD** : Gitea Actions (auto-tag + build Docker)
-| Service       | Port |
+## Quick Start
 |---------------|------|
 | API (Nginx)   | 8083 |
 | Frontend dev  | 3004 |
 | PostgreSQL    | 5437 |
 ---
 ## Prérequis
 - Docker + Docker Compose
 - `make`
 - `nvm` (la version de Node est fixée par `.nvmrc`, voir `make node-use`)
 Toutes les commandes `make` s'exécutent dans le container PHP (`php-starseed-fpm`) ;
 rien n'est requis sur l'hôte hormis Docker — **sauf les tests E2E**, qui tournent sur
 l'hôte (navigateur réel, voir [Tests](#tests)).
 ---
 ## Démarrage rapide
 ```bash
-make start      # Démarre les containers Docker
+make start           # Demarrer les containers Docker
-make install    # Composer + clés JWT + migrations + permissions + BDD de test
+make install         # Composer, migrations, fixtures, build Nuxt
 make dev-nuxt   # Serveur Nuxt avec hot reload (http://localhost:3004)
 ```
-`make install` prépare une base de dev **vierge** (schéma + RBAC structurel, sans
+Dev frontend (hot reload) :
 données de démo) et la base de **test**. Pour obtenir des comptes et des données de
 démo prêtes à l'emploi, lis la section suivante.
 > Override local possible : `make` lit `infra/dev/.env.docker`, surchargé par
 > `infra/dev/.env.docker.local` s'il existe (créé automatiquement par `make env-init`).
 ---
 ## Dev local : avec ou sans données de seed
 Le projet distingue deux états de base de données de dev. Les **fixtures Doctrine sont
 en `require-dev`** : elles n'existent qu'en dev, jamais dans le build de prod.
 ### Sans données de seed (base vierge)
 C'est ce que produit `make install`. La base contient :
 - le **schéma** complet (toutes les migrations jouées) ;
 - les **rôles système** `admin` / `user` (seedés en SQL par la migration RBAC) ;
 - le **catalogue de permissions** synchronisé (`app:sync-permissions`).
 Mais **aucun compte utilisateur ni donnée métier**. Pour pouvoir te connecter,
 crée toi-même un compte :
 ```bash
-make shell
+make dev-nuxt        # Port 3003
 php bin/console app:create-user admin monMotDePasse --admin   # compte ROLE_ADMIN
 ```
-Optionnel — provisionner les **rôles métier** (bureau / compta / commerciale / usine
+## Ports
 + matrice RBAC § 2.7) sans comptes de démo :
-```bash
+| Service    | Port |
-php bin/console app:seed-rbac
+|------------|------|
-```
+| API (Nginx)| 8083 |
 | Frontend   | 3004 |
 | PostgreSQL | 5437 |
-Cet état est utile pour repartir d'une base propre, reproduire un bug sur données
+## Commandes
 minimales, ou tester un parcours d'onboarding réel.
-### Avec données de seed (base de démo)
+| Commande | Description |
-
+|----------|-------------|
-`make db-reset` (ou `make fixtures` après un `make install`) recharge la base de dev
+| `make start` | Demarrer les containers |
-avec un jeu complet de données de démonstration, **idempotent** :
+| `make stop` | Arreter les containers |
-
+| `make restart` | Redemarrer les containers |
-```bash
+| `make install` | Install complet |
-make db-reset   # ATTENTION : drop + recrée la base de dev, puis charge tout le seed
+| `make reset` | Tout supprimer et reinstaller |
-```
+| `make dev-nuxt` | Serveur dev Nuxt (hot reload) |
-
+| `make shell` | Shell dans le container PHP |
-Ce que les fixtures posent :
+| `make cache-clear` | Vider le cache Symfony |
-
+| `make migration-migrate` | Lancer les migrations |
- **3 utilisateurs système** : `admin` (ROLE_ADMIN), `alice`, `bob` (ROLE_USER),
+| `make fixtures` | Charger les fixtures |
-  rattachés à des sites distincts ;
+| `make db-reset` | Reset BDD + migrations + fixtures |
- **3 sites** : Chatellerault, Saint-Jean, Pommevic ;
+| `make test` | PHPUnit (tests back) |
- **les comptes de démo RBAC métier** (`bureau`, `compta`, `commerciale`, `usine`,
+| `make nuxt-test` | Vitest (tests unitaires front) |
-  mot de passe `demo`) avec la matrice § 2.7 attachée ;
+| `make test-e2e` | Playwright (tests E2E front) |
- les **référentiels et données métier** des modules (catégories, clients de démo,
+| `make test-e2e-ui` | Playwright UI interactive (debug) |
-  référentiels comptables…).
+| `make seed-e2e` | Seed les 6 personas E2E |
-
+| `make install-e2e-deps` | One-time : Chromium + libs systeme (sudo) |
-Toutes les fixtures sont rejouables sans effet de bord (lookup par clé naturelle,
+| `make php-cs-fixer-allow-risky` | Fix code style PHP |
-aucun doublon).
+| `make logs-dev` | Tail logs Symfony |
 > Différence avec `make install` : `install` ne charge **pas** les fixtures sur la base
 > de dev (il alimente uniquement la base de test). Utilise `make db-reset` ou
 > `make fixtures` quand tu veux des données de démo en dev.
 ---
 ## Comptes (dev)
 Disponibles uniquement après `make db-reset` / `make fixtures` (état « avec seed ») :
 | Username      | Password | Rôle       | RBAC métier                                                   |
 |---------------|----------|------------|---------------------------------------------------------------|
 | `admin`       | `admin`  | ROLE_ADMIN | bypass complet (`is_admin`)                                   |
 | `alice`       | `alice`  | ROLE_USER  | —                                                             |
 | `bob`         | `bob`    | ROLE_USER  | —                                                             |
 | `bureau`      | `demo`   | ROLE_USER  | clients : view + manage                                       |
 | `compta`      | `demo`   | ROLE_USER  | clients : view + accounting.view / manage                     |
 | `commerciale` | `demo`   | ROLE_USER  | clients : view + manage (Information obligatoire — RG-1.04)   |
 | `usine`       | `demo`   | ROLE_USER  | aucun accès clients                                           |
 ---
 ## Bases de données : dev et test
 Deux bases distinctes vivent dans le **même container PostgreSQL** (port 5437) :
 | Base       | Environnement | Construite par                       | Usage                          |
 |------------|---------------|--------------------------------------|--------------------------------|
 | `<db>`      | `dev`         | `make install` / `make db-reset`     | développement manuel, dev-nuxt |
 | `<db>_test` | `test`        | `make test-db-setup`                 | PHPUnit (jamais touchée à la main) |
 Le suffixe `_test` est appliqué **automatiquement** par Doctrine quand `APP_ENV=test`
 (config `when@test` dans `config/packages/doctrine.yaml`). La base de test est donc
 totalement **isolée** de la base de dev : lancer `make test` ne touche jamais tes
 données de dev.
 `make test-db-setup` fait davantage que jouer les migrations, car certaines structures
 ne sont pas portées par des migrations « métier » :
 1. `doctrine:migrations:migrate` — schéma métier réel ;
 2. `doctrine:schema:update --force` — crée les tables mappées en `when@test`
   uniquement (entités de test) ;
 3. `app:apply-column-comments` — réapplique les `COMMENT ON COLUMN` que
   `schema:update` efface sur les tables managées par l'ORM (garde-fou
   `ColumnsHaveSqlCommentTest`) ;
 4. `fixtures:load` → `sync-permissions` → `seed-rbac` — dans cet ordre précis
   (le purger des fixtures vide la table `permission`, donc la sync passe après) ;
 5. recréation des **index partiels uniques** (`LOWER(...) WHERE ...`) non exprimables
   en attributs ORM, indispensables aux tests d'unicité (RG-1.07, RG-1.16, RG-1.03/1.29).
 `make install` et `make db-reset` appellent déjà `test-db-setup` : tu n'as à le
 relancer à la main que si la base de test diverge (nouvelle migration, nouvelle
 permission) sans vouloir reseed la base de dev.
 ---
 ## Tests
-| Suite             | Commande         | Outil                | Où                                |
+- **Back** : `make test` (PHPUnit). Fixtures dediees sous `tests/Fixtures/`.
-|-------------------|------------------|----------------------|-----------------------------------|
+- **Front unitaire** : `make nuxt-test` (Vitest, happy-dom). Composables, utils, stores — rapide, <30s.
-| Back              | `make test`      | PHPUnit              | container PHP, base `<db>_test`   |
+- **Front E2E** : `make test-e2e` (Playwright). Couvre login + matrice RBAC sidebar. Suite volontairement minimaliste (11 tests) — voir la regle d'or dans `CLAUDE.md`.
 | Front unitaire    | `make nuxt-test` | Vitest (happy-dom)   | container Node, < 30 s            |
 | Front E2E         | `make test-e2e`  | Playwright           | **hôte** (navigateur réel requis) |
 | Tout (back+front) | `make test-all`  | PHPUnit + Vitest     | —                                 |
 ### Tests back (PHPUnit)
 **Bootstrap E2E (une fois par poste)** :
 ```bash
-make test                       # toute la suite
+make install-e2e-deps   # Telecharge Chromium + libs systeme via apt (sudo)
 make test FILES=tests/Module/Commercial   # un dossier / fichier ciblé
 ```
-PHPUnit force `APP_ENV=test` (`phpunit.dist.xml`) : les tests tournent **toujours**
+**Workflow E2E** :
 sur la base `<db>_test`, jamais sur la base de dev. Prérequis : que la base de test
 existe — c'est le cas après `make install`. Si elle a divergé, rejoue
 `make test-db-setup` (cf. [Bases de données](#bases-de-données--dev-et-test)).
 ### Tests front unitaires (Vitest)
 ```bash
-make nuxt-test   # composables, utils, stores — rapide et stable
+# Terminal 1 : containers + dev server
 ```
 C'est la **place par défaut** pour étendre la couverture (cf. règle d'or ci-dessous).
 ### Tests E2E (Playwright)
 Suite volontairement minimaliste (login + matrice RBAC sidebar). **Règle d'or : un
 nouveau test E2E ne s'ajoute que si un bug critique est passé en prod** — sinon,
 préférer un test Vitest ou étendre un persona existant.
 Bootstrap (une fois par poste) :
 ```bash
 make install-e2e-deps   # télécharge Chromium + libs système (apt/dnf, sudo)
 ```
 Workflow :
 ```bash
 # Terminal 1 — containers, seed des personas, serveur dev
 make start && make seed-e2e && make dev-nuxt
-# Terminal 2 — tests
+# Terminal 2 : tests
-make test-e2e            # headless
+make test-e2e
 make test-e2e-ui         # UI interactive (debug)
 ```
 > Toute permission testable touche **3 miroirs** à garder alignés : `config/sidebar.php`,
 > `frontend/tests/e2e/_fixtures/personas.ts`, `SeedE2ECommand.php`.
 ---
 ## Déploiement : seed RBAC en recette / prod
 Les fixtures Doctrine étant en `require-dev`, elles sont **absentes du build de prod**.
 Le RBAC métier (rôles `bureau` / `compta` / `commerciale` / `usine` + matrice § 2.7)
 est seedé par une **commande applicative idempotente**, jouée dans l'étape de release,
 **après** les migrations et la synchronisation des permissions :
 ```bash
 php bin/console doctrine:migrations:migrate --no-interaction
 php bin/console app:sync-permissions      # pose les permissions (commercial.clients.*, …)
 php bin/console app:seed-rbac             # PROD : rôles + matrice § 2.7 (sans comptes démo)
 ```
 En **recette / staging**, ajouter le flag pour disposer de logins de test. Le mot de
 passe est fourni **explicitement** (jamais en dur, jamais committé) :
 ```bash
 php bin/console app:seed-rbac --with-demo-users --password='<mot-de-passe>'
 # ou via la variable d'environnement RBAC_DEMO_PASSWORD
 ```
 La commande est rejouable sans effet de bord (aucun doublon de rôle, de lien ou de
 compte). Pour créer un premier administrateur en prod :
 ```bash
 php bin/console app:create-user <username> <password> --admin
 ```
 ---
 ## Commandes make
 `make` (sans argument) ou `make help` affiche l'aide colorée. Les principales :
 | Commande                       | Description                                              |
 |--------------------------------|----------------------------------------------------------|
 | `make start` / `stop` / `restart` | Cycle de vie des containers                          |
 | `make install`                 | Install complet (base dev vierge + base de test)         |
 | `make reset`                   | Tout supprimer et réinstaller (**drop la BDD**)          |
 | `make dev-nuxt`                | Serveur Nuxt hot reload (port 3004)                      |
 | `make shell` / `shell-root`    | Shell bash dans le container PHP                         |
 | `make migration-migrate`       | Jouer les migrations Doctrine                            |
 | `make fixtures`                | Charger les fixtures (données de démo dev)               |
 | `make sync-permissions`        | Synchroniser le catalogue RBAC                           |
 | `make seed-rbac`               | Seed RBAC métier (rôles + matrice § 2.7)                 |
 | `make db-reset`                | Reset base dev : drop + migrate + fixtures + RBAC        |
 | `make test-db-setup`           | (Re)construire la base de test                           |
 | `make test`                    | PHPUnit (back)                                           |
 | `make nuxt-test`               | Vitest (front unitaire)                                  |
 | `make test-all`                | PHPUnit + Vitest                                         |
 | `make test-e2e` / `test-e2e-ui`| Playwright (E2E, sur l'hôte)                             |
 | `make seed-e2e`                | Seed des 6 personas E2E                                  |
 | `make php-cs-fixer-allow-risky`| Fix du code style PHP                                    |
 | `make php-cs-fixer-check`      | Dry-run du fixer (CI / avant push)                       |
 | `make logs-dev`                | Tail des logs Symfony                                    |
 ---
 ## Architecture
-**Modular Monolith DDD** : chaque module est un bounded context autonome,
+**Modular Monolith DDD** : chaque module est un bounded context autonome, activable/desactivable par tenant. Le backend est la seule source de verite pour l'activation et l'organisation de la sidebar.
 activable / désactivable par tenant. Le backend est la seule source de vérité pour
 l'activation des modules et l'organisation de la sidebar.
 - `config/modules.php` — liste des modules actifs
 - `config/sidebar.php` — structure de la sidebar (sections + items avec module owner)
- `GET /api/modules` — IDs des modules actifs (public)
+- `GET /api/sidebar` — retourne les sections filtrees par les modules actifs + les routes desactivees
- `GET /api/sidebar` — sections filtrées par modules actifs + routes désactivées (public)
+- Frontend : chaque `frontend/modules/*/` est auto-detecte comme layer Nuxt, la sidebar est fetchee de l'API
-**Désactiver un module** : commenter sa ligne dans `config/modules.php`, vider le cache.
+Pour desactiver un module : commenter sa ligne dans `config/modules.php`, clear cache. Ses items de sidebar disparaissent et ses routes sont bloquees par le middleware front.
 Ses items de sidebar disparaissent et ses routes sont bloquées par le middleware front.
 Le code reste dans le bundle (layer auto-détecté) → réactivation instantanée.
-**Réorganiser la sidebar** : éditer `config/sidebar.php` uniquement — le code des
+Pour reorganiser la sidebar (ex: deplacer un item d'une section a l'autre) : editer `config/sidebar.php` uniquement, le code des modules n'est pas touche.
 modules n'est pas touché.
-**Communication inter-modules** : jamais d'import direct d'un module à l'autre. Passer
+## Structure
 par `Shared/Domain/Contract/` (interfaces) ou des domain events.
 ---
 ## Structure du dépôt
 ```
 src/                              # Backend Symfony
-  Shared/                         # Noyau technique partagé (Domain/, Application/Bus/, Infrastructure/ApiPlatform/)
+  Kernel.php
  Shared/                         # Noyau technique partage
    Domain/
      ValueObject/                # Email, ...
      Event/                      # DomainEventInterface
      Contract/                   # Interfaces inter-modules
    Application/
      Bus/                        # CommandBusInterface, QueryBusInterface
    Infrastructure/
      ApiPlatform/
        Resource/                 # AppVersion, ModulesResource, SidebarResource
        State/                    # AppVersionProvider, ModulesProvider, SidebarProvider
  Module/
-    Core/                         # Module obligatoire (auth, users, RBAC)
+    Core/                         # Module obligatoire (auth, users)
-      CoreModule.php              # Déclaration (ID, LABEL, REQUIRED, permissions())
+      CoreModule.php              # Declaration (ID, LABEL, REQUIRED)
-      Domain/ Application/ Infrastructure/
+      Domain/
-    Commercial/ Catalog/ Sites/   # Modules métier
+        Entity/                   # User
        Repository/               # UserRepositoryInterface
        Event/                    # UserCreated
      Application/
        DTO/                      # UserOutput
      Infrastructure/
        Doctrine/                 # DoctrineUserRepository, Migrations/
        ApiPlatform/State/
          Provider/               # MeProvider
          Processor/              # UserPasswordHasherProcessor
        Console/                  # CreateUserCommand
        DataFixtures/             # AppFixtures
    Commercial/                   # Autre module (exemple)
      CommercialModule.php
 config/
-  modules.php                     # Source de vérité : activation
+  modules.php                     # Source de verite activation
-  sidebar.php                     # Source de vérité : navigation
+  sidebar.php                     # Source de verite navigation
-  packages/                       # Config Symfony (doctrine, api_platform, security…)
+  version.yaml
-migrations/                       # Migrations d'initialisation (namespace racine : setup, RBAC, seed de base)
+  packages/                       # Config Symfony
  jwt/                            # Cles JWT
 migrations/                       # Anciennes migrations
 frontend/                         # App Nuxt 4 (SPA)
-  app/                            # Shell : layouts, middlewares (auth.global, modules.global)
+  app/
-  shared/                         # Code inter-modules (composables, stores, utils, types)
+    layouts/                      # default.vue, auth.vue
-  modules/                        # Layers Nuxt auto-détectés (core/, commercial/…)
+    middleware/                   # auth.global.ts, modules.global.ts
-  i18n/locales/                   # Traductions (sidebar.*, audit.entity.*, …)
+  shared/                         # Code partage (hors modules)
    composables/                  # useApi, useAppVersion, useSidebar
    components/ui/                # AppTopNav, ...
    stores/                       # auth, ui
    services/                     # auth
    types/                        # SidebarSection, UserData
    utils/                        # api (Hydra)
  modules/                        # Modules auto-detectes comme layers Nuxt
    core/
      nuxt.config.ts              # Marqueur layer
      pages/                      # index, login, logout
    commercial/
      nuxt.config.ts
      pages/                      # commercial.vue
  app.vue
  nuxt.config.ts                  # Scanne modules/*/ automatiquement
  i18n/locales/                   # Traductions (sidebar.*, etc.)
  assets/                         # CSS, images
  public/                         # Fichiers statiques
 infra/
-  dev/                            # Docker dev (Dockerfile, nginx, php.ini, xdebug, .env.docker)
+  dev/                            # Docker dev (Dockerfile, nginx, php.ini, xdebug)
  prod/                           # Docker prod (multi-stage, nginx, php-prod.ini)
 .gitea/workflows/                 # CI Gitea (auto-tag, build Docker)
 .claude/
  skills/create-module/           # Skill Claude Code pour scaffolder un module
 ```
 ---
 ## CI/CD
 - **Auto Tag** : push sur `develop` → bump `config/version.yaml` → tag `vX.Y.Z`
 - **Build Docker** : push tag `v*` → build image multi-stage → push Gitea Registry
 Secrets requis dans Gitea :
 - `RELEASE_TOKEN` — PAT avec droits `write:repository`
 - `REGISTRY_TOKEN` — token pour le registry Docker
---
+## Déploiement — seed RBAC (recette / prod)
 Le RBAC métier (rôles `bureau` / `compta` / `commerciale` / `usine` + matrice § 2.7)
 est seedé par une **commande applicative idempotente** (présente dans le build prod,
 contrairement aux fixtures Doctrine en `require-dev`). À jouer dans l'étape de release,
 **après** les migrations et la synchronisation des permissions :
 ```bash
 php bin/console doctrine:migrations:migrate --no-interaction
 php bin/console app:sync-permissions          # pose les permissions commercial.clients.*
 php bin/console app:seed-rbac                  # PROD : rôles + matrice § 2.7 (sans comptes démo)
 ```
 En **recette / staging**, ajouter le flag pour disposer de logins de test (mot de passe
 fourni explicitement, jamais en dur) :
 ```bash
 php bin/console app:seed-rbac --with-demo-users --password='<mot-de-passe>'
 # ou via la variable d'env RBAC_DEMO_PASSWORD
 ```
 La commande est rejouable sans effet de bord (aucun doublon de rôle, de lien ou de compte).
 En dev, `make db-reset` produit le même résultat (rôles + matrice + comptes démo).
 ## Credentials (dev)
 | Username | Password | Role | RBAC métier |
 |----------|----------|------|-------------|
 | admin | admin | ROLE_ADMIN | bypass (is_admin) |
 | alice | alice | ROLE_USER | — |
 | bob | bob | ROLE_USER | — |
 | bureau | demo | ROLE_USER | clients : view + manage |
 | compta | demo | ROLE_USER | clients : view + accounting.view/manage |
 | commerciale | demo | ROLE_USER | clients : view + manage (Information obligatoire — RG-1.04) |
 | usine | demo | ROLE_USER | aucun accès clients |
 ## Conventions
@@ -366,13 +213,4 @@ Secrets requis dans Gitea :
 <type>(<scope optionnel>) : <message>
 ```
-Espaces obligatoires autour du `:`. Types : `build`, `chore`, `ci`, `docs`, `feat`,
+Types : `build`, `chore`, `ci`, `docs`, `feat`, `fix`, `perf`, `refactor`, `revert`, `style`, `test`
 `fix`, `perf`, `refactor`, `revert`, `style`, `test`.
 ### Langue
 - UI et communication : **français**
 - Code (classes, méthodes, variables) : **anglais**
 - Commentaires (PHP, TS, Vue) : **français**
 > Règles détaillées : `CLAUDE.md` et `.claude/rules/`.
@@ -33,7 +33,6 @@
        "symfony/runtime": "8.0.*",
        "symfony/security-bundle": "8.0.*",
        "symfony/serializer": "8.0.*",
        "symfony/translation": "8.0.*",
        "symfony/twig-bundle": "8.0.*",
        "symfony/uid": "8.0.*",
        "symfony/validator": "8.0.*",
@@ -4,7 +4,7 @@
        "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies",
        "This file is @generated automatically"
    ],
-    "content-hash": "2dc5db01e7f5d6aecd5956749b21a092",
+    "content-hash": "aada2e60fd7563f1498b5505b37e3f4b",
    "packages": [
        {
            "name": "api-platform/doctrine-common",
@@ -7657,99 +7657,6 @@
            ],
            "time": "2026-03-30T15:14:47+00:00"
        },
        {
            "name": "symfony/translation",
            "version": "v8.0.10",
            "source": {
                "type": "git",
                "url": "https://github.com/symfony/translation.git",
                "reference": "f63e9342e12646a57c91ef8a366a4f9d8e557b67"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/symfony/translation/zipball/f63e9342e12646a57c91ef8a366a4f9d8e557b67",
                "reference": "f63e9342e12646a57c91ef8a366a4f9d8e557b67",
                "shasum": ""
            },
            "require": {
                "php": ">=8.4",
                "symfony/polyfill-mbstring": "^1.0",
                "symfony/translation-contracts": "^3.6.1"
            },
            "conflict": {
                "nikic/php-parser": "<5.0",
                "symfony/http-client-contracts": "<2.5",
                "symfony/service-contracts": "<2.5"
            },
            "provide": {
                "symfony/translation-implementation": "2.3|3.0"
            },
            "require-dev": {
                "nikic/php-parser": "^5.0",
                "psr/log": "^1|^2|^3",
                "symfony/config": "^7.4|^8.0",
                "symfony/console": "^7.4|^8.0",
                "symfony/dependency-injection": "^7.4|^8.0",
                "symfony/finder": "^7.4|^8.0",
                "symfony/http-client-contracts": "^2.5|^3.0",
                "symfony/http-kernel": "^7.4|^8.0",
                "symfony/intl": "^7.4|^8.0",
                "symfony/polyfill-intl-icu": "^1.21",
                "symfony/routing": "^7.4|^8.0",
                "symfony/service-contracts": "^2.5|^3",
                "symfony/yaml": "^7.4|^8.0"
            },
            "type": "library",
            "autoload": {
                "files": [
                    "Resources/functions.php"
                ],
                "psr-4": {
                    "Symfony\\Component\\Translation\\": ""
                },
                "exclude-from-classmap": [
                    "/Tests/"
                ]
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Fabien Potencier",
                    "email": "fabien@symfony.com"
                },
                {
                    "name": "Symfony Community",
                    "homepage": "https://symfony.com/contributors"
                }
            ],
            "description": "Provides tools to internationalize your application",
            "homepage": "https://symfony.com",
            "support": {
                "source": "https://github.com/symfony/translation/tree/v8.0.10"
            },
            "funding": [
                {
                    "url": "https://symfony.com/sponsor",
                    "type": "custom"
                },
                {
                    "url": "https://github.com/fabpot",
                    "type": "github"
                },
                {
                    "url": "https://github.com/nicolas-grekas",
                    "type": "github"
                },
                {
                    "url": "https://tidelift.com/funding/github/packagist/symfony/symfony",
                    "type": "tidelift"
                }
            ],
            "time": "2026-05-06T11:30:54+00:00"
        },
        {
            "name": "symfony/translation-contracts",
            "version": "v3.6.1",
@@ -1,12 +0,0 @@
 framework:
    # Locale par defaut FR (ERP-107) : les messages natifs des contraintes
    # Symfony (Email, NotBlank, Length, Iban, Bic...) sont alors servis en
    # francais via validators.fr.xlf. C'est le FILET ; les contraintes metier
    # portent en plus un `message:` FR explicite, teste par
    # tests/Architecture/EntityConstraintsHaveFrenchMessageTest.
    default_locale: fr
    translator:
        default_path: '%kernel.project_dir%/translations'
        fallbacks:
            - fr
        providers:
@@ -38,29 +38,6 @@ declare(strict_types=1);
 */
 return [
    // Section "Commerciale" : pole metier principal, remontee en tete de sidebar (ERP-71).
    // L'ordre interne des onglets et les permissions restent inchanges (simple deplacement
    // du bloc, aucun gate touche).
    [
        'label' => 'sidebar.commercial.section',
        'icon'  => 'mdi:account-arrow-left-outline',
        'items' => [
            [
                'label'      => 'sidebar.commercial.clients',
                'to'         => '/clients',
                'icon'       => 'mdi:account-group-outline',
                'module'     => 'commercial',
                'permission' => 'commercial.clients.view',
            ],
            [
                'label'      => 'sidebar.commercial.suppliers',
                'to'         => '/suppliers',
                'icon'       => 'mdi:account-arrow-left-outline',
                'module'     => 'commercial',
                'permission' => 'commercial.suppliers.view',
            ],
        ],
    ],
    // Section "Administration" : regroupe toutes les pages de configuration
    // applicative (RBAC, users, sites, audit log).
    //
@@ -122,6 +99,25 @@ return [
            ],
        ],
    ],
    [
        'label' => 'sidebar.commercial.section',
        'icon'  => 'mdi:account-arrow-left-outline',
        'items' => [
            [
                'label'      => 'sidebar.commercial.clients',
                'to'         => '/clients',
                'icon'       => 'mdi:account-group-outline',
                'module'     => 'commercial',
                'permission' => 'commercial.clients.view',
            ],
            [
                'label'  => 'sidebar.commercial.suppliers',
                'to'     => '/suppliers',
                'icon'   => 'mdi:account-arrow-left-outline',
                'module' => 'commercial',
            ],
        ],
    ],
    // Section "Mon compte" : espace personnel. Accessible a tout user authentifie
    // (aucune permission RBAC requise, tous les items restent dans `core` pour
    // rester toujours presents meme quand les modules metier sont desactives).
@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.1.83'
+    app.version: '0.1.72'
@@ -1,146 +0,0 @@
 # Validation « tous les blocs » sur les onglets à blocs dynamiques (Client M1)
 > Date : 2026-06-04 · Module : Commercial (M1 Clients) · Tickets liés : ERP-101 / ERP-107
 > Écrans : `clients/new.vue`, `clients/[id]/edit.vue` · Onglets concernés : Contacts, Adresses, RIB
 ## 1. Problème
 À la soumission des onglets à **blocs d'ajout dynamiques** (Contacts / Adresses / RIB), la validation
 par champ ne s'affiche pas correctement. Deux causes **distinctes et cumulées** :
 ### Cause A — 500 back qui court-circuite la validation (cause racine)
 Les opérations `Post` des sous-ressources sont déclarées ainsi :
 ```php
 new Post(
    uriTemplate: '/clients/{clientId}/contacts',
    uriVariables: ['clientId' => new Link(fromClass: Client::class, toProperty: 'client')],
    processor: ClientContactProcessor::class,
 )
 ```
 Au stade « read » du POST, API Platform résout `clientId` via `LinksHandlerTrait` (branche `toProperty`,
 `vendor/api-platform/doctrine-orm/State/LinksHandlerTrait.php:134-141`). La requête générée porte sur
 l'entité **enfant** :
 ```sql
 SELECT o FROM ClientContact o INNER JOIN o.client c WHERE c.id = :clientId
 ```
 exécutée via `ItemProvider::provide` → `getOneOrNullResult()`
 (`vendor/api-platform/doctrine-orm/State/ItemProvider.php:89`). Donc :
 | Nb d'enfants du client | Lignes retournées | Résultat |
 |---|---|---|
 | 0 | 0 | `null` → OK (cas du test CI actuel) |
 | 1 | 1 | OK |
 | **≥ 2** | **≥ 2** | **`NonUniqueResultException` → HTTP 500** |
 Conséquence : un client à ≥2 contacts (resp. adresses, RIB) ne peut plus en recevoir un nouveau.
 La 500 survient **avant** la déserialisation/validation → aucune 422 n'est produite → `mapRowError`
 (qui ne mappe que les 422) retombe sur un toast générique.
 Les **3** sous-ressources ont strictement la même config → même bug latent (contacts est juste le
 premier à sauter car les clients de démo ont 3 contacts).
 ### Cause B — la boucle front s'arrête au premier bloc en erreur
 `submitContacts` / `submitAddresses` / boucle RIB de `submitAccounting` (dans `new.vue` ET `edit.vue`)
 font `return` dans le `catch` du premier bloc en échec :
 ```js
 catch (error) {
    if (!mapRowError(error, contactErrors, index)) { toast(...) }
    return   // ← stoppe : les blocs suivants ne sont jamais validés ni affichés
 }
 ```
 → même une fois le 500 corrigé, seules les erreurs du **premier** bloc fautif s'afficheraient.
 ## 2. Objectif
 À la validation d'un onglet collection, **tenter tous les blocs** et **afficher l'erreur inline sous
 chaque champ fautif, pour chaque bloc**, en un seul aller-retour de soumission. Pas de toast récapitulatif
 (décision : inline seul, cohérent ERP-101). Pas de toast succès tant qu'au moins un bloc reste en erreur.
 Hors périmètre : le workflow incrémental (créer le client, puis débloquer les onglets) reste inchangé ;
 les onglets scalaires (Principal / Information / Comptabilité-scalaires) fonctionnent déjà et ne sont pas
 touchés.
 ## 3. Conception
 ### 3.1 Back — supprimer le read cassé du POST (cause racine)
 Sur les opérations `Post` de `ClientContact`, `ClientAddress`, `ClientRib` :
 - Ajouter **`read: false`**. Le stade « read » est inutile : le `*Processor::linkParent` rattache déjà le
  parent manuellement via `$em->getRepository(Client::class)->find($clientId)`. Pattern déjà employé dans
  le projet (`Sites/.../CurrentSiteResource.php`).
 - Durcir les 3 `linkParent` : si `find($clientId)` renvoie `null`, lever
  `Symfony\Component\HttpKernel\Exception\NotFoundHttpException` (préserve le **404** sur parent
  inexistant — sans le read, on régresserait sinon en 500 au persist sur `client_id NOT NULL`).
 Effet : plus de `getOneOrNullResult` foireux → déserialisation + validation Symfony s'exécutent → **422
 propre par champ** avec `violations[].propertyPath` (déjà garanti par ERP-107 : messages FR explicites).
 Aucune autre modification (security, normalizationContext, processor restant) n'est nécessaire.
 ### 3.2 Front — collecter les erreurs de tous les blocs
 Dans `submitContacts`, `submitAddresses`, et la boucle RIB de `submitAccounting`, **dans `new.vue` ET
 `edit.vue`** :
 - Conserver la réinitialisation du tableau d'erreurs en début de submit (`xxxErrors.value = []`).
 - Introduire un drapeau local `hasError`. Dans le `catch`, remplacer `return` par
  `hasError = true; continue` → la boucle tente/valide **tous** les blocs ; chaque 422 se mappe sur
  `xxxErrors[index]` via `mapRowError` (mécanique existante, inchangée).
 - Après la boucle : si `hasError` → **ne pas** appeler `completeTab(...)`, **pas** de toast succès. Sinon
  → comportement actuel (`completeTab` + toast succès).
 - Les blocs déjà créés (id non-null) repassent en `PATCH` au resubmit → idempotent, pas de doublon.
 - Awaits **séquentiels** conservés (volume faible, ordre des blocs préservé, pas de course).
 Le binding inline est déjà en place côté template (`:errors="contactErrors[index]"` /
 `:error="ribErrors[index]?.iban"` …). Aucun changement de composant `Malio*` requis.
 ### 3.3 Réutilisation / isolation
 Le bloc « boucle de soumission d'une collection avec collecte d'erreurs par index » est dupliqué 3× × 2
 pages. Pour rester testable et DRY, extraire un helper de soumission de collection (ex.
 `submitCollection(rows, { buildBody, post, patch, errors })` retournant `{ hasError }`) consommé par les
 6 sites d'appel. À acter dans le plan d'implémentation (option : garder inline si l'extraction dégrade la
 lisibilité — décision lors du plan).
 ## 4. Tests
 ### Back (TDD — échouent d'abord)
 Dans `tests/Module/Commercial/Api/ClientSubResourceApiTest` :
 - `testPostContactToClientWithTwoExistingContactsReturns201` : seed un client + 2 contacts, POST un 3ᵉ →
  attendu **201** (rouge aujourd'hui : 500).
 - `testPostContactInvalidEmailOnClientWithExistingContactsReturns422` : même seed, POST email invalide →
  **422** avec `propertyPath=email` et message FR (vérifie que la validation est bien atteinte).
 - Variantes germes pour adresses et RIB (au moins une chacune) pour verrouiller les 3 sous-ressources.
 Pré-requis : helper de seed de contacts/adresses/RIB dans `AbstractCommercialApiTestCase` (ajouter si
 absent).
 ### Front (Vitest)
 - Si helper `submitCollection` extrait : test unitaire « 3 blocs, le 2ᵉ renvoie 422 → les erreurs du 2ᵉ
  sont mappées, les blocs 1 et 3 sont tentés, `hasError = true`, tab non complété ».
 - Sinon : test de composant sur `ClientContactBlock` + page, vérifiant l'affichage inline multi-blocs.
 ### Vérifications finales
 `make test` + `make php-cs-fixer-allow-risky` (back), `make nuxt-test` (front). Golden path manuel :
 client à 3 contacts, ajouter un 4ᵉ avec email invalide → 422 inline sous l'email du bon bloc, pas de 500.
 ## 5. Impact / risques
 - API contract : POST sous-ressource passe de 500→201/422 (correction) ; 404 préservé sur parent
  inexistant. Pas de changement de payload ni de réponse de succès.
 - Le test fonctionnel CI actuel (POST sur client à 0 contact) reste vert.
 - Régression possible si un consommateur dépendait du read implicite du parent au POST : aucun identifié
  (les 3 processors gèrent déjà le rattachement manuellement).
@@ -1,633 +0,0 @@
 # Validation « tous les blocs » — onglets à blocs dynamiques (Client M1) — Plan d'implémentation
 > **For agentic workers:** REQUIRED SUB-SKILL: Use superpowers:subagent-driven-development (recommended) or superpowers:executing-plans to implement this plan task-by-task. Steps use checkbox (`- [ ]`) syntax for tracking.
 **Goal:** Permettre la validation 422 par champ sur TOUS les blocs des onglets Contacts / Adresses / RIB d'un client (création + édition), en supprimant la 500 `NonUniqueResultException` qui les bloque dès ≥2 enfants et en ne stoppant plus la boucle front au premier bloc en erreur.
 **Architecture:** Côté back, on retire le stade « read » inutile du POST des 3 sous-ressources (`read: false`) — le parent est déjà rattaché manuellement par le processor — et on durcit ce rattachement (404 si parent absent). Côté front, on factorise la boucle de soumission de collection dans `useClientFormErrors().submitRows(...)` qui tente tous les blocs et collecte les erreurs par index, puis on branche les 6 sites d'appel (`new.vue` + `edit.vue` × contacts/adresses/RIB).
 **Tech Stack:** Symfony 8 / API Platform 4 (PHP 8.4, PHPUnit) ; Nuxt 4 / Vue 3 / TypeScript / Vitest.
 **Spec de référence :** `docs/superpowers/specs/2026-06-04-client-collection-blocks-validation-design.md`
 **Pré-vol :** `make start` (containers up), branche de travail = celle de la MR (`feat/erp-107-validation-messages-fr`) ou une branche dédiée selon décision utilisateur.
 ---
 ## Structure des fichiers
 **Back — modifiés :**
 - `src/Module/Commercial/Domain/Entity/ClientContact.php` — `read: false` sur `Post`
 - `src/Module/Commercial/Domain/Entity/ClientAddress.php` — `read: false` sur `Post`
 - `src/Module/Commercial/Domain/Entity/ClientRib.php` — `read: false` sur `Post`
 - `src/Module/Commercial/Infrastructure/ApiPlatform/State/Processor/ClientContactProcessor.php` — `linkParent` → 404
 - `.../Processor/ClientAddressProcessor.php` — idem
 - `.../Processor/ClientRibProcessor.php` — idem
 - `tests/Module/Commercial/Api/AbstractCommercialApiTestCase.php` — helper `seedContact()`
 - `tests/Module/Commercial/Api/ClientSubResourceApiTest.php` — tests de non-régression
 **Front — modifiés :**
 - `frontend/modules/commercial/composables/useClientFormErrors.ts` — méthode `submitRows()`
 - `frontend/modules/commercial/composables/__tests__/useClientFormErrors.spec.ts` — créé (test unitaire)
 - `frontend/modules/commercial/pages/clients/new.vue` — branchements (3 submits)
 - `frontend/modules/commercial/pages/clients/[id]/edit.vue` — branchements (3 submits)
 ---
 ## Task 1 : Back — test rouge (POST sur client à ≥2 enfants)
 **Files:**
 - Modify: `tests/Module/Commercial/Api/AbstractCommercialApiTestCase.php`
 - Test: `tests/Module/Commercial/Api/ClientSubResourceApiTest.php`
 - [ ] **Step 1 : Ajouter un helper de seed de contact à la base de test**
 Dans `AbstractCommercialApiTestCase.php`, ajouter (sous `seedClient`, avant `cleanupCommercialTestData`) :
 ```php
    /**
     * Seede directement un ClientContact en base (sans passer par l'API), pour
     * preparer un client deja dote de N contacts. Au moins le prenom est pose
     * (RG-1.05 / CHECK chk_client_contact_name).
     */
    protected function seedContact(ClientEntity $client, string $firstName): \App\Module\Commercial\Domain\Entity\ClientContact
    {
        $em      = $this->getEm();
        $contact = new \App\Module\Commercial\Domain\Entity\ClientContact();
        $contact->setClient($client);
        $contact->setFirstName($firstName);
        $em->persist($contact);
        $em->flush();
        return $contact;
    }
 ```
 - [ ] **Step 2 : Écrire les tests rouges**
 Dans `ClientSubResourceApiTest.php`, ajouter dans la section `// === Contacts ===` :
 ```php
    /**
     * Regression ERP (bug subresource Link toProperty) : POST d'un contact sur un
     * client qui en a DEJA >= 2 ne doit pas exploser en 500
     * (NonUniqueResultException sur la resolution du parent), mais creer (201).
     */
    public function testPostContactOnClientWithTwoExistingContactsReturns201(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Contact Multi');
        $this->seedContact($seed, 'Alpha');
        $this->seedContact($seed, 'Beta');
        $client->request('POST', '/api/clients/'.$seed->getId().'/contacts', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['firstName' => 'Gamma'],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
    /**
     * Meme contexte (>= 2 contacts existants) : un email invalide doit produire
     * une 422 par champ (la validation est bien atteinte), pas une 500.
     */
    public function testPostInvalidContactOnPopulatedClientReturns422OnField(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Contact Multi Bad');
        $this->seedContact($seed, 'Alpha');
        $this->seedContact($seed, 'Beta');
        $response = $client->request('POST', '/api/clients/'.$seed->getId().'/contacts', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['firstName' => 'Gamma', 'email' => 'pas-un-email'],
        ]);
        self::assertResponseStatusCodeSame(422);
        $byPath = [];
        foreach ($response->toArray(false)['violations'] ?? [] as $v) {
            $byPath[$v['propertyPath']] = $v['message'];
        }
        self::assertArrayHasKey('email', $byPath);
        self::assertSame('L\'adresse email n\'est pas valide.', $byPath['email']);
    }
 ```
 - [ ] **Step 3 : Lancer les tests, vérifier qu'ils échouent (500 au lieu de 201/422)**
 Run : `make test` (ou ciblé dans le container : `docker exec php-starseed-fpm php bin/phpunit --filter ClientSubResourceApiTest`)
 Expected : les 2 nouveaux tests ÉCHOUENT (HTTP 500 `NonUniqueResultException`). `testPostContactOnClient...` reçoit 500, pas 201.
 - [ ] **Step 4 : Commit (test rouge)**
 ```bash
 git add tests/Module/Commercial/Api/AbstractCommercialApiTestCase.php tests/Module/Commercial/Api/ClientSubResourceApiTest.php
 git commit -m "test(commercial) : reproduit la 500 NonUniqueResult au POST contact sur client peuple (ERP-107)"
 ```
 ---
 ## Task 2 : Back — fix (read:false + linkParent durci) → tests verts
 **Files:**
 - Modify: `src/Module/Commercial/Domain/Entity/ClientContact.php:48-57`
 - Modify: `src/Module/Commercial/Domain/Entity/ClientAddress.php:61-70`
 - Modify: `src/Module/Commercial/Domain/Entity/ClientRib.php:52-61`
 - Modify: `.../State/Processor/ClientContactProcessor.php:76-94`
 - Modify: `.../State/Processor/ClientAddressProcessor.php:63-81`
 - Modify: `.../State/Processor/ClientRibProcessor.php:65-83`
 - [ ] **Step 1 : `read: false` sur les 3 opérations `Post`**
 `ClientContact.php`, opération `Post` — ajouter la ligne `read: false,` :
 ```php
        new Post(
            uriTemplate: '/clients/{clientId}/contacts',
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent (le Link toProperty
            // resoudrait l'enfant et casse en NonUniqueResult des >= 2 enfants).
            // Le parent est rattache par ClientContactProcessor::linkParent.
            read: false,
            security: "is_granted('commercial.clients.manage')",
            normalizationContext: ['groups' => ['client_contact:read']],
            denormalizationContext: ['groups' => ['client_contact:write']],
            processor: ClientContactProcessor::class,
        ),
 ```
 `ClientAddress.php` — idem dans son `Post` (`security: commercial.clients.manage`, processor `ClientAddressProcessor`), commentaire pointant `ClientAddressProcessor::linkParent`.
 `ClientRib.php` — idem dans son `Post` (`security: commercial.clients.accounting.manage`, processor `ClientRibProcessor`), commentaire pointant `ClientRibProcessor::linkParent`.
 - [ ] **Step 2 : Durcir les 3 `linkParent` (404 si parent absent)**
 Dans chaque processor, ajouter l'import en tête de fichier :
 ```php
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 ```
 `ClientContactProcessor::linkParent` — remplacer le bloc final par :
 ```php
        if (null === $clientId) {
            return;
        }
        $client = $clientId instanceof Client
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
        // read:false sur le POST : sans stade lecture, un parent introuvable
        // n'est plus intercepte en amont -> 404 explicite (sinon 500 au persist
        // sur client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $contact->setClient($client);
 ```
 `ClientAddressProcessor::linkParent` — idem avec `$address->setClient($client);`.
 `ClientRibProcessor::linkParent` — idem avec `$rib->setClient($client);`.
 - [ ] **Step 3 : Lancer les tests, vérifier qu'ils passent**
 Run : `make test`
 Expected : les 2 tests de Task 1 PASSENT (201 + 422 `propertyPath=email`). Aucun test existant cassé (notamment `testPostContactInvalidEmailReturns422WithFrenchMessageOnField` et les tests d'archi ERP-107 restent verts).
 - [ ] **Step 4 : Lint PHP**
 Run : `make php-cs-fixer-allow-risky`
 Expected : 0 fichier à corriger (ou corrections appliquées et re-vérifiées).
 - [ ] **Step 5 : Commit (fix back)**
 ```bash
 git add src/Module/Commercial/Domain/Entity/ClientContact.php src/Module/Commercial/Domain/Entity/ClientAddress.php src/Module/Commercial/Domain/Entity/ClientRib.php src/Module/Commercial/Infrastructure/ApiPlatform/State/Processor/ClientContactProcessor.php src/Module/Commercial/Infrastructure/ApiPlatform/State/Processor/ClientAddressProcessor.php src/Module/Commercial/Infrastructure/ApiPlatform/State/Processor/ClientRibProcessor.php
 git commit -m "fix(commercial) : POST sous-ressource client en read:false + parent 404 (corrige 500 NonUniqueResult, ERP-107)"
 ```
 ---
 ## Task 3 : Back — germes adresses + RIB (verrouille les 3 sous-ressources)
 **Files:**
 - Modify: `tests/Module/Commercial/Api/AbstractCommercialApiTestCase.php` (helpers `seedAddress`, `seedRib`)
 - Test: `tests/Module/Commercial/Api/ClientSubResourceApiTest.php`
 - [ ] **Step 1 : Helpers de seed adresse + RIB**
 Dans `AbstractCommercialApiTestCase.php`, ajouter :
 ```php
    /** Seede une adresse minimale valide (RG : CP/ville/rue requis). */
    protected function seedAddress(ClientEntity $client, string $city): \App\Module\Commercial\Domain\Entity\ClientAddress
    {
        $em      = $this->getEm();
        $address = new \App\Module\Commercial\Domain\Entity\ClientAddress();
        $address->setClient($client);
        $address->setPostalCode('33000');
        $address->setCity($city);
        $address->setStreet('1 rue du Test');
        $em->persist($address);
        $em->flush();
        return $address;
    }
    /** Seede un RIB valide (BIC/IBAN conformes). */
    protected function seedRib(ClientEntity $client, string $label): \App\Module\Commercial\Domain\Entity\ClientRib
    {
        $em  = $this->getEm();
        $rib = new \App\Module\Commercial\Domain\Entity\ClientRib();
        $rib->setClient($client);
        $rib->setLabel($label);
        $rib->setBic('BNPAFRPPXXX');
        $rib->setIban('FR1420041010050500013M02606');
        $em->persist($rib);
        $em->flush();
        return $rib;
    }
 ```
 > Note : si une propriété est non-nullable et absente ci-dessus (ex. `position`, flags d'adresse), poser les setters correspondants avec une valeur par défaut neutre — vérifier les entités `ClientAddress` / `ClientRib` au moment de l'écriture.
 - [ ] **Step 2 : Tests de non-régression adresses + RIB**
 Dans `ClientSubResourceApiTest.php`, section adresses puis RIB :
 ```php
    public function testPostAddressOnClientWithTwoExistingAddressesReturns201(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Addr Multi');
        $this->seedAddress($seed, 'Bordeaux');
        $this->seedAddress($seed, 'Lyon');
        $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['postalCode' => '75001', 'city' => 'Paris', 'street' => '2 rue Neuve'],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
    public function testPostRibOnClientWithTwoExistingRibsReturns201(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Rib Multi');
        $this->seedRib($seed, 'Compte 1');
        $this->seedRib($seed, 'Compte 2');
        $client->request('POST', '/api/clients/'.$seed->getId().'/ribs', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['label' => 'Compte 3', 'bic' => self::VALID_BIC, 'iban' => self::VALID_IBAN],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
 ```
 > Le POST RIB exige `commercial.clients.accounting.manage` — `admin` (ROLE_ADMIN) l'a. Si une 403 apparaît, vérifier le compte de test.
 - [ ] **Step 3 : Lancer, vérifier vert**
 Run : `make test`
 Expected : PASS (les 2 nouveaux tests verts grâce au fix de Task 2).
 - [ ] **Step 4 : Commit**
 ```bash
 git add tests/Module/Commercial/Api/AbstractCommercialApiTestCase.php tests/Module/Commercial/Api/ClientSubResourceApiTest.php
 git commit -m "test(commercial) : verrouille POST adresses/RIB sur client peuple (ERP-107)"
 ```
 ---
 ## Task 4 : Front — helper `submitRows` + test unitaire
 **Files:**
 - Modify: `frontend/modules/commercial/composables/useClientFormErrors.ts`
 - Create: `frontend/modules/commercial/composables/__tests__/useClientFormErrors.spec.ts`
 - [ ] **Step 1 : Écrire le test rouge**
 Créer `useClientFormErrors.spec.ts` :
 ```ts
 import { describe, it, expect, vi } from 'vitest'
 import { useClientFormErrors } from '../useClientFormErrors'
 // Construit une erreur facon useApi : 422 avec violations Hydra.
 function http422(path: string, message: string) {
    return { response: { status: 422, _data: { violations: [{ propertyPath: path, message }] } } }
 }
 describe('useClientFormErrors.submitRows', () => {
    it('tente TOUS les blocs et mappe les erreurs par index, sans stopper au premier echec', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const seen: number[] = []
        const onUnmapped = vi.fn()
        const saveRow = async (_row: unknown, index: number) => {
            seen.push(index)
            if (index === 1) throw http422('email', 'Email invalide')
        }
        const hasError = await submitRows(
            [{ a: 0 }, { a: 1 }, { a: 2 }],
            contactErrors,
            saveRow,
            onUnmapped,
        )
        expect(seen).toEqual([0, 1, 2])            // tous les blocs tentes
        expect(hasError).toBe(true)
        expect(contactErrors.value[1]).toEqual({ email: 'Email invalide' })
        expect(contactErrors.value[0]).toBeUndefined()
        expect(onUnmapped).not.toHaveBeenCalled()  // 422 mappee, pas de fallback
    })
    it('saute les lignes filtrees par shouldSkip et renvoie false si tout passe', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const saved: number[] = []
        const hasError = await submitRows(
            [{ skip: true }, { skip: false }],
            contactErrors,
            async (_row, index) => { saved.push(index) },
            vi.fn(),
            (row: { skip: boolean }) => row.skip,
        )
        expect(saved).toEqual([1])
        expect(hasError).toBe(false)
    })
 })
 ```
 - [ ] **Step 2 : Lancer, vérifier l'échec**
 Run : `make nuxt-test` (ou ciblé : `docker exec <node> npx vitest run useClientFormErrors`)
 Expected : FAIL — `submitRows` n'existe pas encore.
 - [ ] **Step 3 : Implémenter `submitRows`**
 Dans `useClientFormErrors.ts`, ajouter la méthode (dans la fonction, après `mapRowError`) et l'exposer dans le `return` :
 ```ts
    /**
     * Soumet TOUS les blocs d'une collection (contacts/adresses/RIB) en collectant
     * les erreurs par index : on n'arrete PAS au premier bloc en echec (ERP-101).
     * Reinitialise le tableau d'erreurs cible, tente chaque ligne via `saveRow`,
     * mappe les 422 inline (mapRowError) ou delegue le fallback a `onUnmappedError`.
     * Retourne true si au moins un bloc a echoue (le caller ne valide alors pas l'onglet).
     */
    async function submitRows<T>(
        rows: T[],
        target: Ref<Record<string, string>[]>,
        saveRow: (row: T, index: number) => Promise<void>,
        onUnmappedError: (error: unknown, index: number) => void,
        shouldSkip?: (row: T, index: number) => boolean,
    ): Promise<boolean> {
        target.value = []
        let hasError = false
        for (let index = 0; index < rows.length; index++) {
            if (shouldSkip?.(rows[index], index)) {
                continue
            }
            try {
                await saveRow(rows[index], index)
            }
            catch (error) {
                if (!mapRowError(error, target, index)) {
                    onUnmappedError(error, index)
                }
                hasError = true
            }
        }
        return hasError
    }
 ```
 Ajouter `submitRows` à l'objet retourné par `useClientFormErrors`.
 - [ ] **Step 4 : Lancer, vérifier vert**
 Run : `make nuxt-test`
 Expected : PASS (les 2 cas verts).
 - [ ] **Step 5 : Commit**
 ```bash
 git add frontend/modules/commercial/composables/useClientFormErrors.ts frontend/modules/commercial/composables/__tests__/useClientFormErrors.spec.ts
 git commit -m "feat(commercial) : submitRows collecte les erreurs de tous les blocs de collection (ERP-101)"
 ```
 ---
 ## Task 5 : Front — brancher `submitRows` dans new.vue + edit.vue
 **Files:**
 - Modify: `frontend/modules/commercial/pages/clients/new.vue` (`submitContacts`, `submitAddresses`, boucle RIB de `submitAccounting`)
 - Modify: `frontend/modules/commercial/pages/clients/[id]/edit.vue` (les 3 équivalents)
 - [ ] **Step 1 : Récupérer `submitRows` du composable**
 Dans `new.vue` ET `edit.vue`, ajouter `submitRows` à la déstructuration de `useClientFormErrors()` :
 ```ts
 const {
    mainErrors,
    informationErrors,
    accountingErrors,
    contactErrors,
    addressErrors,
    ribErrors,
    mapRowError,
    submitRows,
 } = useClientFormErrors()
 ```
 - [ ] **Step 2 : Réécrire `submitContacts` (new.vue)**
 Remplacer le corps de la boucle par un appel à `submitRows` :
 ```ts
 async function submitContacts(): Promise<void> {
    if (clientId.value === null || !canValidateContacts.value || tabSubmitting.value) return
    tabSubmitting.value = true
    try {
        const hasError = await submitRows(
            contacts.value,
            contactErrors,
            async (contact) => {
                const body = {
                    firstName: contact.firstName || null,
                    lastName: contact.lastName || null,
                    jobTitle: contact.jobTitle || null,
                    phonePrimary: contact.phonePrimary || null,
                    phoneSecondary: contact.hasSecondaryPhone ? (contact.phoneSecondary || null) : null,
                    email: contact.email || null,
                }
                if (contact.id === null) {
                    const created = await api.post<ContactResponse>(
                        `/clients/${clientId.value}/contacts`,
                        body,
                        { headers: { Accept: 'application/ld+json' }, toast: false },
                    )
                    contact.id = created.id
                    contact.iri = created['@id'] ?? null
                }
                else {
                    await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
                }
            },
            (error) => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
            (contact) => !isContactNamed(contact),
        )
        if (hasError) return
        completeTab('contact')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    finally {
        tabSubmitting.value = false
    }
 }
 ```
 - [ ] **Step 3 : Réécrire `submitAddresses` (new.vue)**
 ```ts
 async function submitAddresses(): Promise<void> {
    if (clientId.value === null || !canValidateAddresses.value || tabSubmitting.value) return
    tabSubmitting.value = true
    try {
        const hasError = await submitRows(
            addresses.value,
            addressErrors,
            async (address) => {
                const body = {
                    isProspect: address.isProspect,
                    isDelivery: address.isDelivery,
                    isBilling: address.isBilling,
                    country: address.country,
                    postalCode: address.postalCode || null,
                    city: address.city || null,
                    street: address.street || null,
                    streetComplement: address.streetComplement || null,
                    categories: address.categoryIris,
                    sites: address.siteIris,
                    contacts: address.contactIris,
                    billingEmail: isBillingEmailRequired(address) ? (address.billingEmail || null) : null,
                }
                if (address.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId.value}/addresses`,
                        body,
                        { headers: { Accept: 'application/ld+json' }, toast: false },
                    )
                    address.id = created.id
                }
                else {
                    await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
                }
            },
            (error) => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
        )
        if (hasError) return
        completeTab('address')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    finally {
        tabSubmitting.value = false
    }
 }
 ```
 - [ ] **Step 4 : Réécrire la boucle RIB de `submitAccounting` (new.vue)**
 Garder le PATCH scalaire inchangé (1) ; remplacer la boucle (2) :
 ```ts
        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs).
        const ribHasError = await submitRows(
            ribs.value,
            ribErrors,
            async (rib) => {
                const body = { label: rib.label, bic: rib.bic, iban: rib.iban }
                if (rib.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId.value}/ribs`,
                        body,
                        { headers: { Accept: 'application/ld+json' }, toast: false },
                    )
                    rib.id = created.id
                }
                else {
                    await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
                }
            },
            (error) => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
            (rib) => !ribIsComplete(rib),
        )
        if (ribHasError) return
        completeTab('accounting')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
 ```
 > Retirer le `ribErrors.value = []` désormais fait par `submitRows`. Le `accountingErrors.clearErrors()` du PATCH scalaire reste.
 - [ ] **Step 5 : Mirror dans edit.vue**
 Appliquer les mêmes réécritures aux `submitContacts` / `submitAddresses` / boucle RIB de `submitAccounting` d'`edit.vue`. Conserver le **fallback d'erreur propre à edit.vue** (si edit.vue utilise `showError(...)` au lieu de `toast.error(...)`, passer ce fallback comme `onUnmappedError`). Vérifier les noms des refs (`clientId` peut y être l'id de route).
 - [ ] **Step 6 : Vérifier le typecheck + tests front**
 Run : `make nuxt-test`
 Expected : PASS. Aucune régression des specs existantes (`ClientContactBlock.spec.ts`, etc.).
 - [ ] **Step 7 : Commit**
 ```bash
 git add frontend/modules/commercial/pages/clients/new.vue "frontend/modules/commercial/pages/clients/[id]/edit.vue"
 git commit -m "feat(commercial) : valide tous les blocs contacts/adresses/RIB et affiche les erreurs par bloc (ERP-101)"
 ```
 ---
 ## Task 6 : Vérification finale + golden path manuel
 - [ ] **Step 1 : Suite complète back**
 Run : `make test` puis `make php-cs-fixer-allow-risky`
 Expected : tout vert, 0 fichier à corriger.
 - [ ] **Step 2 : Suite complète front**
 Run : `make nuxt-test`
 Expected : tout vert.
 - [ ] **Step 3 : Golden path manuel (`make dev-nuxt`, port 3004)**
 Scénario : ouvrir un client à 3 contacts (compte `admin`), onglet Contacts, ajouter un bloc avec email invalide + un autre bloc avec prénom/nom vides → Valider.
 Attendu : **pas de 500** ; « L'adresse email n'est pas valide. » sous l'email du bon bloc ET « Le prénom ou le nom du contact est obligatoire. » sous le prénom de l'autre bloc, **affichés simultanément**. L'onglet ne se valide pas tant qu'une erreur subsiste. Idem à vérifier rapidement sur Adresses et RIB.
 - [ ] **Step 4 : Si une vérif échoue ou ne peut être lancée, le dire explicitement** (ne pas annoncer « fini »).
 ---
 ## Self-review (auteur du plan)
 - **Couverture spec §3.1 (back)** : Task 2 (read:false + linkParent 404) ✓ ; §3.2 (front collect-all) : Tasks 4-5 ✓ ; §3.3 (helper réutilisable) : Task 4 `submitRows` ✓ ; §4 tests : Tasks 1, 3 (back), 4 (front) + Task 6 golden path ✓.
 - **Périmètre 3 sous-ressources** : contacts (Task 1-2), adresses + RIB (Task 3 + branchements Task 5) ✓.
 - **Décision « inline seul »** : aucun toast succès si `hasError` ; pas de toast récap ✓.
 - **Pas de placeholder** : le seul point ouvert est la note Task 3 Step 1 (setters non-nullables éventuels d'adresse/RIB à compléter en lisant les entités) — à lever à l'écriture. Cohérence des noms : `submitRows` utilisé identiquement en Task 4 et Task 5.
@@ -18,8 +18,8 @@ merge de la stack.
 | RG | Intitulé | Test(s) | Source |
 |----|----------|---------|--------|
-| ~~RG-1.01~~ | _(supprimée V1 — refonte-contact)_ contact inline retiré du Client ; complétude couverte par RG-1.05 / RG-1.14 (`ClientContact`) | — | refonte-contact |
+| RG-1.01 | Prénom OU nom obligatoire → 422 | `ClientApiTest::testPostWithoutFirstOrLastNameReturns422` ; `ClientProcessorTest` (unit) | ERP-55 |
-| ~~RG-1.02~~ | _(supprimée du Client V1)_ téléphones inline retirés du Client (testés sur `ClientContact`) | — | refonte-contact |
+| RG-1.02 | phoneSecondary persisté ; max 2 téléphones | `ClientFormulaireMainTest::testPostPersistsSecondaryPhoneNormalized` ; `::testThirdPhoneFieldIsIgnored` | **ERP-60** |
 | RG-1.03 | distributor/broker exclusifs + type catégorie | `ClientApiTest::testPostWithDistributorAndBrokerReturns422` ; `::testPostDistributorReferencingNonDistributorReturns422` ; `::testPostValidDistributorReturns201` ; `ClientProcessorTest` (unit) | ERP-55 |
 | RG-1.04 | Onglet Information obligatoire pour rôle Commerciale | `ClientProcessorTest::testCommercialeIncompleteInformationIsUnprocessable` ; `::testNonCommercialeSkipsInformationCompleteness` (unit, dormant). **Test fonctionnel + durcissement → ERP-74** | ERP-55 / **ERP-74** |
 | RG-1.05 | Contact : prénom OU nom → 422 (CHECK) | `ClientSubResourceApiTest::testPostContactWithoutNameReturns422` | ERP-57 |
@@ -1,135 +0,0 @@
 # M1 · Ticket 1/3 (Backend) — Supprimer le contact inline du `Client`
 ## 1. Objectif
 Retirer de l'entité `Client` (et de la table `client`) les **5 champs du contact
 principal inline** : `firstName`, `lastName`, `phonePrimary`, `phoneSecondary`, `email`.
 La gestion des contacts passe désormais **exclusivement** par la sous-entité
 `ClientContact` (onglet « Contacts »), déjà en place et déjà porteuse des mêmes champs.
 Le code M1 est **déjà livré en prod** : ce ticket inclut donc une **migration de données**
 (backfill) pour ne perdre aucune information de contact existante avant de supprimer les
 colonnes.
 Contexte et justification : voir `README.md` du dossier `refonte-contact`.
 ## 2. Périmètre
 ### IN
 - Migration Doctrine : **backfill puis suppression** des 5 colonnes de `client`.
 - `Client` (entité) : supprimer les 5 propriétés, getters/setters, annotations ORM /
  `Assert` / `Groups`.
 - `ClientProcessor` : retirer les 5 champs de `MAIN_FIELDS`, `changedBusinessFields()`,
  `normalize()` ; supprimer `validateMainContact()` (RG-1.01 — n'a plus d'objet).
 - `DoctrineClientRepository::applySearch()` : trancher D1 (recherche) et l'appliquer.
 - `ClientExportController` : trancher D2 (colonnes export) et l'appliquer.
 - `ClientFixtures` : retirer les 5 paramètres inline de `ensureClient()` ; garantir que
  chaque client seedé possède au moins 1 `ClientContact` (déjà géré par `addContact()`).
 - Tests PHPUnit : mettre à jour / retirer les cas qui exercent ces 5 champs sur `Client`.
 ### OUT
 - Toute modification de `ClientContact` / `ClientContactProcessor` : **inchangés** (c'est la
  cible, les champs y restent). `ClientFieldNormalizer` reste tel quel (toujours appelé par
  `ClientContactProcessor`).
 - Le front (formulaires, vues, types, i18n) → **ticket 2/3**.
 - Les specs (`spec-back.md`, `spec-front.md`, cahier de test) → **ticket 3/3**.
 ## 3. Fichiers à modifier
 | Fichier | Action |
 |---|---|
 | `src/Module/Commercial/Domain/Entity/Client.php` | Supprimer props `firstName` (~l.158), `lastName` (~l.163), `phonePrimary` (~l.168), `phoneSecondary` (~l.172), `email` (~l.178) + leurs getters/setters (~l.329-382) + groupes `client:read`/`client:write:main` + `Assert\*`. |
 | `src/Module/Commercial/Infrastructure/ApiPlatform/State/Processor/ClientProcessor.php` | Retirer les 5 clés de `MAIN_FIELDS` (~l.63) ; de `changedBusinessFields()` (~l.277-281) ; les 6 lignes de `normalize()` qui touchent email/phone/first/last/secondary (~l.433-441) ; supprimer `validateMainContact()` (~l.447-456) et son appel. |
 | `src/Module/Commercial/Infrastructure/Doctrine/DoctrineClientRepository.php` | `applySearch()` (~l.110-124) : appliquer **D1**. |
 | `src/Module/Commercial/Infrastructure/Controller/ClientExportController.php` | `buildHeaders()` (~l.94-114) + `buildRows()` (~l.121-143) : appliquer **D2**. |
 | `src/Module/Commercial/Infrastructure/DataFixtures/ClientFixtures.php` | `ensureClient()` (~l.357-395) : retirer firstName/lastName/phonePrimary/phoneSecondary/email ; conserver `addContact()`. |
 | `migrations/Version<timestamp>.php` (NOUVELLE) | Backfill + `DROP COLUMN` (cf. § 4). |
 | `tests/Module/Commercial/**` | Voir § 5. |
 ## 4. Migration Doctrine — backfill puis suppression
 > Migration **modulaire** (`src/Module/Commercial/Infrastructure/Doctrine/Migrations/`) : ce
 > n'est PAS une migration d'initialisation, le schéma `client` / `client_contact` existe
 > déjà (règle ABSOLUE n°11).
 ### `up()`
 1. **Backfill — ne créer un contact que pour les clients qui n'en ont aucun**, afin de ne
   pas dupliquer le contact déjà recopié à la création (`prefillFirstContact`) :
   ```sql
   INSERT INTO client_contact
       (client_id, first_name, last_name, phone_primary, phone_secondary, email, position, created_at, updated_at)
   SELECT c.id, c.first_name, c.last_name, c.phone_primary, c.phone_secondary, c.email, 0, NOW(), NOW()
   FROM client c
   WHERE NOT EXISTS (SELECT 1 FROM client_contact cc WHERE cc.client_id = c.id)
     AND (c.first_name IS NOT NULL OR c.last_name IS NOT NULL);
   ```
   > Le `WHERE ... first_name OU last_name IS NOT NULL` respecte le CHECK
   > `chk_client_contact_name`. Les rares clients sans nom de contact ET sans contact
   > existant ne reçoivent pas de ligne (cas théorique : `phone_primary`/`email` étaient
   > `NOT NULL` mais les noms nullables).
 2. **Supprimer les 5 colonnes** :
   ```sql
   ALTER TABLE client
       DROP COLUMN first_name,
       DROP COLUMN last_name,
       DROP COLUMN phone_primary,
       DROP COLUMN phone_secondary,
       DROP COLUMN email;
   ```
   > Pas de `COMMENT ON COLUMN` à poser (on supprime). Vérifier qu'aucun index ne portait
   > sur `email` (l'index unique `uq_client_email_active` a déjà été supprimé — décision Q4 /
   > RG-1.17, cf. `ClientMigrationTest`).
 ### `down()` (best-effort)
 1. Recréer les 5 colonnes (`phone_primary`/`email` en `NOT NULL` impose un défaut transitoire
   ou un re-remplissage depuis le contact `position = 0`).
 2. Re-remplir depuis `client_contact` (`position = 0`) si possible.
 3. Reposer les `COMMENT ON COLUMN` d'origine (textes RG-1.19/1.20/1.21/1.01/1.17 — cf.
   `migrations/Version20260601000000.php` l.251-255).
 > `down()` ne peut pas restaurer parfaitement les données (ambiguïté si plusieurs contacts).
 > Documenter cette limite dans le docblock de la migration.
 ## 5. Tests à mettre à jour
 | Fichier | Action |
 |---|---|
 | `tests/Module/Commercial/Api/ClientApiTest.php` | Retirer firstName/lastName/phone/email des payloads POST/PATCH `client` et des assertions JSON. |
 | `tests/.../ClientFormulaireMainTest.php` | Supprimer les tests RG-1.01 (firstName/lastName) et RG-1.02 (téléphones) **côté Client** — ils basculent côté `ClientContact` (couverts ailleurs). |
 | `tests/.../ClientExportControllerTest.php` | Aligner les en-têtes/lignes attendus sur **D2**. |
 | `tests/.../ClientMigrationTest.php` | Asserter que les 5 colonnes **n'existent plus** sur `client` ; vérifier le backfill (un client sans contact obtient bien 1 `client_contact`). |
 | `tests/.../ClientFieldNormalizerTest.php` | Conserver les tests du normalizer (toujours utilisé par `ClientContact`) ; retirer les cas spécifiques aux champs `Client` s'il y en a. |
 | RG-1.01/1.02 (matrice) | Ne plus tester sur `Client` ; vérifier qu'ils restent couverts sur `ClientContact` (RG-1.05). |
 ## 6. Décisions à trancher (cf. README § 3)
 - **D1 — recherche** : recommandé = `LEFT JOIN client_contact` (fuzzy sur
  `companyName` + contact `first_name`/`last_name`/`email`). Attention au `DISTINCT` /
  risque de doublons de lignes si plusieurs contacts matchent (grouper par `client.id`).
 - **D2 — export** : recommandé = alimenter les colonnes contact depuis le contact de plus
  petit `position` (fetch-join `contacts` pour éviter le N+1).
 ## 7. Critères d'acceptation (DoD)
 - [ ] Les colonnes `first_name`, `last_name`, `phone_primary`, `phone_secondary`, `email`
      n'existent plus sur la table `client`.
 - [ ] La migration est jouable sur une base seedée sans perte de contact (backfill vérifié)
      et `down()` documenté comme best-effort.
 - [ ] `Client`, `ClientProcessor`, `DoctrineClientRepository`, `ClientExportController`,
      `ClientFixtures` ne référencent plus les 5 champs.
 - [ ] D1 et D2 implémentées conformément à la décision validée.
 - [ ] `ClientContact` / `ClientContactProcessor` / `ClientFieldNormalizer` inchangés.
 - [ ] `make test` vert (notamment `tests/Architecture/ColumnsHaveSqlCommentTest` et
      `EntitiesAreTimestampableBlamableTest`).
 - [ ] `make php-cs-fixer-allow-risky` ne signale rien sur les fichiers touchés.
 - [ ] Aucune régression du contrat de sérialisation : capturer le JSON réel de
      `GET /api/clients/{id}` et vérifier l'absence des 5 champs (réflexe RETEX M1).
@@ -1,58 +0,0 @@
 # Prompt d'implémentation — M1 · Ticket 1/3 (Backend)
 Tu travailles sur le projet **Starseed** (Symfony 8 / API Platform 4 / Doctrine / PostgreSQL).
 Lis `CLAUDE.md` et `.claude/rules/backend.md` avant de coder. Commentaires en français,
 code en anglais, `declare(strict_types=1);` partout.
 ## Mission
 Supprimer le **contact principal inline** de l'entité `Client` : les 5 champs
 `firstName`, `lastName`, `phonePrimary`, `phoneSecondary`, `email`. Les contacts sont gérés
 uniquement via la sous-entité `ClientContact` (onglet Contacts), déjà en place. Le code est
 déjà en prod → migration avec **backfill** avant `DROP`.
 La spec détaillée du ticket est dans `docs/specs/M1-clients/refonte-contact/M1-ticket-01-back.md`.
 Lis-la en entier, ainsi que le `README.md` du même dossier (décision + RG impactées + D1/D2).
 ## Étapes
 1. **Explorer** : `Client.php`, `ClientProcessor.php`, `DoctrineClientRepository.php`,
   `ClientExportController.php`, `ClientFixtures.php`, et `ClientContact.php` (pour confirmer
   que la cible porte bien les mêmes champs).
 2. **Demander la validation des décisions D1 (recherche) et D2 (export)** avant de coder —
   défauts recommandés : D1 = LEFT JOIN sur `client_contact`, D2 = colonnes export depuis le
   contact `position` minimal. Ne pas inventer un autre comportement.
 3. **Migration** (`src/Module/Commercial/Infrastructure/Doctrine/Migrations/`) : backfill
   `INSERT INTO client_contact ... WHERE NOT EXISTS(...)` puis `ALTER TABLE client DROP COLUMN ...`
   (les 5). `down()` best-effort documenté. Voir le SQL exact dans la spec § 4.
 4. **Entité** : retirer les 5 props + getters/setters + `#[ORM\Column]` + `#[Assert\*]` +
   `#[Groups(['client:read','client:write:main'])]`.
 5. **Processor** : retirer de `MAIN_FIELDS`, `changedBusinessFields()`, `normalize()` ;
   supprimer `validateMainContact()` et son appel.
 6. **Repository** : `applySearch()` selon D1.
 7. **Export** : `buildHeaders()` / `buildRows()` selon D2.
 8. **Fixtures** : alléger `ensureClient()` ; garder `addContact()`.
 9. **Tests** : mettre à jour `ClientApiTest`, `ClientFormulaireMainTest`,
   `ClientExportControllerTest`, `ClientMigrationTest`, `ClientFieldNormalizerTest`
   (cf. spec § 5). Ajouter une assertion que le backfill crée bien un contact pour un client
   qui n'en avait pas.
 ## Garde-fous
 - Ne touche **pas** `ClientContact`, `ClientContactProcessor`, `ClientFieldNormalizer`.
 - Respecte les règles ABSOLUES : pagination, `#[Auditable]`, COMMENT ON COLUMN (ici on
  supprime → pas de commentaire à poser, mais ne pas casser le garde-fou).
 - Les RG-1.01 et RG-1.02 disparaissent **du Client** : leur équivalent (RG-1.05 / RG-1.14)
  vit déjà sur `ClientContact`, ne le duplique pas.
 ## Vérification finale (obligatoire avant de dire « fini »)
 ```bash
 make db-reset && make migration-migrate     # migration rejouable sur base fraîche
 make test                                    # PHPUnit vert
 make php-cs-fixer-allow-risky                # lint
 ```
 Puis capture le JSON réel de `GET /api/clients/{id}` (avec un JWT) et confirme que les 5
 champs ont disparu de la réponse et que `contacts[]` porte bien l'info (réflexe RETEX M1 :
 on valide sur le contrat réel, pas sur les annotations).
@@ -1,74 +0,0 @@
 # M1 · Ticket 2/3 (Frontend) — Retirer le bloc contact principal des écrans Client
 ## 1. Objectif
 Retirer le **bloc « contact principal »** (Nom, Prénom, Téléphone, Téléphone 2, Email) des
 trois écrans Client — **création**, **consultation**, **modification** — ainsi que des
 types, mappeurs, validations et clés i18n associés. La saisie des contacts se fait
 désormais uniquement dans l'**onglet « Contacts »** (composant `ClientContactBlock`, déjà
 en place et inchangé).
 Dépend du **ticket 1/3 (back)** : l'API ne renvoie/n'accepte plus ces 5 champs sur `client`.
 Contexte : voir `README.md` du dossier `refonte-contact`.
 ## 2. Périmètre
 ### IN — fichiers `frontend/modules/commercial/`
 | Fichier | Action |
 |---|---|
 | `pages/clients/new.vue` | Supprimer le bloc principal Nom/Prénom/Téléphones/Email (~l.27-63), l'état `main.firstName/lastName/email`, `mainPhones` (~l.445-459), la fonction `prefillFirstContact()` (~l.658-665) et son appel, le mapping payload POST `phonePrimary/phoneSecondary` (~l.513-524). Adapter `isMainValid` (~l.479-493) : la validation principale ne porte plus que sur `companyName` (+ relation/catégories selon RG existantes). L'onglet **Contacts** devient le point de saisie des coordonnées ; garantir au moins un `ClientContactBlock` vide au départ. |
 | `pages/clients/[id]/edit.vue` | Supprimer les 5 champs du bloc principal (~l.32-73). `mapMainDraft()` et `buildMainPayload()` ne portent plus ces champs. L'onglet Contacts reste éditable. |
 | `pages/clients/[id]/index.vue` | Supprimer l'affichage lecture seule des 5 champs du bloc principal (~l.49-104, partie contact). Conserver l'onglet Contacts (lecture seule). |
 | `types/clientForm.ts` | `MainFormDraft` : retirer `firstName`, `lastName`, `email`, `phonePrimary`, `phoneSecondary`, `hasSecondaryPhone`. Garder `ContactFormDraft` (inchangé). |
 | `types/clientConsultation.ts` | `ClientDetail` : retirer `firstName/lastName/phonePrimary/phoneSecondary/email` (les commentaires « Contact principal »). Garder `ContactRead`. |
 | `utils/clientEdit.ts` | `mapMainDraft()` et `buildMainPayload()` : retirer les 5 champs. Garder `buildContactPayload()`. |
 | `utils/clientConsultation.ts` | Retirer toute lecture des 5 champs inline du client (garder `mapContactToDraft`, `contactOptionsOf`). |
 | `i18n/locales/fr.json` | Retirer `commercial.clients.form.main.firstName/lastName/email/phonePrimary/phoneSecondary/addPhone`. **Conserver** tout le bloc `commercial.clients.form.contact.*`. Vérifier qu'aucune autre vue ne référence les clés retirées. |
 | `**/__tests__/*.spec.ts` | Mettre à jour `clientFormRules.spec.ts`, `clientEdit.spec.ts`, `clientConsultation.spec.ts` (cf. § 4). |
 ### OUT
 - `ClientContactBlock.vue`, l'onglet Contacts, `useClient`, la liste/répertoire
  (`pages/clients/index.vue` — ses colonnes n'affichent déjà pas le contact inline) :
  **inchangés**.
 - Le back → ticket 1/3. Les specs → ticket 3/3.
 ## 3. Comportement attendu après modification
 - **Création** : le formulaire principal demande l'entreprise (et relation/catégories selon
  l'existant), plus de Nom/Prénom/Téléphone/Email inline. L'utilisateur renseigne les
  coordonnées dans l'onglet **Contacts**. La création reste valide tant qu'il y a
  `companyName` **et** ≥ 1 bloc Contact valide (Nom OU Prénom) — RG-1.05/RG-1.14 inchangées.
 - **Consultation** : plus de bloc contact principal ; l'onglet Contacts affiche les
  contacts.
 - **Modification** : idem ; le PATCH du groupe `client:write:main` n'envoie plus les 5
  champs.
 ## 4. Tests Vitest à mettre à jour
 - `clientFormRules.spec.ts` : la validité du « principal » ne dépend plus de
  firstName/email/phone ; conserver `isContactNamed()` (RG-1.05) sur les blocs Contacts.
 - `clientEdit.spec.ts` : `buildMainPayload()` ne contient plus les 5 champs ; `mapMainDraft()`
  non plus.
 - `clientConsultation.spec.ts` : retirer les assertions sur les 5 champs inline.
 ## 5. Tips & rappels projet
 - `useApi()` obligatoire (jamais `$fetch`/`ofetch`). Composants `Malio*` obligatoires.
 - État de tableau jamais dans l'URL (règle inchangée).
 - Les valeurs sont **normalisées côté serveur** (Capitalize / chiffres / lowercase) : le
  front envoie la saisie et réaffiche la valeur renvoyée — ne pas réintroduire de
  normalisation front.
 - Ne pas créer de clé i18n orpheline ni laisser de clé `form.main.*` morte.
 ## 6. Critères d'acceptation (DoD)
 - [ ] Les 3 écrans n'affichent plus Nom/Prénom/Téléphone/Téléphone 2/Email en bloc principal.
 - [ ] Le parcours de création fonctionne avec `companyName` + onglet Contacts (≥ 1 contact).
 - [ ] `MainFormDraft` / `ClientDetail` ne déclarent plus les 5 champs ; `mapMainDraft` /
      `buildMainPayload` non plus.
 - [ ] Aucune clé i18n `form.main.firstName/lastName/email/phone*` restante ni référencée.
 - [ ] `make nuxt-test` vert.
 - [ ] Vérification visuelle du golden path (`make dev-nuxt`, port 3004) : création →
      consultation → modification d'un client sans bloc contact inline.
@@ -1,47 +0,0 @@
 # Prompt d'implémentation — M1 · Ticket 2/3 (Frontend)
 Projet **Starseed** (Nuxt 4 / Vue 3 Composition API / TypeScript / @malio/layer-ui).
 Lis `CLAUDE.md` et `.claude/rules/frontend.md` avant de coder. Commentaires en français,
 code en anglais, 4 espaces d'indentation.
 ## Mission
 Retirer le **bloc « contact principal »** (Nom, Prénom, Téléphone, Téléphone 2, Email) des
 écrans Client (création / consultation / modification) et de tout le code associé (types,
 mappeurs, validations, i18n). Les contacts restent gérés par l'onglet **Contacts**
 (`ClientContactBlock`, inchangé).
 Spec détaillée : `docs/specs/M1-clients/refonte-contact/M1-ticket-02-front.md` (lis-la en
 entier + le `README.md` du dossier). Ce ticket dépend du ticket back (l'API ne porte plus
 les 5 champs sur `client`).
 ## Étapes
 1. Explorer `frontend/modules/commercial/` : `pages/clients/new.vue`, `[id]/edit.vue`,
   `[id]/index.vue`, `types/clientForm.ts`, `types/clientConsultation.ts`,
   `utils/clientEdit.ts`, `utils/clientConsultation.ts`, `i18n/locales/fr.json`.
 2. Supprimer le bloc principal des 3 écrans + l'état réactif `main.firstName/lastName/email`,
   `mainPhones`, `prefillFirstContact()`.
 3. Adapter `isMainValid` : ne dépend plus que de `companyName` (+ relation/catégories selon
   l'existant). La garantie « ≥ 1 contact valide » reste portée par l'onglet Contacts.
 4. Nettoyer les types (`MainFormDraft`, `ClientDetail`) et les mappeurs (`mapMainDraft`,
   `buildMainPayload`, `clientConsultation`).
 5. Retirer les clés i18n `form.main.firstName/lastName/email/phonePrimary/phoneSecondary/addPhone` ;
   vérifier par recherche qu'aucune vue ne les utilise plus. **Garder** `form.contact.*`.
 6. Mettre à jour les specs Vitest (`clientFormRules`, `clientEdit`, `clientConsultation`).
 ## Garde-fous
 - `useApi()` uniquement ; composants `Malio*` uniquement ; pas d'état tableau dans l'URL.
 - Ne touche pas `ClientContactBlock.vue`, l'onglet Contacts, ni la liste/répertoire.
 - Pas de normalisation front (le serveur normalise).
 ## Vérification finale
 ```bash
 make nuxt-test            # Vitest vert
 make dev-nuxt             # port 3004 — golden path manuel
 ```
 Golden path à vérifier dans le navigateur : créer un client (entreprise + 1 contact dans
 l'onglet Contacts), le consulter, le modifier — sans aucun bloc contact inline.
@@ -1,51 +0,0 @@
 # M1 · Ticket 3/3 (Specs) — Acter la suppression du contact inline dans les specs M1
 ## 1. Objectif
 Mettre à jour la **documentation fonctionnelle/technique M1** pour refléter la décision :
 le contact principal inline est supprimé du `Client`, les contacts vivent uniquement dans
 `ClientContact`. Les specs sont la **source de vérité** du projet (cf. `workflow.md`) : elles
 doivent décrire le modèle cible, pas l'ancien.
 > Idéalement réalisé **avant** les tickets 1 et 2 (la spec guide le code), mais peut être
 > fait en parallèle. À minima, ne pas merger le code sans aligner la spec.
 ## 2. Fichiers à modifier
 | Fichier | Sections concernées |
 |---|---|
 | `docs/specs/M1-clients/spec-back.md` | § 3.1 diagramme E-R (retirer les 5 colonnes du bloc `client`) ; § 3.2 migration SQL `CREATE TABLE client` (retirer `first_name`/`last_name`/`phone_primary`/`phone_secondary`/`email` + leurs COMMENT) ; § 3.4 squelette entité `Client` (retirer les 5 props) ; § 4.3 exemple payload `POST /api/clients` (retirer les 5 champs) ; § 4.1 filtre `?search=` (refléter D1) ; § 4.6 export (refléter D2) ; § 7 RG (voir § 3 ci-dessous) ; § 8 cahier de tests (déplacer RG-1.01/1.02 vers ClientContact). |
 | `docs/specs/M1-clients/spec-front.md` | « Formulaire principal » (l.85-103) : retirer les lignes Nom/Prénom/Téléphone/Téléphone 2/Email ; écrans Consultation / Modification ; règles de formatage. Préciser que les coordonnées se saisissent dans l'onglet Contact. |
 | `docs/specs/M1-clients/cahier-test-back-M1.md` | Retirer / requalifier les lignes RG-1.01 et RG-1.02 (désormais couvertes par RG-1.05 sur `ClientContact`). |
 ## 3. Traitement des règles de gestion
 - **RG-1.01** (firstName OU lastName obligatoire sur Client) → marquer **supprimée** :
  « Remplacée par RG-1.05 (≥ 1 contact valide) + RG-1.14 (≥ 1 bloc Contact). Le contact
  principal inline n'existe plus. »
 - **RG-1.02** (max 2 téléphones sur Client) → marquer **supprimée du Client** (reste
  applicable aux blocs `ClientContact`).
 - **RG-1.19 / RG-1.20 / RG-1.21** (normalisation) → préciser que le **scope `Client`
  disparaît** ; la normalisation reste sur `ClientContact` (et `ClientAddress.billingEmail`
  pour RG-1.21).
 - Ne **pas renuméroter** les RG existantes (éviter le drift avec le code/tests) : marquer
  « supprimée / requalifiée » en place, avec date et renvoi à la décision.
 ## 4. Forme
 - Bumper la version des deux specs (`version: V0` → `V1`) dans le frontmatter, avec une
  entrée d'historique : date `2026-06-03`, motif « Suppression du contact inline du Client
  (refonte-contact) », auteur.
 - Ajouter un encadré « Décision » en tête de la section modèle de données, renvoyant au
  `README.md` du dossier `refonte-contact`.
 - Conserver le style des specs (sections numérotées, tableaux RG, exemples JSON).
 ## 5. Critères d'acceptation (DoD)
 - [ ] `spec-back.md` : aucune mention des 5 colonnes inline dans le modèle `client`
      (E-R + SQL + entité + payload) ; RG-1.01/1.02 marquées supprimées ; D1/D2 décrites.
 - [ ] `spec-front.md` : le formulaire principal ne liste plus les champs de contact ;
      l'onglet Contact est présenté comme seul lieu de saisie des coordonnées.
 - [ ] `cahier-test-back-M1.md` : RG-1.01/1.02 retirées/requalifiées.
 - [ ] Versions bumpées (V1) + historique daté dans les deux specs.
 - [ ] Cohérence vérifiée avec les tickets 1 et 2 (mêmes décisions D1/D2).
@@ -1,38 +0,0 @@
 # Prompt d'implémentation — M1 · Ticket 3/3 (Specs)
 Projet **Starseed**. Tâche **documentaire** : mettre à jour les specs M1 Clients pour acter
 la suppression du contact principal inline du `Client`. Les specs sont la source de vérité ;
 elles doivent décrire le modèle cible.
 ## Mission
 Modifier `docs/specs/M1-clients/spec-back.md`, `spec-front.md` et `cahier-test-back-M1.md`
 pour retirer le contact inline du `Client` (5 champs `firstName/lastName/phonePrimary/
 phoneSecondary/email`) — les contacts vivent uniquement dans `ClientContact`.
 Spec du ticket : `docs/specs/M1-clients/refonte-contact/M1-ticket-03-specs.md` (lis-la + le
 `README.md` du dossier, qui contient la décision, les RG impactées et les décisions D1/D2).
 ## Étapes
 1. Lire les 3 fichiers de specs M1 visés, repérer toutes les occurrences des 5 champs
   (diagramme E-R, CREATE TABLE client, squelette entité, payload POST, filtre search,
   export, RG, cahier de test).
 2. Retirer les 5 colonnes du modèle `client` (E-R + SQL + entité + exemple JSON).
 3. Marquer **supprimées** RG-1.01 et RG-1.02 (renvoi à RG-1.05/RG-1.14 sur `ClientContact`),
   restreindre le scope de RG-1.19/1.20/1.21 à `ClientContact`. **Ne pas renuméroter** les RG.
 4. Refléter les décisions D1 (recherche) et D2 (export) une fois tranchées.
 5. Côté `spec-front.md` : retirer les champs de contact du formulaire principal ; présenter
   l'onglet Contact comme seul lieu de saisie.
 6. Bumper `version: V0 → V1` + ajouter une entrée d'historique datée (2026-06-03).
 ## Garde-fous
 - Ne touche pas au code, uniquement aux `.md` de specs.
 - Garde le style existant (sections numérotées, tableaux RG, exemples JSON).
 - Cohérence stricte avec les tickets 1 (back) et 2 (front) : mêmes décisions D1/D2.
 ## Vérification
 Relire les 3 fichiers : plus aucune mention des 5 champs inline dans le modèle `client` ;
 RG-1.01/1.02 marquées supprimées ; versions à V1 avec historique.
@@ -1,57 +0,0 @@
 # Amendement des tickets M2 existants — suppression du contact inline du `Supplier`
 Les 14 tickets M2 (n° 84–97, groupe Lesstime « M2 — Répertoire fournisseurs ») ont été
 rédigés sur le modèle initial **avec** contact inline. La décision `refonte-contact` les
 amende : `Supplier` ne porte **plus** les 5 champs `firstName/lastName/phonePrimary/
 phoneSecondary/email` ; les contacts vivent uniquement dans `SupplierContact` (onglet
 Contacts). Comme M2 n'est pas codé, il suffit de **ne jamais créer** ces colonnes/champs.
 ## Bandeau injecté en tête des tickets impactés
 > ⚠️ **AMENDEMENT 2026-06-03 — refonte-contact.** Le contact principal inline est
 > **supprimé** du `Supplier` : ne pas créer/saisir les colonnes ni les champs `firstName`,
 > `lastName`, `phonePrimary`, `phoneSecondary`, `email` sur l'entité/le formulaire
 > `Supplier`. Les contacts sont gérés **uniquement** via `SupplierContact` (onglet
 > Contacts). RG-2.01 et RG-2.02 sont supprimées (équivalent assuré par RG-2.04 / RG-2.13).
 > RG-2.12 ne s'applique qu'à `companyName` + `SupplierContact`. Décisions transverses
 > recherche (D1) et export (D2) : cf. `docs/specs/M1-clients/refonte-contact/README.md`.
 ## Tickets à amender
 ### Back
 | Ticket | n° | Impact |
 |---|---|---|
 | migration BDD M2 (supplier + sous-collections) | #85 | Retirer `first_name/last_name/phone_primary/phone_secondary/email` du `CREATE TABLE supplier` et leurs `COMMENT ON COLUMN`. `supplier_contact` inchangé. |
 | entités + repositories M2 | #86 | `Supplier` : retirer les 5 props + `Assert\Callback` RG-2.01. `SupplierContact` inchangé. |
 | SupplierProvider + SupplierProcessor | #87 | Retirer la validation RG-2.01, la normalisation des champs inline, leur présence dans `MAIN_FIELDS` / changedFields. Recherche selon D1. |
 | export XLSX fournisseurs | #91 | Colonnes contact selon D2 (depuis le contact principal, ou supprimées). |
 | tests PHPUnit M2 | #92 | RG-2.01/2.02 testées sur `SupplierContact` (pas `Supplier`) ; contrat de sérialisation sans les 5 champs inline sur le supplier. |
 ### Front
 | Ticket | n° | Impact |
 |---|---|---|
 | page Ajouter un fournisseur (`/suppliers/new`) + `useSupplierForm` | #94 | Retirer le bloc contact principal du formulaire + le pré-remplissage du 1er contact. Saisie des coordonnées dans l'onglet Contacts. |
 | page Consultation fournisseur (`/suppliers/{id}`) | #95 | Retirer l'affichage du bloc contact principal. |
 | page Modification fournisseur (`/suppliers/{id}/edit`) | #96 | Retirer les 5 champs du bloc principal ; payload `supplier:write:main` sans ces champs. |
 ### Léger
 | Ticket | n° | Impact |
 |---|---|---|
 | page Répertoire fournisseurs + datatable | #93 | Recherche « nom / contact / email » selon D1. Datatable : colonnes inchangées (pas de contact inline en colonne). |
 | i18n + sidebar fournisseurs | #97 | Ne pas créer les clés i18n `form.main.firstName/lastName/email/phone*` (garder `form.contact.*`). |
 ## Tickets NON impactés
 - #84 (taxonomie FOURNISSEUR), #88 (sous-ressources contacts/adresses/ribs —
  `SupplierContact` est la cible, inchangé), #89 (validators Information Commerciale /
  catégorie / RG-2.07-2.08), #90 (RBAC fournisseurs).
 ## Méthode d'amendement
 Pour chaque ticket impacté : **préfixer** la description existante du bandeau ci-dessus
 (sans rien supprimer du contenu d'origine), via `mcp__lesstime__update-task`
 (`description` = bandeau + description actuelle). La méthode préserve l'historique et reste
 réversible (retirer le bandeau).
@@ -1,55 +0,0 @@
 # M2 · Ticket Specs — Retirer le contact inline du `Supplier` dans les specs M2
 ## 1. Objectif
 Mettre à jour les specs **M2 Fournisseurs** déjà rédigées pour **ne plus inclure** le contact
 principal inline sur le `Supplier`. M2 est le jumeau strict de M1 (`Supplier` /
 `SupplierContact` / `SupplierAddress` / `SupplierRib`) et n'est **pas encore codé** : il faut
 donc corriger la conception **en amont**, pour que les 14 tickets M2 « prêts à dev » soient
 implémentés directement sans les 5 colonnes inline.
 > Pendant de M1 ticket 3/3, mais côté M2 : **aucune migration de suppression ni backfill** —
 > on retire simplement le contact inline du modèle cible. Contexte : `README.md` du dossier
 > `refonte-contact`.
 ## 2. Fichiers à modifier
 | Fichier | Sections concernées |
 |---|---|
 | `docs/specs/M2-suppliers/spec-back.md` | § 3.1 diagramme E-R (l.175-179 : retirer les 5 colonnes du bloc `supplier`) ; § 3.2 `CREATE TABLE supplier` (l.227-231) ; § 3.4 squelette entité `Supplier` (l.496-517 : props + `Assert\Callback` RG-2.01) ; § 4 exemples payload POST/GET (l.782-805, 867-871) ; recherche `?search=` (l.847 : refléter D1) ; export (refléter D2) ; § contrat de sérialisation (l.725, 729) ; § 7 RG (voir § 3). |
 | `docs/specs/M2-suppliers/spec-front.md` | « Formulaire principal » (l.105-117 : retirer Nom/Prénom/Téléphone/Téléphone 2/Email) ; onglet « Contact » (l.140-157 : retirer la phrase de pré-remplissage depuis le formulaire principal, l.142) ; écrans Consultation/Modification ; règles de formatage (l.283-285) ; recherche (l.76 : refléter D1). |
 ## 3. Traitement des règles de gestion M2
 - **RG-2.01** (firstName OU lastName obligatoire sur Supplier) → **supprimée** : remplacée
  par RG-2.04 (≥ 1 contact valide) + RG-2.13 (≥ 1 bloc Contact). Le contact inline n'existe
  plus sur `Supplier`.
 - **RG-2.02** (max 2 téléphones sur Supplier) → **supprimée du Supplier** (reste sur
  `SupplierContact`).
 - **RG-2.12** (normalisation Capitalize / chiffres / lowercase) → restreindre le scope :
  s'applique à `companyName` (UPPERCASE) et aux champs de `SupplierContact` ; **plus** aux
  champs inline du `Supplier` (qui disparaissent).
 - Ne pas renuméroter les RG : marquer « supprimée / requalifiée » en place, avec date.
 ## 4. Forme
 - Bumper la version des deux specs M2 + entrée d'historique datée (2026-06-03, motif
  « Suppression du contact inline du Supplier — alignement refonte-contact M1 »).
 - Encadré « Décision » renvoyant au `README.md` du dossier `refonte-contact`.
 - Garder le style des specs M2.
 ## 5. Lien avec les tickets M2 existants
 La mise à jour des specs doit être cohérente avec l'**amendement des tickets M2** (voir
 `M2-amendement-tickets.md`) : tickets back #85/#86/#87/#91/#92 et front #94/#95/#96 (+ #93/#97
 légers). Specs et tickets décrivent le **même** modèle cible (sans contact inline).
 ## 6. Critères d'acceptation (DoD)
 - [ ] `spec-back.md` M2 : aucune mention des 5 colonnes inline dans le modèle `supplier`
      (E-R + SQL + entité + payloads + sérialisation) ; RG-2.01/2.02 marquées supprimées ;
      D1/D2 décrites.
 - [ ] `spec-front.md` M2 : formulaire principal sans champs de contact ; onglet Contact
      présenté comme seul lieu de saisie (sans pré-remplissage depuis le principal).
 - [ ] Versions bumpées + historique daté.
 - [ ] Cohérence avec l'amendement des tickets M2.
@@ -1,36 +0,0 @@
 # Prompt d'implémentation — M2 · Ticket Specs
 Projet **Starseed**. Tâche **documentaire**. Mettre à jour les specs M2 Fournisseurs
 (`docs/specs/M2-suppliers/spec-back.md` + `spec-front.md`) pour retirer le contact principal
 inline du `Supplier` (5 champs `firstName/lastName/phonePrimary/phoneSecondary/email`).
 M2 n'est **pas encore codé** : on corrige la conception en amont, **sans** migration ni
 backfill (contrairement à M1). Les contacts vivent uniquement dans `SupplierContact`.
 Spec du ticket : `docs/specs/M1-clients/refonte-contact/M2-ticket-specs.md` (lis-la + le
 `README.md` du dossier).
 ## Étapes
 1. Lire `spec-back.md` et `spec-front.md` M2 ; repérer toutes les occurrences des 5 champs
   (E-R l.175-179, CREATE TABLE supplier l.227-231, entité l.496-517, payloads l.782-805 /
   867-871, sérialisation l.725-729, RG-2.01/2.02/2.12, recherche, export, formulaire
   principal front l.105-117, pré-remplissage onglet Contact l.142).
 2. Retirer les 5 colonnes du modèle `supplier`.
 3. Marquer **supprimées** RG-2.01 et RG-2.02 (renvoi RG-2.04/RG-2.13) ; restreindre RG-2.12
   à `companyName` + `SupplierContact`. Ne pas renuméroter.
 4. Refléter D1 (recherche : LEFT JOIN supplier_contact recommandé) et D2 (export depuis le
   contact principal recommandé).
 5. Front : retirer les champs de contact du formulaire principal ; retirer la phrase de
   pré-remplissage du 1er bloc Contact ; présenter l'onglet Contact comme seul lieu de saisie.
 6. Bumper la version + historique daté (2026-06-03).
 ## Garde-fous
 - Uniquement les `.md` de specs M2. Style existant conservé.
 - Cohérence stricte avec l'amendement des tickets M2 et avec la décision M1 (jumeau).
 ## Vérification
 Relire les 2 specs : plus aucune mention des 5 champs inline dans le modèle `supplier` ;
 RG-2.01/2.02 supprimées ; versions bumpées.
@@ -1,84 +0,0 @@
 # Refonte « contact » — suppression du contact inline des tiers (Client M1 + Supplier M2)
 > Dossier de tickets transverse. Source de vérité de la décision et de son découpage.
 > Rédigé le 2026-06-03. Owner : Matthieu.
 ## 1. Décision
 Le **contact « principal » inline** (les 5 colonnes plates `first_name`, `last_name`,
 `phone_primary`, `phone_secondary`, `email`) est **supprimé de l'entité tier** (`Client`,
 puis `Supplier`). La gestion des contacts passe **exclusivement** par la sous-entité
 dédiée (`ClientContact` / `SupplierContact`), c.-à-d. l'**onglet « Contacts »**.
 ### Pourquoi
 - **Modèle unique, zéro duplication.** Aujourd'hui le contact est saisi deux fois : une
  fois dans le bloc principal (inline sur le tier) et une fois dans l'onglet Contacts
  (sous-entité). À la création, le front recopie même l'un dans l'autre
  (`prefillFirstContact`). Deux sources pour la même information = risque de divergence.
 - **Cohérence métier.** Un tier peut avoir plusieurs contacts ; il n'y a pas de raison
  qu'un seul soit « privilégié » au niveau de la table tier. La notion de contact
  appartient à la collection de contacts.
 - **Garantie préservée.** L'invariant « il y a toujours au moins un contact » est déjà
  assuré par la sous-entité : RG-1.05/RG-1.14 (M1) et RG-2.04/RG-2.13 (M2) imposent
  **≥ 1 bloc Contact valide** (Nom OU Prénom). Supprimer le contact inline ne crée donc
  aucun trou : le contact reste obligatoire, mais au bon endroit.
 ### Règles de gestion impactées
 | RG | Avant | Après |
 |---|---|---|
 | RG-1.01 / RG-2.01 (firstName OU lastName obligatoire **sur le tier**) | sur `Client` / `Supplier` | **supprimée** du tier — équivalent assuré par RG-1.05 / RG-2.04 sur la sous-entité |
 | RG-1.02 / RG-2.02 (max 2 téléphones **sur le tier**) | sur le tier | **supprimée** du tier — reste sur la sous-entité |
 | RG-1.19/1.20/1.21 — RG-2.12 (normalisation Capitalize / chiffres / lowercase) | appliquée aux champs **du tier ET** de la sous-entité | ne s'applique plus aux champs du tier (qui n'existent plus) — **inchangée** sur la sous-entité |
 ## 2. Périmètre & découpage
 ### M1 — Clients (code DÉJÀ livré → suppression + migration de données)
 | # | Ticket | Tag | Effort |
 |---|--------|-----|--------|
 | 1 | `M1-ticket-01-back` — supprimer le contact inline du `Client` (migration + backfill + entité + processor + provider + export + fixtures + tests) | Backend | M |
 | 2 | `M1-ticket-02-front` — retirer le bloc contact principal des écrans création / consultation / modification | Frontend | M |
 | 3 | `M1-ticket-03-specs` — acter la décision dans les specs M1 (back + front + cahier de test) | Maintenance | S |
 ### M2 — Fournisseurs (NON codé → on retire le contact inline dès la conception)
 | # | Action | Tag | Effort |
 |---|--------|-----|--------|
 | 4 | `M2-ticket-specs` — mettre à jour les specs M2 déjà écrites (back + front) pour retirer le contact inline du `Supplier` | Maintenance | S |
 | — | `M2-amendement-tickets` — amender les tickets M2 existants (n° 84–97) impactés (migration, entités, processor, export, front, tests, i18n) | — | — |
 > M2 ne nécessite **pas** de migration de suppression ni de backfill : il suffit de **ne
 > jamais créer** les 5 colonnes inline sur `supplier`. Le travail M2 est donc un
 > ajustement de specs + un amendement des tickets « prêts à dev ».
 ## 3. Décisions transverses à trancher (mêmes pour M1 et M2)
 Deux comportements s'appuyaient sur les colonnes inline du tier. À la suppression, il faut
 choisir leur nouvelle source. Recommandation par défaut entre parenthèses.
 - **D1 — Recherche serveur** (`?search=`). Aujourd'hui : fuzzy sur `companyName` +
  `lastName` + `email` **du tier**. Après suppression, deux options :
  - (a) restreindre la recherche à `companyName` seul (simple, mais perte de la recherche
    par contact) ;
  - (b) **[recommandé]** étendre la recherche en `LEFT JOIN` sur la sous-entité contact
    (`first_name` / `last_name` / `email` du contact), pour préserver l'UX « recherche par
    nom / contact / email » annoncée dans la barre de recherche.
 - **D2 — Colonnes de l'export XLSX** (Nom contact / Prénom / Téléphone / Téléphone 2 /
  Email). Après suppression :
  - (a) supprimer ces colonnes ;
  - (b) **[recommandé]** les alimenter depuis le **contact principal** (le contact de plus
    petit `position`), pour garder un export utile.
 Ces deux décisions sont à valider par le métier (Matthieu) avant implémentation et sont
 rappelées dans chaque ticket concerné.
 ## 4. Fichiers de ce dossier
 - `README.md` (ce fichier) — décision + découpage.
 - `M1-ticket-01-back.md` / `.prompt.md` — description + prompt d'implémentation.
 - `M1-ticket-02-front.md` / `.prompt.md`.
 - `M1-ticket-03-specs.md` / `.prompt.md`.
 - `M2-ticket-specs.md` / `.prompt.md`.
 - `M2-amendement-tickets.md` — bandeau d'amendement + liste des tickets M2 à mettre à jour.
@@ -5,11 +5,8 @@ nom: "Répertoire clients"
 ecran: repertoire-clients
 owner_spec: Matthieu
 backup_spec: Tristan
-version: V1
+version: V0
 date_redaction: 2026-05-28
 # Historique : V1 (2026-06-03) — Refonte contact : suppression du contact principal inline
 #   du Client (firstName/lastName/phonePrimary/phoneSecondary/email retirés de la table client).
 #   Les contacts vivent uniquement dans ClientContact. Cf. docs/specs/M1-clients/refonte-contact/README.md
 # === LIENS ===
 spec_front: ./spec-front.md
@@ -206,11 +203,11 @@ Le **formatage `XX XX XX XX XX`** est fait à l'affichage côté front (filter V
 |                   |        +-----------------------+        |  (Catalog)   |
 | id (PK)           |                                         +--------------+
 | company_name      |
-| (contact inline   |        +-----------------------+        +--------------+
+| first_name        |        +-----------------------+        +--------------+
-|  retiré V1 —      |--1:n-->|    client_contact     |        |   site       |
+| last_name         |--1:n-->|    client_contact     |        |   site       |
-|  firstName,       |        +-----------------------+        |  (Sites)     |
+| phone_primary     |        +-----------------------+        |  (Sites)     |
-|  lastName, phones,|                                         +--------------+
+| phone_secondary   |                                         +--------------+
-|  email)           |        +-----------------------+              ^
+| email             |        +-----------------------+              ^
 | distributor_id    |--1:n-->|    client_address     |--n:m---------+
 | broker_id         |        +-----------------------+
 | triage_service    |                  |
@@ -305,8 +302,11 @@ CREATE TABLE client (
    id                  SERIAL PRIMARY KEY,
    -- Formulaire principal
    company_name        VARCHAR(180) NOT NULL,
-    -- Contact inline retiré (V1, refonte-contact) : first_name / last_name / phone_primary /
+    first_name          VARCHAR(120),
-    -- phone_secondary / email vivent désormais uniquement dans client_contact (onglet Contacts).
+    last_name           VARCHAR(120),
    phone_primary       VARCHAR(20) NOT NULL,
    phone_secondary     VARCHAR(20),
    email               VARCHAR(180) NOT NULL,
    distributor_id      INT REFERENCES client(id) ON DELETE SET NULL,
    broker_id           INT REFERENCES client(id) ON DELETE SET NULL,
    triage_service      BOOLEAN NOT NULL DEFAULT FALSE,
@@ -580,9 +580,32 @@ class Client implements TimestampableInterface, BlamableInterface
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $companyName = null;
-    // Contact inline retiré (V1, refonte-contact) : firstName / lastName / phonePrimary /
+    // RG-1.01 — first_name OU last_name obligatoire (validation Assert\Callback
-    // phoneSecondary / email ne sont plus portés par Client — ils vivent dans ClientContact
+    // au niveau de l'entite, levee dans le Processor).
-    // (onglet Contacts). La garantie « ≥ 1 contact nommé » est portée par RG-1.05 + RG-1.14.
+    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $firstName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $lastName = null;
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $phonePrimary = null;
    #[ORM\Column(length: 20, nullable: true)]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $phoneSecondary = null;
    #[ORM\Column(length: 180)]
    #[Assert\NotBlank]
    #[Assert\Email]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $email = null;
    // RG-1.03 — distributor / broker auto-references (mutuellement exclusives,
    // contrainte CHECK en base).
@@ -726,7 +749,7 @@ class Client implements TimestampableInterface, BlamableInterface
 - **Query params** :
  - `includeArchived=true|false` (default `false`)
  - `categoryCode=<code>` (filtre les clients ayant ≥ 1 `Category` de ce code stable — ERP-78 ; ex. `DISTRIBUTEUR`, `COURTIER`)
-  - `search=<text>` (recherche fuzzy sur companyName + contacts liés `client_contact` (firstName / lastName / email) via LEFT JOIN groupé par `client.id` — décision D1, refonte-contact)
+  - `search=<text>` (recherche fuzzy sur companyName + lastName + email)
 - **Tri par défaut** : `companyName ASC`
 - **Pagination** : front via `<MalioDataTable>` (volumétrie cible faible). Pas de pagination serveur au M1.
 - **Réponse 200** (JSON-LD Hydra) : items avec champs `client:read` UNIQUEMENT (pas les champs `client:read:accounting` sauf si l'user a la permission `accounting.view`).
@@ -745,6 +768,10 @@ class Client implements TimestampableInterface, BlamableInterface
 ```json
 {
  "companyName": "ACME SAS",
  "firstName": "Jean",
  "lastName": "Dupont",
  "phonePrimary": "0612345678",
  "email": "jean.dupont@acme.fr",
  "categories": ["/api/categories/3", "/api/categories/7"],
  "distributor": null,
  "broker": null,
@@ -756,7 +783,7 @@ class Client implements TimestampableInterface, BlamableInterface
  - `201` / `400` / `401` / `403`
  - `409 Conflict` si doublon de nom de société (`companyName` — RG-1.16). SIREN et email ne sont pas uniques (cf. Q4, § 2.4).
  - `422 Unprocessable Entity` :
-    - (RG-1.01 supprimée V1 — la complétude du contact est portée par l'onglet Contacts : RG-1.05 / RG-1.14)
+    - RG-1.01 : ni firstName ni lastName
    - RG-1.03 : distributor + broker remplis simultanément
    - Catégories vides (Assert\Count min=1)
@@ -858,8 +885,8 @@ Cf. § 2.6. Pattern Shared standard.
 ### Formulaire principal
- ~~**RG-1.01**~~ _(SUPPRIMÉE — V1, 2026-06-03, refonte-contact)_ : le contact principal inline est retiré du `Client`. La garantie « au moins un contact nommé » est désormais portée par **RG-1.05** (bloc Contact valide) + **RG-1.14** (≥ 1 bloc Contact) sur `ClientContact`.
+- **RG-1.01** : Au moins l'un des champs `firstName` (Prénom du contact principal) ou `lastName` (Nom du contact principal) doit être renseigné. Sinon → 422.
- ~~**RG-1.02**~~ _(SUPPRIMÉE du Client — V1, refonte-contact)_ : plus de téléphones inline sur le `Client`. Le « maximum 2 téléphones » reste applicable aux blocs `ClientContact` (normalisation RG-1.20).
+- **RG-1.02** : Le champ `phoneSecondary` est optionnel et apparaît au clic sur un bouton `+` côté front. Maximum 2 téléphones (primary + secondary). Comportement purement front au niveau UI ; côté serveur, les 2 colonnes existent et sont distinctes.
 - **RG-1.03** : Les champs `distributor` et `broker` sont **mutuellement exclusifs** (au plus une seule des deux est renseignée). Tentative d'envoyer les deux → 422. Contrainte CHECK en base également : `NOT (distributor_id IS NOT NULL AND broker_id IS NOT NULL)`. Un `distributor` référencé doit porter une **`Category` de code `DISTRIBUTEUR`** ; un `broker` une **`Category` de code `COURTIER`** — sinon 422. _(Refonte ERP-78 : le filtrage se fait sur le `code` de la `Category`, plus sur le type — `ClientProcessor::hasCategoryCode`.)_ La liste front de `distributor` = clients ayant une catégorie de code `DISTRIBUTEUR`, via `GET /api/clients?categoryCode=DISTRIBUTEUR` ; idem `broker` avec `COURTIER`.
 ### Onglet Information
@@ -883,7 +910,6 @@ Cf. § 2.6. Pattern Shared standard.
 ### Onglet Comptabilité
 - **RG-1.30** _(ajoutée — correctif incohérence spec-front/spec-back)_ : à la **validation complète de l'onglet Comptabilité**, les six champs scalaires `siren`, `accountNumber`, `tvaMode`, `nTva`, `paymentDelay`, `paymentType` sont **obligatoires** (alignement sur spec-front § Onglet Comptabilité). Colonnes `nullable` en base (l'onglet est rempli dans un second temps, et l'onglet principal ne les envoie pas) + validateur contextuel `ClientAccountingCompletenessValidator` invoqué par le `ClientProcessor` — même parti que RG-1.04 (Information). Déclenchement : uniquement quand **les six champs sont présents dans le payload** (le front les envoie toujours ensemble via « Valider ») ; un PATCH ciblant un sous-ensemble de champs comptables (édition ponctuelle) n'est pas soumis à la complétude. Chaque champ manquant → 422 sur son `propertyPath` (mapping inline front, ERP-101). `bank` reste hors complétude (conditionnel RG-1.12).
 - **RG-1.12** : Le champ `bank` est visible et obligatoire **uniquement** si `paymentType.code = 'VIREMENT'`. Validation server-side dans le `ClientProcessor` : si `payment_type.code = VIREMENT` et `bank IS NULL` → 422.
 - **RG-1.13** : Les champs RIB (`label`, `bic`, `iban`) sont obligatoires si **au moins un bloc RIB est présent ET** `paymentType.code = 'LCR'`. C'est-à-dire :
  - Si `paymentType.code = LCR` ET `client.ribs.count() = 0` → 422 « Au moins un RIB est obligatoire pour le type LCR ».
@@ -903,9 +929,9 @@ Cf. § 2.6. Pattern Shared standard.
 ### Normalisation serveur (formatage)
 - **RG-1.18** : `companyName` est **upper-cased** intégralement côté serveur avant validation et persistance (`mb_strtoupper(trim($v), 'UTF-8')`). Le client n'a pas besoin de saisir en majuscules ; la BDD stocke en majuscules.
- **RG-1.19** : `firstName`, `lastName` (sur `ClientContact` ; scope `Client` retiré en V1) sont **capitalize**-és serveur (`mb_convert_case(trim($v), MB_CASE_TITLE, 'UTF-8')`). Exemple : `JEAN dupont` → `Jean Dupont`.
+- **RG-1.19** : `firstName`, `lastName` (sur `Client` et `ClientContact`) sont **capitalize**-és serveur (`mb_convert_case(trim($v), MB_CASE_TITLE, 'UTF-8')`). Exemple : `JEAN dupont` → `Jean Dupont`.
- **RG-1.20** : Les champs téléphone (`phonePrimary`, `phoneSecondary` sur `ClientContact` ; scope `Client` retiré en V1) sont **normalisés à chiffres uniquement** côté serveur (`preg_replace('/\D+/', '', $v)`). Stockage : `0612345678`. Le **format affichage `XX XX XX XX XX`** est de la responsabilité du front via un filter Vue dédié (cf. spec-front).
+- **RG-1.20** : Les champs téléphone (`phonePrimary`, `phoneSecondary` sur `Client`, et idem sur `ClientContact`) sont **normalisés à chiffres uniquement** côté serveur (`preg_replace('/\D+/', '', $v)`). Stockage : `0612345678`. Le **format affichage `XX XX XX XX XX`** est de la responsabilité du front via un filter Vue dédié (cf. spec-front).
- **RG-1.21** : `email` (`ClientAddress.billingEmail`, `ClientContact.email` ; `Client.email` retiré en V1) est **lowercase** intégralement côté serveur (`mb_strtolower(trim($v), 'UTF-8')`).
+- **RG-1.21** : `email` (`Client.email`, `ClientAddress.billingEmail`, `ClientContact.email`) est **lowercase** intégralement côté serveur (`mb_strtolower(trim($v), 'UTF-8')`).
 ### Archivage
@@ -934,8 +960,8 @@ Cf. § 2.6. Pattern Shared standard.
 ### 8.1 Cas à couvrir (back — PHPUnit)
- [ ] ~~RG-1.01~~ _(supprimée V1)_ : la complétude du contact est couverte par RG-1.05 / RG-1.14 sur `ClientContact`
+- [ ] **RG-1.01** : POST sans firstName ni lastName → 422
- [ ] ~~RG-1.02~~ _(supprimée du Client V1)_ : plus de téléphones inline sur le Client (téléphones testés sur `ClientContact`)
+- [ ] **RG-1.02** : POST avec phoneSecondary rempli → persistance OK ; PATCH ajoutant un 3e téléphone → côté API, 2 colonnes uniquement (test que le payload ne peut pas créer un 3e)
 - [ ] **RG-1.03** : POST avec distributor ET broker → 422 ; POST distributor seul → 201
 - [ ] **RG-1.03** : POST distributor référençant un client SANS catégorie de code DISTRIBUTEUR → 422 (validation custom `ClientProcessor::hasCategoryCode`)
 - [ ] **RG-1.04** : PATCH onglet Information par un user Commerciale avec champs incomplets → 422 ; même PATCH par Admin → 200
@@ -949,9 +975,9 @@ Cf. § 2.6. Pattern Shared standard.
 - [ ] **RG-1.14** : front-driven uniquement, pas de test back
 - [ ] **RG-1.16** : POST avec `companyName` déjà pris → 409 ; POST avec même `companyName` après archivage de l'ancien → 201. SIREN et email dupliqués → 201 (plus d'unicité — RG-1.15/1.17 supprimées, Q4).
 - [ ] **RG-1.18** : POST `companyName="acme sas"` → BDD persiste `"ACME SAS"`
- [ ] **RG-1.19** : POST `firstName="JEAN"`, `lastName="dupont"` (via un bloc `ClientContact`) → persiste `"Jean"`, `"Dupont"`
+- [ ] **RG-1.19** : POST `firstName="JEAN"`, `lastName="dupont"` → persiste `"Jean"`, `"Dupont"`
- [ ] **RG-1.20** : POST `phonePrimary="06.12.34.56.78"` (via un bloc `ClientContact`) → persiste `"0612345678"`
+- [ ] **RG-1.20** : POST `phonePrimary="06.12.34.56.78"` → persiste `"0612345678"`
- [ ] **RG-1.21** : POST `email="Jean.DUPONT@ACME.FR"` (via `ClientContact` ou `ClientAddress.billingEmail`) → persiste `"jean.dupont@acme.fr"`
+- [ ] **RG-1.21** : POST `email="Jean.DUPONT@ACME.FR"` → persiste `"jean.dupont@acme.fr"`
 - [ ] **RG-1.22/23** : PATCH isArchived=true par Bureau (sans `archive`) → 403 ; par Admin → 200 + archivedAt rempli ; PATCH isArchived=false sur un client archivé dont le SIREN a été repris → 409
 - [ ] **RG-1.24/25** : GET liste sans flag → exclut archivés ; avec `?includeArchived=true` → inclut
 - [ ] **RG-1.26** : GET liste → tri companyName ASC
@@ -5,10 +5,7 @@ nom: "Répertoire clients"
 ecran: repertoire-clients
 owner_spec: Matthieu
 backup_spec: Tristan
-version: V1
+version: V0
 # Historique : V1 (2026-06-03) — Refonte contact : suppression du bloc contact principal inline
 #   (Nom/Prénom/Téléphone/Téléphone 2/Email retirés du formulaire principal et des écrans).
 #   Saisie via l'onglet Contacts uniquement. Cf. docs/specs/M1-clients/refonte-contact/README.md
 date_redaction: 2026-05-28
 # === LIENS ===
@@ -71,6 +68,9 @@ Composant : `<MalioDataTable>`. Colonnes (à raffiner avec Tristan en revue maqu
 | Colonne | Source | Tri |
 |---|---|---|
 | **Nom entreprise** | `client.companyName` | ASC par défaut |
 | **Contact principal** | `firstName + lastName` | Oui |
 | **Téléphone principal** | `phonePrimary` (formaté `XX XX XX XX XX`) | Non |
 | **Email principal** | `email` | Oui |
 | **Catégories** | liste des codes catégories séparés par `,` | Non |
 | **Site(s)** | sites rattachés à au moins une adresse (badges colorés) | Non |
@@ -86,12 +86,15 @@ Création par **onglets successifs avec validation incrémentale** : pour pouvoi
 C'est le 1er bloc à remplir. Sans validation de ce formulaire, les onglets ne sont pas accessibles.
 > **V1 — refonte-contact** : le contact principal (Nom / Prénom / Téléphone / Téléphone 2 / Email) a été **retiré** du formulaire principal. Les coordonnées se saisissent désormais dans l'onglet **Contacts** (RG-1.05 / RG-1.14). Le formulaire principal ne contient plus que Entreprise + Catégorie + relation Distributeur/Courtier.
 | Champ | Type composant | Obligatoire | Règle |
 |---|---|---|---|
 | **Nom du client (Entreprise)** | `<MalioInputText>` | Oui | RG-1.18 (normalisation UPPERCASE serveur) |
 | **Nom du contact principal** | `<MalioInputText>` | Conditionnel | RG-1.01 + RG-1.19 (Capitalize) |
 | **Prénom du contact principal** | `<MalioInputText>` | Conditionnel | RG-1.01 + RG-1.19 (Capitalize) |
 | **Catégorie** | `<MalioSelectCheckbox>` (multi) | Oui | Liste des `Category` de l'API ; M2M Client ↔ Category |
 | **Téléphone principal** | `<MalioInputText>` (masque tel) | Oui | RG-1.02 + RG-1.20 (format `XX XX XX XX XX`) |
 | **Téléphone secondaire** | `<MalioInputText>` (masque tel) | Non | Apparaît au clic sur le bouton `+` (RG-1.02). Max 2 — bouton `+` disparaît une fois rempli. |
 | **Email** | `<MalioInputText>` type email | Oui | RG-1.21 (lowercase) |
 | **Distributeur / Courtier** | `<MalioSelect>` | Non | Valeurs : `Dépend du distributeur` / `Dépend du courtier` / `Aucun`. RG-1.03 conditionne les 2 champs suivants. |
 | **Nom du distributeur** | `<MalioSelect>` | Conditionnel | Visible si « Dépend du distributeur ». Liste = clients ayant ≥ 1 catégorie de **code** `DISTRIBUTEUR` (ERP-78), via `GET /api/clients?categoryCode=DISTRIBUTEUR`. RG-1.03. |
 | **Nom du courtier** | `<MalioSelect>` | Conditionnel | Visible si « Dépend du courtier ». Liste = clients ayant ≥ 1 catégorie de **code** `COURTIER` (ERP-78), via `GET /api/clients?categoryCode=COURTIER`. RG-1.03. |
@@ -117,7 +120,7 @@ Saisir les informations de l'entreprise.
 ### Onglet « Contact »
-Saisir un ou plusieurs contacts associés au client. **(V1 — refonte-contact : plus de pré-remplissage depuis le formulaire principal ; les coordonnées du contact se saisissent directement ici.)** Au moins un bloc Contact valide est requis (RG-1.14).
+Saisir un ou plusieurs contacts associés au client. Le 1er bloc est **pré-rempli** depuis les champs du formulaire principal (Nom, Prénom, Téléphone, Email — édition autorisée).
 **Bloc Contact** :
@@ -247,7 +250,7 @@ Le serveur normalise systématiquement (cf. RG-1.18 à RG-1.21 dans [`spec-back.
 |---|---|---|
 | Nom entreprise (`companyName`) | UPPERCASE intégral | UPPERCASE |
 | Nom + Prénom contact | Capitalize (1ère lettre majuscule + reste minuscule) | identique |
-| Téléphone (téléphones des blocs `ClientContact`) | Chiffres uniquement en BDD | Formaté `XX XX XX XX XX` à l'affichage (filter Vue) |
+| Téléphone (`phonePrimary`, `phoneSecondary`, contact phones) | Chiffres uniquement en BDD | Formaté `XX XX XX XX XX` à l'affichage (filter Vue) |
 | Email | lowercase intégral | identique |
 > **Le front ne fait pas la normalisation** — il envoie la valeur saisie, le serveur normalise puis renvoie la valeur normalisée. L'UI affiche immédiatement la valeur normalisée renvoyée par l'API. Cohérent avec le pattern `useApi()`.
@@ -258,8 +261,7 @@ Le composant `Code postal` + `Ville` + `Adresse` est branché sur **api-adresse.
 - Composable dédié `useAddressAutocomplete()` (à créer en M1).
 - Appel HTTP **direct depuis le front** (CORS OK), pas de proxy back.
- Pattern : à la saisie du code postal (5 chiffres), GET `https://api-adresse.data.gouv.fr/search/?q={cp}&type=municipality` → alimente le select Ville. Sur saisie d'adresse : `?q={addr}&postcode={cp}` (sans filtre `type`) → suggestions adresse.
+- Pattern : à la saisie du code postal (5 chiffres), GET `https://api-adresse.data.gouv.fr/search/?q={cp}&type=municipality` → alimente le select Ville. Sur saisie d'adresse : `?q={addr}&postcode={cp}&type=housenumber` → suggestions adresse.
    - ⚠ **Ne pas forcer `type=housenumber`** sur la recherche d'adresse (corrigé en ERP-66) : la BAN ne renvoie un résultat de ce type qu'une fois un numéro saisi, donc une recherche par nom de rue (« boulevard du port ») renverrait **0 résultat** pendant toute la frappe. Sans filtre `type`, la BAN classe rues + numéros par pertinence — comportement d'autocomplétion attendu.
 - Cas dégradé : si l'API ne répond pas (offline, timeout), le champ Ville devient un `<MalioInputText>` libre éditable + toast d'avertissement. Validation serveur acceptera la saisie libre.
 ## Points laissés ouverts par la V0 (résolus côté back)
@@ -273,7 +275,7 @@ Le composant `Code postal` + `Ville` + `Adresse` est branché sur **api-adresse.
 | 5 | Onglets « À venir » | **Placeholders blancs** (frames vides, pas de message). Ré-activables sans rebuild quand les modules associés arriveront. |
 | 6 | Archive vs soft delete | **Flag `is_archived` séparé de `deleted_at`**. Archive ≠ delete : un client archivé est masqué par défaut mais reste en BDD éditable (Admin seul). Filtres UI distincts. Soft delete = HP M2. |
 | 7 | Unicité métier | **Nom d'entreprise uniquement** (case-insensitive, parmi non-archivés) — décision Q4. SIREN et email NON uniques. Index partiel Postgres `uq_client_company_name_active`. Doublon de nom → 409 Conflict. |
-| 8 | Téléphones (max 2) | Sur les blocs `ClientContact` (`phone_primary` + `phone_secondary`). _(V1 : retirés du Client — refonte-contact.)_ |
+| 8 | Téléphones (max 2) | **2 colonnes plates** `phone_primary` + `phone_secondary`. Pas de table séparée. |
 | 9 | API code postal | **api-adresse.data.gouv.fr** (BAN). Appel direct front via composable dédié. Cas dégradé : saisie libre + toast. |
 | 10 | Référentiels comptables | **4 entités CRUD-ables** (`TvaMode`, `PaymentDelay`, `PaymentType`, `Bank`) seedées au M1, CRUD admin futur (HP-M2). |
 | 11 | Format de l'export | **XLSX uniquement** au M1. CSV à étudier en HP. |
@@ -1,331 +0,0 @@
 ---
 # === IDENTITÉ ===
 module: M2
 nom: "Répertoire fournisseurs"
 ecran: repertoire-fournisseurs
 owner_spec: Matthieu
 backup_spec: Tristan
 version: V0.2
 date_redaction: 2026-06-02
 # Historique : V0.2 (2026-06-03) — Refonte contact : suppression du bloc contact principal inline
 #   du formulaire Supplier (Nom/Prénom/Téléphone/Téléphone 2/Email). Saisie via l'onglet Contacts.
 #   Aligné sur M1. Cf. docs/specs/M1-clients/refonte-contact/README.md
 # === LIENS ===
 maquette_figma: "https://www.figma.com/design/jRYgT0T9c03VsEbjGhCwwS/Composants---Design-System?node-id=1132-36987&p=f&m=dev"
 regles_metier: [RG-2.01, RG-2.02, RG-2.03, RG-2.04, RG-2.05, RG-2.06, RG-2.07, RG-2.08, RG-2.09, RG-2.10, RG-2.11, RG-2.12, RG-2.13, RG-2.14, RG-2.15, RG-2.16, RG-2.17]
 roles: [Admin, Bureau, Compta, Commerciale, Usine]
 lien_spec_back: ./spec-back.md
 # === VALIDATION CLIENT ===
 client_validation_1:
  statut: validee
  date: 2026-05-22
  version: V0
  valide_par: "Matthieu (CP MALIO)"
 client_validation_2:
  statut: validee
  date: 2026-06-01
  version: V0.1
  valide_par: "Matthieu (CP MALIO)"
  resume: "Module 2 — Répertoire fournisseurs. Page d'entrée Commercial. Datatable + 3 écrans (Ajouter / Consulter / Modifier). Création par onglets : Information / Contact / Adresse / Comptabilité (Transport, Statistiques, Rapports, Échanges = placeholders 'À venir')."
  trace_archivee: "uploads/M2-reportoire-fournisseurs.docx (V0.1) + M2-reportoire-fournisseurs-V01.pdf"
 # === LIEN LESSTIME ===
 lesstime_taskgroup_id: 26
 lesstime_project_id: 6
 statut_global: a_dev
 ---
 # Module 2 — Répertoire fournisseurs (V0.1 front)
 > **Origine** : spec front livrée le 22/05/2026 (V0), amendée le 01/06/2026 (V0.1) — `M2-reportoire-fournisseurs.docx`. Restitution Markdown pour intégration au workflow MALIO. Le contenu fonctionnel original n'est pas modifié ; toute décision technique (back) vit dans [`spec-back.md`](./spec-back.md). Le M2 réutilise massivement le pattern et les composants posés au [M1 clients](../M1-clients/spec-front.md).
 ## But
 Permettre aux utilisateurs Starseed (selon rôle) de gérer le **répertoire des fournisseurs** de l'organisation : consultation, création, modification, archivage. C'est la **deuxième porte d'entrée du module Commercial** (aux côtés des Clients).
 ## Accès
 - **Depuis** : menu principal → section **Commercial** → entrée « Répertoire fournisseurs » (route `/suppliers`).
 - **Rôles autorisés** :
 | Rôle | Consultation | Création / Modification | Archivage |
 |---|---|---|---|
 | **Admin** | ✅ Tout | ✅ Tout | ✅ |
 | **Bureau** | ✅ Tout | ✅ Tout sauf onglet Comptabilité | ❌ |
 | **Compta** | ✅ Tout | ✅ Onglet Comptabilité uniquement | ❌ |
 | **Commerciale** | ✅ Tout sauf Comptabilité | ✅ Tout sauf Comptabilité | ❌ |
 | **Usine** | ❌ (pas d'accès) | ❌ | ❌ |
 > **Note** : RBAC identique au M1, transposée sur `commercial.suppliers.*`. Compta édite uniquement l'onglet Comptabilité (SIREN / N° compte / TVA / Délai / Type de règlement / Banque / RIBs) d'un fournisseur existant ; Compta ne peut pas **créer** un fournisseur. **L'archivage est réservé à Admin** (cf. tableau du docx).
 ## Navigation
 Page d'entrée du module **Commercial** (route `/suppliers`). Titre : « **Répertoire fournisseurs** ».
 - Affichage principal : un **datatable** listant tous les fournisseurs **actifs** (les archivés sont masqués par défaut — toggle UI dédié).
 - **Clic sur une ligne** → écran **Consultation fournisseur** (page dédiée).
 - **Bouton « + Ajouter »** (haut droite) → écran **Ajouter un fournisseur**.
 - **Bouton « Filtrer »** (haut droite, **à côté de « + Ajouter »**) → ouvre le **panneau de filtres** (cf. ci-dessous). Un badge/compteur indique le nombre de filtres actifs ; un bouton « Réinitialiser » les vide.
 - **Bouton « Exporter »** (haut droite) → télécharge un **XLSX** des fournisseurs **affichés** (cf. filtres actifs). Format dans [`spec-back.md § 4.6`](./spec-back.md).
 ### Panneau de filtres (bouton « Filtrer »)
 Ouvre un drawer/popover (composant à confirmer côté équipe front — réutiliser le pattern M1 s'il existe). Filtres proposés, branchés sur les query params de `GET /api/suppliers` (cf. [`spec-back.md § 4.1`](./spec-back.md)) :
 | Filtre | Composant | Query param back |
 |---|---|---|
 | **Recherche** (nom entreprise / contact / email — recherche contact via `supplier_contact`, décision D1) | `<MalioInputText>` | `?search=` |
 | **Catégorie** | `<MalioSelectCheckbox>` (multi, type FOURNISSEUR) | `?categoryCode=` |
 | **Site** | `<MalioSelectCheckbox>` (86 / 17 / 82) | `?siteId=` |
 | **Inclure les archivés** | `<MalioCheckbox>` | `?includeArchived=true` |
 - À l'application des filtres → `setFilters(...)` de `usePaginatedList` (retombe en **page 1**), qui relance `GET /api/suppliers` avec les params.
 - **État 100 % local** (jamais dans l'URL — règle ABSOLUE n°6). Le bouton « Filtrer » + son panneau remplacent/regroupent l'ancien toggle « archivés » isolé.
 ## Datatable du Répertoire
 Composant : `<MalioDataTable>` branché sur `usePaginatedList<Supplier>({ url: '/suppliers' })` (règle frontend obligatoire — pagination Hydra, état 100 % local). Colonnes **conformes à la maquette Figma** (4 colonnes) :
 | Colonne | Source | Tri |
 |---|---|---|
 | **Nom** | `supplier.companyName` | ASC par défaut |
 | **Catégories** | `supplier.categories[].name` (embarquées en liste — cohérence M1/ERP-62 ; libellé = `name`, pas `label`) | Non |
 | **Site** | `supplier.sites[].name` (agrégat des adresses via `getSites()` ; `Site` n'a pas de `code`) | Non |
 | **Dernière activité** | `supplier.updatedAt` (format `JJ-MM-AAAA`) — exposé dans `supplier:read` | Oui |
 > **Clic sur une ligne** (texte en bleu lien) → écran Consultation.
 > **Filtres** : regroupés dans le panneau du bouton « Filtrer » (cf. section précédente), dont l'inclusion des archivés (désactivée par défaut). **État local** (jamais dans l'URL — règle ABSOLUE n°6).
 > **Pagination** : `<MalioDataTable>` + `usePaginatedList`, options **standard Starseed 10 / 25 / 50 (défaut 10)** — on **n'applique pas** le « Ligne : 20 » de la maquette (décision Matthieu : on reste sur le standard). Tri serveur `companyName ASC` par défaut.
 ## Écran « Ajouter un fournisseur »
 Création par **onglets successifs avec validation incrémentale** : pour passer à l'onglet suivant, il faut avoir validé l'onglet en cours. **Une fois un onglet validé, on passe automatiquement au suivant** ; les champs validés passent en lecture seule + bouton « Valider » désactivé (disabled). Cf. [`spec-back.md § 2.10`](./spec-back.md) (PATCH partiels par groupe de sérialisation).
 **Barre d'onglets en création (5 onglets, conforme maquette)** : `Information` · `Contacts` · `Adresses` · `Transport` · `Comptabilité`. L'onglet `Information` est actif par défaut juste après validation du formulaire principal. Les onglets `Statistiques`, `Rapports` et `Échanges` **n'apparaissent PAS dans le flux de création** — ils ne sont présents qu'en Consultation / Modification.
 ### Formulaire principal (pré-onglets)
 1er bloc à remplir. Sans validation, les onglets ne sont pas accessibles. Une fois validé → POST `/api/suppliers`, puis bascule sur l'onglet Information ; les champs passent en readonly.
 > **V0.2 — refonte-contact** : le contact principal (Nom / Prénom / Téléphone / Téléphone 2 / Email) a été **retiré** du formulaire principal. Les coordonnées se saisissent dans l'onglet **Contacts** (RG-2.04 / RG-2.13). Le formulaire principal ne contient plus que Entreprise + Catégorie.
 | Champ | Type composant | Obligatoire | Règle |
 |---|---|---|---|
 | **Nom du fournisseur (Entreprise)** | `<MalioInputText>` | Oui | RG-2.12 (UPPERCASE serveur) |
 | **Catégorie** | `<MalioSelectCheckbox>` (multi) | Oui | `Category` de **type FOURNISSEUR** via `GET /api/categories?typeCode=FOURNISSEUR` (RG-2.10). Libellé affiché = `category.name`. ⚠️ Le type + le filtre `?typeCode=` sont **à créer** côté back (n'existent pas en prod — cf. spec-back § 2.4). |
 **Action** : « Valider » (`<MalioButton>`) → POST `/api/suppliers` ([`spec-back.md § 4.3`](./spec-back.md)). Succès → onglet « Information ».
 ### Onglet « Information »
 Saisir les informations du fournisseur.
 | Champ | Type | Obligatoire | Règle |
 |---|---|---|---|
 | **Description** | `<MalioInputTextArea>` | Conditionnel | RG-2.03 (obligatoire rôle Commerciale) |
 | **Concurrent** | `<MalioInputText>` | Conditionnel | RG-2.03 |
 | **Date création** (entreprise) | `<input type="date">` (exception Malio — `// TODO migrer`) | Conditionnel | RG-2.03 |
 | **Nombre de salariés** | `<MalioInputNumber>` | Conditionnel | RG-2.03 |
 | **CA €** | `<MalioInputAmount>` | Conditionnel | RG-2.03 |
 | **Dirigeant** | `<MalioInputText>` | Conditionnel | RG-2.03 |
 | **Résultat €** | `<MalioInputAmount>` | Conditionnel | RG-2.03 |
 | **Volume Prévisionnel** | `<MalioInputNumber>` | Conditionnel | RG-2.03 (champ spécifique fournisseur) |
 > **Disposition maquette** : 3 colonnes — ligne 1 (Description / Concurrent / Date création), ligne 2 (Nombre de salariés / CA / Dirigeant), ligne 3 (Résultat / Volume Prévisionnel).
 **Action** : « Valider » → PATCH `/api/suppliers/{id}` (groupe `supplier:write:information`).
 ### Onglet « Contact »
 Saisir un ou plusieurs contacts. **(V0.2 — refonte-contact : plus de pré-remplissage depuis le formulaire principal ; les coordonnées du contact se saisissent directement ici.)** Au moins un bloc Contact valide est requis (RG-2.13).
 **Bloc Contact** :
 | Champ | Type | Obligatoire | Règle |
 |---|---|---|---|
 | **Nom** | `<MalioInputText>` | Conditionnel | RG-2.04 + RG-2.12 (Capitalize) |
 | **Prénom** | `<MalioInputText>` | Conditionnel | RG-2.04 + RG-2.12 (Capitalize) |
 | **Fonction** | `<MalioInputText>` | Non | — |
 | **Téléphone** (x1, +1 possible) | `<MalioInputText>` | Non | RG-2.12 (format) |
 | **Email** | `<MalioInputText>` type email | Non | RG-2.12 (lowercase) |
 **RG-2.04 / RG-2.13** : au moins 1 bloc Contact valide (Nom OU Prénom rempli) pour valider l'onglet — l'onglet Contact ne peut pas être finalisé vide.
 **Actions** :
 - « + Nouveau contact » : ajoute un bloc. **Désactivé tant que le bloc précédent n'a pas Prénom OU Nom** (RG-2.04).
 - « Supprimer » (icône) : modal de confirmation, puis suppression du bloc.
 - « Valider » → PATCH `/api/suppliers/{id}/contacts`.
 ### Onglet « Adresse »
 Saisir une ou plusieurs adresses, rattachées à un ou plusieurs sites (86 / 17 / 82) et à des contacts.
 **Bloc Adresse** :
 | Champ | Type | Obligatoire | Règle |
 |---|---|---|---|
 | **Type d'adresse** | `<MalioRadioButton>` — `Prospect` / `Départ` / `Rendu` | Oui | RG-2.09 (exclusif, enum `PROSPECT`/`DEPART`/`RENDU`) |
 | **Pays** | `<MalioSelect>` (saisie assistée — préremplie « France ») | Oui | — |
 | **Code postal** | `<MalioInputText>` (saisie assistée) | Oui | RG-2.05 — déclenche autocomplete ville (BAN) |
 | **Ville** | `<MalioSelect>` (saisie assistée) | Oui | RG-2.05 — alimentée par api-adresse.data.gouv.fr suivant le CP |
 | **Adresse** | `<MalioInputText>` (saisie assistée) | Oui | RG-2.05 — autocomplete BAN |
 | **Adresse complémentaire** | `<MalioInputText>` | Non | — |
 | **Sélecteur de site** | `<MalioSelectCheckbox>` (86 / 17 / 82) | Oui | RG-2.06 — ≥ 1 site. Les 3 cases = les 3 `Site` fixes ; libellés « 86/17/82 » = **préfixe du `postalCode`** (86100/17400/82400), pas un `Site.code` (qui n'existe pas). La sélection stocke des **IDs de Site** (M2M). |
 | **Catégories** | `<MalioSelectCheckbox>` (multi) | Oui | Catégories de type FOURNISSEUR (RG-2.10), liées aux catégories du fournisseur |
 | **Contact** | `<MalioSelectCheckbox>` (multi) | Non | Liste = blocs Contact saisis dans l'onglet Contact |
 | **Benne(s)** | `<MalioInputNumber>` (stepper −/+ , défaut 0) | Non | Champ spécifique fournisseur |
 | **Prestation de triage** | `<MalioCheckbox>` | Non | Champ spécifique fournisseur (porté par l'adresse — colonne back `triage_provider`) |
 > **Disposition maquette par bloc** : ligne 1 = radio (Prospect / Départ / Rendu) + Pays + Code postal ; ligne 2 = Ville + Adresse + Adresse complémentaire ; ligne 3 = sites (86 / 17 / 82) + Catégories + Contact ; ligne 4 = Benne(s) + Prestation de triage. Icône corbeille en haut à droite de chaque bloc pour le supprimer.
 **Actions** :
 - « + Nouvelle Adresse » : ajoute un bloc identique au premier.
 - « Supprimer » : modal de confirmation puis suppression.
 - « Valider » → PATCH `/api/suppliers/{id}/addresses`.
 ### Onglet « Transport »
 🚧 **Onglet placeholder minimal au M2.** Conforme à la maquette : la frame est **vide** (aucun champ, aucun bouton de validation, aucune API back). L'onglet reste navigable. Un libellé discret « À venir » est toléré mais non requis (la maquette ne l'affiche pas). Cet onglet **fait partie de la barre de création** (entre Adresses et Comptabilité).
 ### Onglet « Comptabilité »
 ⚠ **Accessible aux rôles avec `commercial.suppliers.accounting.view`** (Admin + Compta au M2). Bureau et Commerciale ne voient pas l'onglet. **Compta peut éditer** cet onglet (`accounting.manage`). Compta ne peut pas créer un fournisseur (pas de `manage` global).
 **Champs comptables** :
 | Champ | Type | Obligatoire | Règle |
 |---|---|---|---|
 | **SIREN** | `<MalioInputText>` (masque 9 chiffres) | Oui | 9 chiffres. **Pas d'unicité** (cf. § 2.6) |
 | **Numéro de compte** | `<MalioInputText>` | Oui | — |
 | **Mode de TVA** | `<MalioSelect>` | Oui | Liste depuis `/api/tva_modes` (référentiel M1) |
 | **N° de TVA** | `<MalioInputText>` | Oui | — |
 | **Délai de règlement** | `<MalioSelect>` | Oui | Liste depuis `/api/payment_delays` |
 | **Type de règlement** | `<MalioSelect>` | Oui | Liste depuis `/api/payment_types` |
 | **Banque** | `<MalioSelect>` | Conditionnel | RG-2.07 — visible et obligatoire **si** Type de règlement = `VIREMENT`. Liste depuis `/api/banks` (SG / CIC / CA). |
 **Bloc RIB** (0..n, présence obligatoire conditionnée par RG-2.08) :
 | Champ | Type | Obligatoire | Règle |
 |---|---|---|---|
 | **Libellé** | `<MalioInputText>` | Oui (si LCR) | RG-2.08 |
 | **BIC** | `<MalioInputText>` | Oui (si LCR) | RG-2.08 |
 | **IBAN** | `<MalioInputText>` | Oui (si LCR) | RG-2.08 |
 **Actions** :
 - « + RIB » : ajoute un bloc.
 - « Supprimer » (icône) : modal de confirmation.
 - « Valider » → PATCH `/api/suppliers/{id}` (groupe `supplier:write:accounting`) + sous-ressource RIBs.
 ### Onglets « Statistiques » / « Rapports » / « Échanges »
 🚧 **Placeholders minimaux au M2 — uniquement en Consultation / Modification** (ils n'apparaissent **pas** dans le flux de création, cf. maquette). Frames vides, pas de validation, pas d'API.
 ## Écran « Consultation fournisseur »
 Tous les champs en **lecture seule**. Layout identique à l'écran Ajouter mais sans bouton « Valider », sans `+` pour ajouter des blocs.
 - **Flèche retour** (gauche) → revient au Répertoire.
 - **Bouton « Modifier »** (droite, visible si `commercial.suppliers.manage`) → écran Modification.
 - **Bouton « Archiver »** (droite, visible **uniquement Admin** via `commercial.suppliers.archive`) → modal de confirmation, puis PATCH `/api/suppliers/{id}` `{ "isArchived": true }`.
 > Un fournisseur archivé peut être restauré (`isArchived: false`) — bouton « Restaurer » remplace « Archiver » dans la consultation d'un archivé.
 ### Onglets affichés en consultation
 Information / Contacts / Adresses / Transport / Statistiques / Rapports / Échanges / Comptabilité (les 4 derniers métiers en placeholder « À venir », Comptabilité selon permission). L'utilisateur navigue **librement** entre les onglets (pas de séquence forcée en consultation).
 ## Écran « Modification fournisseur »
 Comportement identique à l'écran Ajouter sauf :
 - **Pas de formulaire principal** réaffiché (champs principaux édités via les onglets correspondants).
 - Les champs sont **pré-remplis** avec les valeurs actuelles.
 - **Validation par onglet** : on peut modifier UN onglet sans toucher aux autres (PATCH partiel).
 - Les onglets pour lesquels l'utilisateur n'a **pas** la permission `manage` (ou `accounting.manage`) restent en **lecture seule** (pas de bouton Valider, pas d'icône suppression).
 - Les onglets placeholders « À venir » restent non éditables.
 ## Composants UI à utiliser (`@malio/layer-ui`)
 - **Datatable** : `<MalioDataTable>` (+ `usePaginatedList`)
 - **Input texte** : `<MalioInputText>`
 - **Input numérique** : `<MalioInputNumber>` (Nombre de salariés, Volume prévisionnel, Bennes)
 - **Input montant** : `<MalioInputAmount>` (CA, Résultat)
 - **TextArea** : `<MalioInputTextArea>` (Description)
 - **Select simple** : `<MalioSelect>` (Pays, Ville, référentiels comptables)
 - **Select multi (cases à cocher)** : `<MalioSelectCheckbox>` (Catégorie, Sites, Contacts rattachés)
 - **Radio** : `<MalioRadioButton>` (Type d'adresse Prospect / Départ / Rendu — RG-2.09)
 - **Checkbox** : `<MalioCheckbox>` (Prestataire de triage)
 - **Bouton** : `<MalioButton>`, `<MalioButtonIcon>`
 - **Toasts** : standards via `useApi()`
 **Exceptions autorisées** (commenter `// TODO migrer quand Malio couvre`) :
 - `<input type="date">` pour « Date Création » (`MalioDate` non couvert).
 - Modal de confirmation : `<MalioModal>` ou wrapper partagé dans `frontend/shared/` (réutiliser celui du M1 si présent).
 ## Composables & appels API
 - `usePaginatedList<Supplier>({ url: '/suppliers' })` — liste paginée (obligatoire, règle frontend). La liste consomme `categories[]` (libellé = `name`) et `sites[]` (libellé = `name`, pas de `code`) **embarqués** + `updatedAt` (cohérence M1/ERP-62, cf. [`spec-back.md § 2.12 / § 4.0`](./spec-back.md)). Côté back, fetch-joins anti-N+1.
 - `useSupplier(id)` — charge le détail via `GET /api/suppliers/{id}`, qui **embarque** `contacts`, `addresses` (avec `sites` / `categories` / `contacts` imbriqués) et, si permission, `ribs` + scalaires compta. Les écrans Consultation et Modification se peuplent depuis cette seule réponse (RETEX M1 §2 : embed borné, pas de N+1 d'appels). **DoD avant intégration** : vérifier que le JSON réel contient bien ces blocs (cf. [`spec-back.md § 4.0.bis`](./spec-back.md)).
 - `useSupplierForm()` — workflow par onglet (POST principal + PATCH partiels par groupe), miroir de `useClientForm()`.
 - `useAddressAutocomplete()` — **réutilisé du M1** (BAN), pas de réécriture.
 - `usePermissions()` — masque l'onglet Comptabilité et le bouton Archiver.
 - Tous les appels passent par `useApi()` (jamais `$fetch` direct — règle ABSOLUE n°4).
 - Filter `formatPhoneFR()` — **réutilisé du M1** pour l'affichage `XX XX XX XX XX`.
 ## Règles de formatage et normalisation
 Le serveur normalise systématiquement (RG-2.12 — cf. [`spec-back.md`](./spec-back.md)) :
 | Champ | Normalisation serveur | Affichage front |
 |---|---|---|
 | Nom fournisseur (`companyName`) | UPPERCASE intégral | UPPERCASE |
 | Nom + Prénom contact | Capitalize | identique |
 | Téléphones (blocs `SupplierContact`) | Chiffres uniquement en BDD | Formaté `XX XX XX XX XX` (filter Vue) |
 | Email | lowercase intégral | identique |
 > Le front **ne normalise pas** : il envoie la valeur saisie, le serveur normalise et renvoie la valeur normalisée que l'UI affiche. Cohérent avec `useApi()`.
 ## API adresse postale
 Code postal + Ville + Adresse branchés sur **api-adresse.data.gouv.fr** (BAN) via le composable `useAddressAutocomplete()` **déjà créé au M1** (réutilisé tel quel) :
 - À la saisie du CP (5 chiffres) : `GET https://api-adresse.data.gouv.fr/search/?q={cp}&type=municipality` → alimente le select Ville.
 - À la saisie d'adresse : `?q={addr}&postcode={cp}&type=housenumber` → suggestions.
 - Cas dégradé (timeout / offline) : Ville en `<MalioInputText>` libre + toast d'avertissement.
 ## Différences notables avec le M1 (clients)
 | Zone | M1 clients | M2 fournisseurs |
 |---|---|---|
 | Distributeur / Courtier | Auto-référence Client (RG-1.03) | **Absent** |
 | Prestation de triage | Booléen sur le client (formulaire principal) | **Booléen sur l'adresse** (`triage_provider`) |
 | Type d'adresse | 3 checkboxes Prospect / Livraison / Facturation | **Radio exclusif** Prospect / Départ / Rendu (RG-2.09) |
 | Email facturation sur adresse | Oui (conditionnel) | **Absent** |
 | Champ adresse « Bennes » | — | **Présent** (nombre) |
 | Onglet Information | 7 champs | **8 champs** (ajout « Volume prévisionnel ») |
 | Catégories | type unique `CLIENT` (codes ERP-78) | **nouveau type `FOURNISSEUR`** |
 | Archivage | Admin | **Admin uniquement** (idem) |
 | Onglets « À venir » | frames blanches | **placeholder « À venir »** (minimal) |
 ## Points résolus côté back
 | # | Zone d'ombre | Résolution (cf. `spec-back.md`) |
 |---|---|---|
 | 1 | Catégorie multi-select | M2M `supplier_category`, `Category` de type **FOURNISSEUR** (RG-2.10) |
 | 2 | Type d'adresse Prospect/Départ/Rendu | Enum exclusif `address_type` (RG-2.09) |
 | 3 | Onglet Comptabilité : qui édite ? | Admin + Compta (`accounting.manage`) ; Bureau/Commerciale ne le voient pas |
 | 4 | Workflow par onglet | Sauvegarde incrémentale (POST principal + PATCH partiels) — pas d'état « draft » |
 | 5 | Onglets « À venir » | Placeholder minimal « À venir » (Transport / Stats / Rapports / Échanges) |
 | 6 | Archive vs delete | Flag `is_archived` séparé de `deleted_at` ; archivage Admin seul ; soft delete = HP |
 | 7 | Unicité métier | Nom de fournisseur uniquement (à valider — § 2.6). SIREN/email non uniques |
 | 8 | Référentiels comptables | Réutilisés du M1 (zéro duplication) |
 | 9 | API code postal | BAN via `useAddressAutocomplete()` du M1 |
 | 10 | Format export | XLSX uniquement (CSV = HP) |
 ---
 ## 📦 Tickets Lesstime
 **TaskGroup Lesstime** : à créer — `M2 — Répertoire fournisseurs` (projet `ERP / Starseed`, projectId=6).
 > Détail complet et action manuelle → voir [`spec-back.md § Tickets Lesstime`](./spec-back.md#-tickets-lesstime-à-découper).
@@ -1,119 +0,0 @@
 # ERP-101 — Mapping des erreurs de validation par champ (convention forms)
 > Statut : design validé — implémentation TDD en cours
 > Branche : `feat/ERP-101-form-field-validation-mapping`
 > Date : 2026-06-03
 ## Problème
 Quand le back renvoie une **422** (violations API Platform), il renvoie **toutes** les
 violations d'un coup (un `propertyPath` + `message` par champ fautif). Aujourd'hui, seul
 le drawer Catégorie (`useCategoryForm`) exploite ce détail pour afficher l'erreur **sous
 le champ concerné** ; il le fait via un `if/else` manuel par champ, non réutilisable.
 Le formulaire Client (≈ 20 champs sur 5 submits, dont 3 collections) ne mappe rien : une
 422 multi-champs ⇒ un seul **toast global**. On veut un retour par champ, et surtout
 **une convention unique réutilisée par tous les modules**.
 ## Décisions
 1. **Primitif générique** plutôt que composable par form : `useFormErrors()` partagé.
 2. **Périmètre complet** sur Client : champs scalaires **et** collections (erreur par ligne).
 ## Architecture — 3 briques
 ### 1. `mapViolationsToRecord(data)` — `frontend/shared/utils/api.ts`
 Util pur, fondation réutilisée partout. Transforme un payload 422 en
 `Record<propertyPath, message>`. S'appuie sur `extractApiViolations` (déjà existant,
 gère les formats `violations` et `hydra:violations`).
 ```ts
 export function mapViolationsToRecord(data: unknown): Record<string, string> {
    const out: Record<string, string> = {}
    for (const v of extractApiViolations(data)) {
        if (v.propertyPath) out[v.propertyPath] = v.message
    }
    return out
 }
 ```
 ### 2. `useFormErrors()` — `frontend/shared/composables/useFormErrors.ts`
 API que tous les forms **scalaires** consomment.
 ```ts
 const { errors, hasErrors, setServerErrors, setError, clearError, clearErrors, handleApiError } = useFormErrors()
 ```
 - `errors` : `reactive<Record<string, string>>` indexé par `propertyPath`.
 - `setServerErrors(data)` : `mapViolationsToRecord` → remplit `errors`. Retourne `true`
  si au moins une violation a été mappée.
 - `setError(field, msg)` / `clearError(field)` / `clearErrors()` : manipulation fine.
 - `hasErrors` : `computed` booléen.
 - `handleApiError(e, opts?)` : dispatch standard depuis une erreur ofetch —
  **422** → `setServerErrors` (mapping inline, pas de toast) ; **autre** → toast
  générique de fallback (message extrait via `extractApiErrorMessage`).
 Côté template, le nom du champ **est** le `propertyPath` :
 ```vue
 <MalioInputText v-model="main.companyName" :error="errors.companyName" />
 <MalioInputText v-model="accounting.siren" :error="errors.siren" />
 ```
 > L'unicité SIREN (RG-1.15) remonte en **422 `UniqueEntity` avec `propertyPath: "siren"`**
 > → mappée automatiquement. Pas de cas 409 spécial (contrairement à Catégorie).
 ### 3. Collections — erreurs par ligne
 Chaque ligne (contact / adresse / RIB) est persistée par **son propre appel API**, donc
 le back renvoie un 422 **relatif à la sous-entité** (`propertyPath: "email"`, `"iban"`…).
 - Le parent tient, par collection, un tableau d'erreurs **aligné sur l'index de ligne** :
  `const contactErrors = ref<Record<string, string>[]>([])`.
 - Au submit de la ligne `i` : `catch` → `contactErrors.value[i] = mapViolationsToRecord(data)`.
 - On `clearErrors` la collection au début de chaque passe de submit.
 - Les blocs reçoivent une prop `:errors` (`Record<string, string>`) et bindent
  `:error="errors?.email"` sur chaque champ Malio.
 ## Fichiers touchés
 | Fichier | Action |
 |---|---|
 | `shared/utils/api.ts` | + `mapViolationsToRecord` |
 | `shared/composables/useFormErrors.ts` | **nouveau** composable |
 | `modules/commercial/pages/clients/new.vue` | scalaires (Main/Info/Compta) + erreurs par ligne |
 | `modules/commercial/pages/clients/[id]/edit.vue` | idem |
 | `modules/commercial/components/ClientContactBlock.vue` | + prop `:errors`, bind `:error` |
 | `modules/commercial/components/ClientAddressBlock.vue` | + prop `:errors`, bind `:error` |
 | RIB (inline dans new/edit) | bind `:error` par ligne |
 ## Tests (Vitest — règle « pas d'E2E »)
 - `mapViolationsToRecord` : formats `violations` / `hydra:violations`, payload vide,
  `propertyPath` manquant.
 - `useFormErrors` : `setServerErrors` mappe et retourne `true` / `false` sans violation,
  `clearErrors`, fallback toast sur non-422.
 ## Convention posée pour tous les forms
 À reporter dans `.claude/rules/frontend.md` une fois le pattern stabilisé :
 > Tout form qui veut un retour d'erreur par champ : appels API en `{ toast: false }` +
 > `useFormErrors` pour les champs scalaires (422 inline), `mapViolationsToRecord` par
 > ligne pour les collections. `useCategoryForm` migrera sur `useFormErrors`.
 ## Fait dans la foulée (post-ERP-101 initial)
 - **`useCategoryForm` migré sur `useFormErrors`** : `errors` devient le `reactive` du
  composable (drawer adapté : `form.errors.name` au lieu de `form.errors.value.name`,
  bloc `_global` retiré → erreur transverse en toast). 28 tests verts.
 - **Convention reportée dans `.claude/rules/frontend.md`** (section « Validation des
  formulaires — useFormErrors obligatoire »).
 ## Hors scope ERP-101 (suivi : ticket ERP-107)
 - Langue / présence des messages de validation côté back : le `message` affiché est celui
  renvoyé par le serveur. Audit des contraintes Symfony (présence d'un `message` FR,
  contraintes manquantes, violations sans `propertyPath`) tracké dans **ERP-107**.
@@ -10,11 +10,7 @@
        "confirm": "Confirmer",
        "yes": "Oui",
        "no": "Non",
-        "actions": "Actions",
+        "actions": "Actions"
        "comingSoon": {
            "title": "En cours de dev",
            "subtitle": "Cette fonctionnalité arrive bientôt."
        }
    },
    "sidebar": {
        "administration": {
@@ -99,6 +95,8 @@
                "back": "Retour au répertoire",
                "loading": "Chargement du client…",
                "notFound": "Client introuvable.",
                "emptyContacts": "Aucun contact enregistré.",
                "emptyAddresses": "Aucune adresse enregistrée.",
                "confirmArchive": {
                    "title": "Archiver le client",
                    "message": "Ce client n'apparaîtra plus dans le répertoire actif. Confirmer l'archivage ?"
@@ -113,6 +111,8 @@
                "back": "Retour au répertoire",
                "loading": "Chargement du client…",
                "notFound": "Client introuvable.",
                "emptyContacts": "Aucun contact enregistré.",
                "emptyAddresses": "Aucune adresse enregistrée.",
                "save": "Valider"
            },
            "validation": {
@@ -133,9 +133,14 @@
                "duplicateCompany": "Un client portant ce nom de société existe déjà.",
                "main": {
                    "companyName": "Nom du client (Entreprise)",
                    "firstName": "Prénom du contact principal",
                    "lastName": "Nom du contact principal",
                    "email": "Email",
                    "phonePrimary": "Téléphone",
                    "phoneSecondary": "Téléphone (2)",
                    "addPhone": "Ajouter un numéro",
                    "categories": "Catégorie",
                    "relation": "Distributeur / Courtier",
                    "relationNone": "Aucun",
                    "relationDistributor": "Dépend du distributeur",
                    "relationBroker": "Dépend du courtier",
                    "distributorName": "Nom du distributeur",
@@ -168,18 +173,13 @@
                    "prospect": "Prospect",
                    "delivery": "Adresse de livraison",
                    "billing": "Facturation",
                    "addressType": "Type d'adresse",
                    "addressTypeProspect": "Prospect",
                    "addressTypeDelivery": "Livraison",
                    "addressTypeBilling": "Facturation",
                    "addressTypeDeliveryBilling": "Adresse + Facturation",
                    "categories": "Catégorie",
                    "country": "Pays",
                    "postalCode": "Code postal",
                    "city": "Ville",
                    "street": "Adresse",
                    "streetComplement": "Adresse complémentaire",
-                    "sites": "Sites",
+                    "sites": "Sites Starseed",
                    "contacts": "Contact(s) rattaché(s)",
                    "billingEmail": "Email de facturation",
                    "remove": "Supprimer l'adresse",
@@ -233,10 +233,7 @@
        },
        "sites": {
            "notAuthorized": "Vous n'êtes pas autorisé à sélectionner ce site."
-        },
+        }
        "title": "Erreur",
        "generic": "Une erreur est survenue.",
        "unknown": "Erreur inconnue."
    },
    "sites": {
        "selector": {
@@ -259,11 +256,7 @@
            "commercial_client":      "Client",
            "commercial_clientaddress": "Adresse client",
            "commercial_clientcontact": "Contact client",
-            "commercial_clientrib":   "RIB client",
+            "commercial_clientrib":   "RIB client"
            "commercial_supplier":    "Fournisseur",
            "commercial_supplieraddress": "Adresse fournisseur",
            "commercial_suppliercontact": "Contact fournisseur",
            "commercial_supplierrib": "RIB fournisseur"
        },
        "empty": "Aucune activité enregistrée",
        "no_results": "Aucun résultat pour ces filtres",
@@ -297,8 +290,7 @@
    "success": {
        "auth": {
            "logout": "Deconnexion reussie"
-        },
+        }
        "title": "Succès"
    },
    "admin": {
        "roles": {
@@ -20,7 +20,7 @@
                :label="t('admin.categories.form.name')"
                input-class="w-full"
                :max-length="120"
-                :error="form.errors.name"
+                :error="form.errors.value.name"
                required
            />
@@ -32,9 +32,15 @@
                :options="typeOptions"
                :label="t('admin.categories.form.type')"
                :empty-option-label="t('admin.categories.form.typePlaceholder')"
-                :error="form.errors.categoryType"
+                :error="form.errors.value.categoryType"
                :disabled="loadingTypes"
            />
            <!-- Erreur transverse (typiquement reseau / 5xx) — separe des
                 erreurs de validation par champ. -->
            <p v-if="form.errors.value._global" class="text-sm text-red-600">
                {{ form.errors.value._global }}
            </p>
        </form>
        <!-- Footer fixe : depuis 1.7.1 le slot #footer est un frere du body
@@ -1,6 +1,5 @@
 import { describe, it, expect, vi, beforeEach } from 'vitest'
 import type { Category, CategoryType } from '~/modules/catalog/types/category'
 import { useFormErrors } from '~/shared/composables/useFormErrors'
 import { useCategoryForm } from '../useCategoryForm'
 // Stubs des auto-imports Nuxt consommes par le composable.
@@ -22,9 +21,6 @@ vi.stubGlobal('useToast', () => ({
    success: mockToastSuccess,
    error: mockToastError,
 }))
 // useFormErrors est un auto-import Nuxt : on expose l'implementation reelle
 // (elle consomme useToast, deja stubbe ci-dessus) pour tester l'integration.
 vi.stubGlobal('useFormErrors', useFormErrors)
 // useI18n.t : on renvoie la cle telle quelle (pratique pour asserter dessus).
 // Quand le composable passe des params (ex: doublon), on les serialise pour
 // pouvoir verifier que l'interpolation a bien recu le bon nom.
@@ -65,7 +61,7 @@ describe('useCategoryForm', () => {
            expect(form.name.value).toBe('Vis')
            expect(form.categoryTypeId.value).toBe(1)
-            expect(form.errors).toEqual({})
+            expect(form.errors.value).toEqual({ name: '', categoryType: '', _global: '' })
        })
        it('vide le formulaire en mode creation (null)', () => {
@@ -109,7 +105,7 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(false)
-            expect(form.errors.name).toBe('admin.categories.validation.nameRequired')
+            expect(form.errors.value.name).toBe('admin.categories.validation.nameRequired')
        })
        it('signale erreur si name est whitespace-only (trim → vide)', () => {
@@ -120,7 +116,7 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(false)
-            expect(form.errors.name).toBe('admin.categories.validation.nameRequired')
+            expect(form.errors.value.name).toBe('admin.categories.validation.nameRequired')
        })
        it('signale erreur si name fait 1 caractere (< 2, RG-1.04)', () => {
@@ -131,7 +127,7 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(false)
-            expect(form.errors.name).toBe('admin.categories.validation.nameLength')
+            expect(form.errors.value.name).toBe('admin.categories.validation.nameLength')
        })
        it('signale erreur si name fait 121 caracteres (> 120, RG-1.04)', () => {
@@ -142,7 +138,7 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(false)
-            expect(form.errors.name).toBe('admin.categories.validation.nameLength')
+            expect(form.errors.value.name).toBe('admin.categories.validation.nameLength')
        })
        it('signale erreur si categoryTypeId est null (RG-1.05)', () => {
@@ -153,7 +149,7 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(false)
-            expect(form.errors.categoryType).toBe('admin.categories.validation.typeRequired')
+            expect(form.errors.value.categoryType).toBe('admin.categories.validation.typeRequired')
        })
        it('passe quand name et categoryType sont valides', () => {
@@ -164,22 +160,19 @@ describe('useCategoryForm', () => {
            const ok = form.validate()
            expect(ok).toBe(true)
-            expect(form.errors).toEqual({})
+            expect(form.errors.value).toEqual({ name: '', categoryType: '', _global: '' })
        })
        it('reinitialise les erreurs avant chaque validation', () => {
            const form = useCategoryForm()
-            // Erreur prealable : une validation en echec peuple errors.name.
+            // Erreur prealable.
-            form.name.value = ''
+            form.errors.value._global = 'erreur ancienne'
            form.categoryTypeId.value = 1
            form.validate()
            expect(form.errors.name).toBeTruthy()
            // Seconde validation avec des valeurs valides : errors repart vide.
            form.name.value = 'Vis'
            form.categoryTypeId.value = 1
            form.validate()
-            expect(form.errors).toEqual({})
+            expect(form.errors.value._global).toBe('')
        })
    })
@@ -220,7 +213,7 @@ describe('useCategoryForm', () => {
            await form.submitCreate()
            expect(mockToastSuccess).toHaveBeenCalledWith({
-                title: 'success.title',
+                title: 'Succès',
                message: 'admin.categories.toast.created',
            })
        })
@@ -238,8 +231,8 @@ describe('useCategoryForm', () => {
            expect(result).toBeNull()
            // La cle est interpolee avec le nom soumis : on retrouve "Vis" dans
            // les params i18n (stub serialise les params).
-            expect(form.errors.name).toContain('admin.categories.toast.duplicate')
+            expect(form.errors.value.name).toContain('admin.categories.toast.duplicate')
-            expect(form.errors.name).toContain('"name":"Vis"')
+            expect(form.errors.value.name).toContain('"name":"Vis"')
            expect(mockToastError).toHaveBeenCalledTimes(1)
            const toastArg = mockToastError.mock.calls[0]?.[0] as { message: string }
            expect(toastArg.message).toContain('Vis')
@@ -263,7 +256,7 @@ describe('useCategoryForm', () => {
            const result = await form.submitCreate()
            expect(result).toBeNull()
-            expect(form.errors.name).toBe('name should not be blank.')
+            expect(form.errors.value.name).toBe('name should not be blank.')
            // Pas de toast quand on a mappe les violations : l erreur est
            // affichee inline sous le champ concerne.
            expect(mockToastError).not.toHaveBeenCalled()
@@ -286,10 +279,10 @@ describe('useCategoryForm', () => {
            await form.submitCreate()
-            expect(form.errors.categoryType).toBe('Type invalide.')
+            expect(form.errors.value.categoryType).toBe('Type invalide.')
        })
-        it('fallback en toast generique si le status n est ni 409 ni 422', async () => {
+        it('fallback en erreur globale + toast si le status n est ni 409 ni 422', async () => {
            mockPost.mockRejectedValueOnce({
                response: { status: 500, _data: { 'hydra:description': 'Boom server' } },
            })
@@ -299,10 +292,9 @@ describe('useCategoryForm', () => {
            await form.submitCreate()
-            // Pas d'erreur inline par champ : l'erreur transverse part en toast.
+            expect(form.errors.value._global).toBe('Boom server')
            expect(form.errors).toEqual({})
            expect(mockToastError).toHaveBeenCalledWith({
-                title: 'errors.title',
+                title: 'Erreur',
                message: 'Boom server',
            })
        })
@@ -378,7 +370,7 @@ describe('useCategoryForm', () => {
            await form.submitUpdate(42)
            expect(mockToastSuccess).toHaveBeenCalledWith({
-                title: 'success.title',
+                title: 'Succès',
                message: 'admin.categories.toast.updated',
            })
        })
@@ -394,8 +386,8 @@ describe('useCategoryForm', () => {
            const result = await form.submitUpdate(42)
            expect(result).toBeNull()
-            expect(form.errors.name).toContain('admin.categories.toast.duplicate')
+            expect(form.errors.value.name).toContain('admin.categories.toast.duplicate')
-            expect(form.errors.name).toContain('"name":"Doublon"')
+            expect(form.errors.value.name).toContain('"name":"Doublon"')
        })
    })
@@ -409,7 +401,7 @@ describe('useCategoryForm', () => {
            expect(mockDelete).toHaveBeenCalledWith('/categories/42', {}, { toast: false })
            expect(ok).toBe(true)
            expect(mockToastSuccess).toHaveBeenCalledWith({
-                title: 'success.title',
+                title: 'Succès',
                message: 'admin.categories.toast.deleted',
            })
        })
@@ -423,6 +415,7 @@ describe('useCategoryForm', () => {
            const ok = await form.submitDelete(42)
            expect(ok).toBe(false)
            expect(form.errors.value._global).toBe('down')
            expect(mockToastError).toHaveBeenCalled()
        })
    })
@@ -431,15 +424,15 @@ describe('useCategoryForm', () => {
        it('vide le formulaire et les erreurs', () => {
            const form = useCategoryForm()
            form.loadFrom(CAT)
-            form.name.value = ''
+            form.name.value = 'edit'
-            form.validate() // peuple errors.name
+            form.errors.value._global = 'erreur'
            form.submitting.value = true
            form.reset()
            expect(form.name.value).toBe('')
            expect(form.categoryTypeId.value).toBeNull()
-            expect(form.errors).toEqual({})
+            expect(form.errors.value).toEqual({ name: '', categoryType: '', _global: '' })
            expect(form.submitting.value).toBe(false)
        })
    })
@@ -12,13 +12,14 @@
 * elles servent juste a eviter l'aller-retour reseau evitable. Le serveur
 * revalide toujours (defense en profondeur).
 *
- * Erreurs par champ : delegue a `useFormErrors` (convention ERP-101). Les
+ * Mapping erreurs API :
- * violations 422 sont mappees par `propertyPath` (`name`, `categoryType`) ;
+ *   - 409 (RG-1.07 doublon) → toast + erreur sur le champ `name`
- * l'erreur globale (status != 422 exploitable) part en toast. Le 409 (doublon
+ *   - 422 (violations API Platform) → mapping sur les champs concernes
- * RG-1.07) reste un cas metier specifique : erreur inline sur `name` + toast.
+ *   - autre → erreur globale `_global` + toast generique
 */
 import { computed, ref } from 'vue'
 import type { Category } from '~/modules/catalog/types/category'
 import { extractApiErrorMessage, extractApiViolations } from '~/shared/utils/api'
 /**
 * Erreur HTTP capturee par ofetch. On expose juste les champs utilises ici
@@ -36,9 +37,6 @@ export function useCategoryForm() {
    const { t } = useI18n()
    const toast = useToast()
    // Etat d'erreurs par champ (indexe par propertyPath) + dispatch API 422.
    const formErrors = useFormErrors()
    // State local du formulaire — pas singleton, chaque appel a useCategoryForm
    // cree son propre state (cohérent avec le pattern « un drawer = un form »).
    const name = ref('')
@@ -50,6 +48,16 @@ export function useCategoryForm() {
    const initialName = ref('')
    const initialCategoryTypeId = ref<number | null>(null)
    const errors = ref<{
        name: string
        categoryType: string
        _global: string
    }>({
        name: '',
        categoryType: '',
        _global: '',
    })
    const submitting = ref(false)
    const isDirty = computed(
@@ -64,7 +72,7 @@ export function useCategoryForm() {
     * erreurs et le snapshot initial pour repartir d'un etat propre.
     */
    function loadFrom(category: Category | null): void {
-        formErrors.clearErrors()
+        errors.value = { name: '', categoryType: '', _global: '' }
        if (category) {
            name.value = category.name
            categoryTypeId.value = category.categoryType.id
@@ -84,29 +92,32 @@ export function useCategoryForm() {
     * mais le serveur retrim de toute facon — pas de risque de divergence.
     */
    function validate(): boolean {
-        formErrors.clearErrors()
+        errors.value = { name: '', categoryType: '', _global: '' }
        const trimmedName = name.value.trim()
        // RG-1.02 — name obligatoire (vide / whitespace-only).
        if (trimmedName === '') {
-            formErrors.setError('name', t('admin.categories.validation.nameRequired'))
+            errors.value.name = t('admin.categories.validation.nameRequired')
        } else if (trimmedName.length < 2 || trimmedName.length > 120) {
            // RG-1.04 — longueur 2-120 apres trim.
-            formErrors.setError('name', t('admin.categories.validation.nameLength'))
+            errors.value.name = t('admin.categories.validation.nameLength')
        }
        // RG-1.05 — categoryType obligatoire.
        if (categoryTypeId.value === null) {
-            formErrors.setError('categoryType', t('admin.categories.validation.typeRequired'))
+            errors.value.categoryType = t('admin.categories.validation.typeRequired')
        }
-        return !formErrors.errors.name && !formErrors.errors.categoryType
+        return errors.value.name === '' && errors.value.categoryType === ''
    }
    /**
     * Construit le payload POST a partir du state. Le `categoryType` est
     * envoye en IRI Hydra (`/api/category_types/{id}`) — convention API
-     * Platform pour referencer une ressource liee.
+     * Platform pour referencer une ressource liee. Retourne un object literal
     * compatible avec `AnyObject` de `useApi()` (un type nomme strict comme
     * `CategoryCreateInput` ne serait pas assignable a `Record<string, unknown>`
     * en TS strict).
     */
    function buildCreatePayload(): Record<string, unknown> {
        return {
@@ -116,24 +127,72 @@ export function useCategoryForm() {
    }
    /**
-     * Traite une erreur API : 409 (doublon RG-1.07) → erreur inline sur `name`
+     * Mappe les violations 422 d'API Platform sur les champs du formulaire.
-     * + toast ; sinon delegue a `useFormErrors.handleApiError` (422 mappe inline
+     * Renvoie true des qu'au moins une violation a ete posee — false sinon
-     * par champ sans toast, autre → toast de fallback). Retourne true si traitee
+     * (payload sans violations exploitables, ou tous les `propertyPath` hors
-     * inline (409/422 mappe), false si fallback toast.
+     * du mapping connu). L'extraction Hydra (`violations` / `hydra:violations`)
     * est centralisee dans `shared/utils/api.ts` pour rester reutilisable
     * sur les futurs drawers de formulaire.
     */
    function mapServerViolations(data: unknown): boolean {
        const violations = extractApiViolations(data)
        if (violations.length === 0) return false
        let mapped = false
        for (const v of violations) {
            if (v.propertyPath === 'name') {
                errors.value.name = v.message
                mapped = true
            } else if (v.propertyPath === 'categoryType') {
                errors.value.categoryType = v.message
                mapped = true
            }
        }
        return mapped
    }
    /**
     * Traite une erreur API : mappe selon le status, declenche les toasts
     * appropries. Centralise la logique entre create/update.
     *
     * - 409 (RG-1.07) : doublon — toast + errors.name avec libelle qui inclut
     *   le nom soumis.
     * - 422 : tentative de mapping fin via les violations API Platform — si au
     *   moins une violation est mappee, pas de toast (erreur affichee inline
     *   sous le champ concerne).
     * - autre : message global + toast generique. Le toast natif d'useApi
     *   est desactive (`toast: false`) pour permettre ce mapping fin ; il faut
     *   donc en re-emettre un manuellement ici, sinon une 500 reste silencieuse.
     *
     * Retourne true si l'erreur a ete reconnue et traitee (409/422 mappes),
     * false sinon (fallback generique).
     */
    function handleApiError(e: unknown, attemptedName: string): boolean {
        const status = (e as ApiFetchError)?.response?.status
        const data = (e as ApiFetchError)?.response?._data
        if (status === 409) {
            const duplicateMessage = t('admin.categories.toast.duplicate', {
                name: attemptedName,
            })
-            formErrors.setError('name', duplicateMessage)
+            errors.value.name = duplicateMessage
-            toast.error({ title: t('errors.title'), message: duplicateMessage })
+            toast.error({
                title: 'Erreur',
                message: duplicateMessage,
            })
            return true
        }
-        return formErrors.handleApiError(e, { fallbackMessage: t('errors.generic') })
+        if (status === 422 && mapServerViolations(data)) {
            return true
        }
        const extracted = extractApiErrorMessage(data)
        errors.value._global = extracted || 'Une erreur est survenue.'
        toast.error({
            title: 'Erreur',
            message: errors.value._global,
        })
        return false
    }
    /**
@@ -144,13 +203,14 @@ export function useCategoryForm() {
    async function submitCreate(): Promise<Category | null> {
        if (!validate()) return null
        submitting.value = true
        errors.value._global = ''
        const payload = buildCreatePayload()
        try {
            const created = await api.post<Category>('/categories', payload, {
                toast: false,
            })
            toast.success({
-                title: t('success.title'),
+                title: 'Succès',
                message: t('admin.categories.toast.created'),
            })
            return created
@@ -170,6 +230,7 @@ export function useCategoryForm() {
    async function submitUpdate(id: number): Promise<Category | null> {
        if (!validate()) return null
        submitting.value = true
        errors.value._global = ''
        const payload: Record<string, unknown> = {}
        if (name.value !== initialName.value) {
            payload.name = name.value.trim()
@@ -189,7 +250,7 @@ export function useCategoryForm() {
                toast: false,
            })
            toast.success({
-                title: t('success.title'),
+                title: 'Succès',
                message: t('admin.categories.toast.updated'),
            })
            return updated
@@ -211,11 +272,11 @@ export function useCategoryForm() {
     */
    async function submitDelete(id: number): Promise<boolean> {
        submitting.value = true
-        formErrors.clearErrors()
+        errors.value._global = ''
        try {
            await api.delete(`/categories/${id}`, {}, { toast: false })
            toast.success({
-                title: t('success.title'),
+                title: 'Succès',
                message: t('admin.categories.toast.deleted'),
            })
            return true
@@ -236,7 +297,7 @@ export function useCategoryForm() {
        categoryTypeId.value = null
        initialName.value = ''
        initialCategoryTypeId.value = null
-        formErrors.clearErrors()
+        errors.value = { name: '', categoryType: '', _global: '' }
        submitting.value = false
    }
@@ -244,7 +305,7 @@ export function useCategoryForm() {
        // State
        name,
        categoryTypeId,
-        errors: formErrors.errors,
+        errors,
        submitting,
        isDirty,
        // Methods
@@ -10,61 +10,41 @@
            @click="$emit('remove')"
        />
-        <!-- Usage de l'adresse : Select unique (plus simple pour l'utilisateur)
+        <!-- Usage de l'adresse : Prospect exclusif de Livraison/Facturation
-             remplacant les 3 cases. Les options encodent les combinaisons valides
+             (RG-1.06/07/08). L'exclusivite est appliquee au toggle (cocher l'un
-             (exclusivite Prospect, RG-1.06/07/08) ; le back recoit toujours les
+             decoche l'autre) plutot qu'en masquant les options. -->
-             drapeaux isProspect / isDelivery / isBilling (aucune RG modifiee). -->
+        <MalioCheckbox
-        <MalioSelect
+            :model-value="model.isProspect"
-            :model-value="addressType"
+            :label="t('commercial.clients.form.address.prospect')"
-            :options="addressTypeOptions"
+            group-class="self-center"
            :label="t('commercial.clients.form.address.addressType')"
            :readonly="readonly"
-            :required="true"
+            @update:model-value="(v: boolean) => toggleFlag('isProspect', v)"
-            @update:model-value="onAddressTypeChange"
+        />
        <MalioCheckbox
            :model-value="model.isDelivery"
            :label="t('commercial.clients.form.address.delivery')"
            group-class="self-center"
            :readonly="readonly"
            @update:model-value="(v: boolean) => toggleFlag('isDelivery', v)"
        />
        <MalioCheckbox
            :model-value="model.isBilling"
            :label="t('commercial.clients.form.address.billing')"
            group-class="self-center"
            :readonly="readonly"
            @update:model-value="(v: boolean) => toggleFlag('isBilling', v)"
        />
-        <!-- Sites Starseed : multiselect a tags (>= 1 obligatoire, RG-1.10). -->
+        <!-- Cellule vide : laisse un trou en position 4 (ligne 1) pour que
-        <MalioSelectCheckbox
+             Categorie reparte au debut de la ligne suivante. -->
-            :model-value="model.siteIris"
+        <div aria-hidden="true" />
            :options="siteOptions"
            :label="t('commercial.clients.form.address.sites')"
            :display-tag="true"
            :readonly="readonly"
            :required="true"
            @update:model-value="(v: (string | number)[]) => update('siteIris', v.map(String))"
        />
        <MalioSelectCheckbox
            :model-value="model.contactIris"
            :options="contactOptions"
            :label="t('commercial.clients.form.address.contacts')"
            :display-tag="true"
            :readonly="readonly"
            @update:model-value="(v: (string | number)[]) => update('contactIris', v.map(String))"
        />
        <!-- Email de facturation : ligne 1 colonne 4, visible/obligatoire
             seulement si Facturation (RG-1.11). Sinon un filler comble la
             colonne pour que Categorie reparte au debut de la ligne 2. -->
        <MalioInputEmail
            v-if="isBillingEmailRequired(model)"
            :model-value="model.billingEmail"
            :label="t('commercial.clients.form.address.billingEmail')"
            :required="true"
            :readonly="readonly"
            :lowercase="true"
            :error="errors?.billingEmail"
            @update:model-value="(v: string) => update('billingEmail', v)"
        />
        <div v-else aria-hidden="true" />
        <MalioSelectCheckbox
            :model-value="model.categoryIris"
            :options="categoryOptions"
            :label="t('commercial.clients.form.address.categories')"
            :display-tag="true"
-            :readonly="readonly"
+            :disabled="readonly"
            :required="true"
            @update:model-value="(v: (string | number)[]) => update('categoryIris', v.map(String))"
        />
@@ -72,8 +52,7 @@
            :model-value="model.country"
            :options="countryOptions"
            :label="t('commercial.clients.form.address.country')"
-            :readonly="readonly"
+            :disabled="readonly"
            :required="true"
            @update:model-value="(v: string | number | null) => update('country', String(v ?? 'France'))"
        />
@@ -82,8 +61,6 @@
            :label="t('commercial.clients.form.address.postalCode')"
            :mask="POSTAL_CODE_MASK"
            :readonly="readonly"
            :required="true"
            :error="errors?.postalCode"
            @update:model-value="onPostalCodeChange"
        />
@@ -94,10 +71,8 @@
            :model-value="model.city"
            :options="cityOptions"
            :label="t('commercial.clients.form.address.city')"
-            :readonly="readonly"
+            :disabled="readonly"
            empty-option-label=""
            :required="true"
            :error="errors?.city"
            @update:model-value="(v: string | number | null) => update('city', v === null ? null : String(v))"
        />
        <MalioInputText
@@ -105,8 +80,6 @@
            :model-value="model.city"
            :label="t('commercial.clients.form.address.city')"
            :readonly="readonly"
            :required="true"
            :error="errors?.city"
            @update:model-value="(v: string) => update('city', v)"
        />
@@ -126,8 +99,6 @@
                :min-search-length="3"
                :label="t('commercial.clients.form.address.street')"
                :readonly="readonly"
                :required="true"
                :error="errors?.street"
                @update:model-value="(v: string | number | null) => update('street', v === null ? null : String(v))"
                @search="onAddressSearch"
                @select="onAddressSelect"
@@ -137,8 +108,6 @@
                :model-value="model.street"
                :label="t('commercial.clients.form.address.street')"
                :readonly="readonly"
                :required="true"
                :error="errors?.street"
                @update:model-value="(v: string) => update('street', v)"
            />
        </div>
@@ -148,20 +117,50 @@
                :model-value="model.streetComplement"
                :label="t('commercial.clients.form.address.streetComplement')"
                :readonly="readonly"
                :error="errors?.streetComplement"
                @update:model-value="(v: string) => update('streetComplement', v)"
            />
        </div>
        <!-- Sites Starseed : cases a cocher inline (>= 1 obligatoire, RG-1.10). -->
        <div class="flex justify-between">
            <MalioCheckbox
                v-for="site in siteOptions"
                :key="site.value"
                :model-value="model.siteIris.includes(site.value)"
                :label="site.label"
                group-class="w-auto self-center"
                :readonly="readonly"
                @update:model-value="(v: boolean) => toggleSite(site.value, v)"
            />
        </div>
        <MalioSelectCheckbox
            :model-value="model.contactIris"
            :options="contactOptions"
            :label="t('commercial.clients.form.address.contacts')"
            :display-tag="true"
            :disabled="readonly"
            @update:model-value="(v: (string | number)[]) => update('contactIris', v.map(String))"
        />
        <!-- Email de facturation : visible/obligatoire seulement si Facturation
             est coche (RG-1.11). -->
        <MalioInputText
            v-if="isBillingEmailRequired(model)"
            :model-value="model.billingEmail"
            :label="t('commercial.clients.form.address.billingEmail')"
            :required="true"
            :readonly="readonly"
            @update:model-value="(v: string) => update('billingEmail', v)"
        />
    </div>
 </template>
 <script setup lang="ts">
 import {
-    addressFlagsFromType,
+    applyProspectExclusivity,
    addressTypeFromFlags,
    isBillingEmailRequired,
-    type AddressType,
+    type AddressFlagsDraft,
 } from '~/modules/commercial/utils/clientFormRules'
 import { useAddressAutocomplete, type AddressSuggestion } from '~/shared/composables/useAddressAutocomplete'
 import type { CategoryOption, RefOption } from '~/modules/commercial/composables/useClientReferentials'
@@ -184,8 +183,6 @@ const props = defineProps<{
    countryOptions: RefOption[]
    removable?: boolean
    readonly?: boolean
    /** Erreurs serveur 422 de cette ligne, indexees par champ (ERP-101). */
    errors?: Record<string, string>
 }>()
 const emit = defineEmits<{
@@ -200,29 +197,11 @@ const autocomplete = useAddressAutocomplete()
 const model = computed(() => props.modelValue)
 // Type d'adresse (Select unique) derive des drapeaux back. null tant qu'aucun
 // drapeau n'est pose -> champ vide + bouton « Valider » bloque (cf. parent).
 const addressType = computed<AddressType | null>(() => addressTypeFromFlags(model.value))
 const addressTypeOptions = computed<RefOption[]>(() => [
    { value: 'prospect', label: t('commercial.clients.form.address.addressTypeProspect') },
    { value: 'delivery', label: t('commercial.clients.form.address.addressTypeDelivery') },
    { value: 'billing', label: t('commercial.clients.form.address.addressTypeBilling') },
    { value: 'delivery_billing', label: t('commercial.clients.form.address.addressTypeDeliveryBilling') },
 ])
 /** Applique le type choisi en repercutant les 3 drapeaux back (immutabilite). */
 function onAddressTypeChange(value: string | number | null): void {
    if (value === null) return
    emit('update:modelValue', { ...props.modelValue, ...addressFlagsFromType(value as AddressType) })
 }
 // Mode degrade : service BAN indisponible → Ville/Adresse en saisie libre.
 const degraded = ref(false)
 // Villes proposees par la BAN (alimentees a la saisie du code postal).
 const banCityOptions = ref<RefOption[]>([])
-// Adresses proposees par la BAN (alimentees a la saisie d'adresse).
+const addressOptions = ref<RefOption[]>([])
 const banAddressOptions = ref<RefOption[]>([])
 // Options ville effectives : on garantit que la ville courante figure toujours
 // dans la liste, sinon MalioSelect (qui resout le libelle depuis ses options)
@@ -235,20 +214,6 @@ const cityOptions = computed<RefOption[]>(() => {
    }
    return banCityOptions.value
 })
 // Meme garantie que cityOptions pour le champ Adresse : la rue courante doit
 // toujours figurer dans les options, sinon MalioInputAutocomplete (qui resout
 // l'affichage depuis ses options) laisse le champ VIDE des que la liste de
 // suggestions BAN est vide — typiquement juste apres validation (remontage) ou
 // a l'edition d'une adresse existante (1.12), alors que la valeur est bien
 // persistee. On reinjecte donc la rue liee si la BAN ne l'a pas (re)proposee.
 const addressOptions = computed<RefOption[]>(() => {
    const current = props.modelValue.street
    if (current && !banAddressOptions.value.some(o => o.value === current)) {
        return [{ value: current, label: current }, ...banAddressOptions.value]
    }
    return banAddressOptions.value
 })
 const addressLoading = ref(false)
 // Conserve les suggestions d'adresse pour retrouver ville/CP au moment du select.
 let lastAddressSuggestions: AddressSuggestion[] = []
@@ -258,6 +223,25 @@ function update<K extends keyof AddressFormDraft>(field: K, value: AddressFormDr
    emit('update:modelValue', { ...props.modelValue, [field]: value })
 }
 /** Coche/decoche un site Starseed rattache a l'adresse (M2M par IRI, RG-1.10). */
 function toggleSite(siteIri: string, selected: boolean): void {
    const current = props.modelValue.siteIris
    const next = selected
        ? [...current, siteIri]
        : current.filter(iri => iri !== siteIri)
    update('siteIris', next)
 }
 /** Applique l'exclusivite Prospect / (Livraison|Facturation) au changement. */
 function toggleFlag(field: keyof AddressFlagsDraft, value: boolean): void {
    const flags = applyProspectExclusivity(
        { isProspect: model.value.isProspect, isDelivery: model.value.isDelivery, isBilling: model.value.isBilling },
        field,
        value,
    )
    emit('update:modelValue', { ...props.modelValue, ...flags })
 }
 /** Bascule définitivement en mode degrade et previent le parent (toast unique). */
 function enterDegraded(): void {
    if (!degraded.value) {
@@ -296,7 +280,7 @@ async function onAddressSearch(query: string): Promise<void> {
        const postalCode = (model.value.postalCode ?? '').replace(/\D/g, '') || undefined
        const suggestions = await autocomplete.searchAddress(query, postalCode)
        lastAddressSuggestions = suggestions
-        banAddressOptions.value = suggestions.map(s => ({ value: s.street, label: s.label }))
+        addressOptions.value = suggestions.map(s => ({ value: s.street, label: s.label }))
    }
    catch {
        enterDegraded()
@@ -16,29 +16,24 @@
            :model-value="model.lastName"
            :label="t('commercial.clients.form.contact.lastName')"
            :readonly="readonly"
            :error="errors?.lastName"
            @update:model-value="(v: string) => update('lastName', v)"
        />
        <MalioInputText
            :model-value="model.firstName"
            :label="t('commercial.clients.form.contact.firstName')"
            :readonly="readonly"
            :error="errors?.firstName"
            @update:model-value="(v: string) => update('firstName', v)"
        />
        <MalioInputText
            :model-value="model.jobTitle"
            :label="t('commercial.clients.form.contact.jobTitle')"
            :readonly="readonly"
            :error="errors?.jobTitle"
            @update:model-value="(v: string) => update('jobTitle', v)"
        />
        <MalioInputEmail
            :model-value="model.email"
            :label="t('commercial.clients.form.contact.email')"
            :readonly="readonly"
            :lowercase="true"
            :error="errors?.email"
            @update:model-value="(v: string) => update('email', v)"
        />
        <MalioInputPhone
@@ -46,7 +41,6 @@
            :label="t('commercial.clients.form.contact.phonePrimary')"
            :mask="PHONE_MASK"
            :readonly="readonly"
            :error="errors?.phonePrimary"
            :addable="!model.hasSecondaryPhone && !readonly"
            :add-button-label="t('commercial.clients.form.contact.addPhone')"
            @update:model-value="(v: string) => update('phonePrimary', v)"
@@ -58,7 +52,6 @@
            :label="t('commercial.clients.form.contact.phoneSecondary')"
            :mask="PHONE_MASK"
            :readonly="readonly"
            :error="errors?.phoneSecondary"
            @update:model-value="(v: string) => update('phoneSecondary', v)"
        />
    </div>
@@ -80,8 +73,6 @@ const props = defineProps<{
    removable?: boolean
    /** Bloc en lecture seule (onglet valide). */
    readonly?: boolean
    /** Erreurs serveur 422 de cette ligne, indexees par champ (ERP-101). */
    errors?: Record<string, string>
 }>()
 const emit = defineEmits<{
@@ -0,0 +1,14 @@
 <template>
    <!--
        Placeholder des onglets non encore implementes (Transport, Statistiques,
        Rapports, Echanges). Frame vide blanche : aucun champ, aucun bouton,
        aucun message « En cours » (decision Tristan 28/05). L'orchestrateur passe
        automatiquement a l'onglet suivant — ce composant n'est qu'une coquille
        visuelle reutilisee par 1.11/1.12.
    -->
    <div class="min-h-[240px] rounded-md bg-white" />
 </template>
 <script setup lang="ts">
 // Composant purement presentationnel : aucune prop, aucun event.
 </script>
@@ -1,132 +0,0 @@
 import { describe, it, expect, vi } from 'vitest'
 import { mount } from '@vue/test-utils'
 import { defineComponent, h, ref, computed } from 'vue'
 import { emptyAddress } from '~/modules/commercial/types/clientForm'
 import ClientAddressBlock from '../ClientAddressBlock.vue'
 // Le composable BAN est mocke : aucun appel reseau, aucune suggestion chargee.
 // On reproduit ainsi l'etat « adresse persistee, mais liste de suggestions
 // vide » (remontage apres validation / edition d'une adresse existante).
 vi.mock('~/shared/composables/useAddressAutocomplete', () => ({
    useAddressAutocomplete: () => ({
        searchCity: vi.fn(),
        searchAddress: vi.fn(),
    }),
 }))
 // Auto-imports Nuxt/Vue utilises sans import explicite par le composant.
 vi.stubGlobal('useI18n', () => ({ t: (key: string) => key }))
 vi.stubGlobal('ref', ref)
 vi.stubGlobal('computed', computed)
 // Stub de MalioInputAutocomplete : expose les `value` des options recues, pour
 // verifier que la rue courante figure bien dans la liste (sinon le composant
 // Malio ne peut pas resoudre/afficher la valeur liee -> champ vide).
 const MalioInputAutocompleteStub = defineComponent({
    name: 'MalioInputAutocomplete',
    props: {
        modelValue: { type: [String, Number, null], default: undefined },
        options: { type: Array as () => { value: string | number, label: string }[], default: () => [] },
        loading: { type: Boolean, default: false },
        minSearchLength: { type: Number, default: 0 },
        label: { type: String, default: '' },
        readonly: { type: Boolean, default: false },
    },
    emits: ['update:modelValue', 'search', 'select'],
    setup(props) {
        return () => h('div', {
            'data-testid': 'addr-autocomplete',
            'data-options': JSON.stringify(props.options.map(o => o.value)),
        })
    },
 })
 function mountBlock(street: string | null) {
    return mount(ClientAddressBlock, {
        props: {
            modelValue: { ...emptyAddress(), street },
            title: 'Adresse',
            categoryOptions: [],
            siteOptions: [],
            contactOptions: [],
            countryOptions: [],
        },
        global: {
            stubs: {
                MalioButtonIcon: true,
                MalioCheckbox: true,
                MalioSelect: true,
                MalioSelectCheckbox: true,
                MalioInputText: true,
                MalioInputAutocomplete: MalioInputAutocompleteStub,
            },
        },
    })
 }
 describe('ClientAddressBlock — affichage de l\'adresse persistee', () => {
    it('inclut la rue courante dans les options de l\'autocomplete meme sans recherche BAN', () => {
        const wrapper = mountBlock('8 Boulevard du Port')
        const el = wrapper.find('[data-testid="addr-autocomplete"]')
        const values = JSON.parse(el.attributes('data-options') ?? '[]')
        expect(values).toContain('8 Boulevard du Port')
    })
 })
 /**
 * Stub MalioInputText qui re-expose `label` + `error` recus : permet de cibler
 * un champ par son libelle et de verifier l'erreur 422 propagee (ERP-101).
 */
 const MalioInputTextProbe = defineComponent({
    name: 'MalioInputTextProbe',
    props: {
        modelValue: { type: [String, Number, null], default: undefined },
        error: { type: String, default: '' },
        label: { type: String, default: '' },
        readonly: { type: Boolean, default: false },
    },
    setup(props) {
        return () => h('div', {
            'data-testid': 'addr-text',
            'data-label': props.label,
            'data-error': props.error,
        })
    },
 })
 describe('ClientAddressBlock — mapping erreur par champ (ERP-101)', () => {
    function mountWithErrors(errors: Record<string, string>) {
        return mount(ClientAddressBlock, {
            props: {
                modelValue: emptyAddress(),
                title: 'Adresse',
                categoryOptions: [],
                siteOptions: [],
                contactOptions: [],
                countryOptions: [],
                errors,
            },
            global: {
                stubs: {
                    MalioButtonIcon: true,
                    MalioCheckbox: true,
                    MalioSelect: true,
                    MalioSelectCheckbox: true,
                    MalioInputAutocomplete: MalioInputAutocompleteStub,
                    MalioInputText: MalioInputTextProbe,
                },
            },
        })
    }
    it('affiche l\'erreur serveur sur le champ code postal via la prop errors', () => {
        const wrapper = mountWithErrors({ postalCode: 'Code postal invalide.' })
        const field = wrapper.findAll('[data-testid="addr-text"]').find(
            el => el.attributes('data-label') === 'commercial.clients.form.address.postalCode',
        )
        expect(field?.attributes('data-error')).toBe('Code postal invalide.')
    })
 })
@@ -1,64 +0,0 @@
 import { describe, it, expect } from 'vitest'
 import { mount } from '@vue/test-utils'
 import { defineComponent, h, ref, computed } from 'vue'
 import { emptyContact } from '~/modules/commercial/types/clientForm'
 import ClientContactBlock from '../ClientContactBlock.vue'
 // Auto-imports Nuxt/Vue utilises sans import explicite par le composant.
 vi.stubGlobal('useI18n', () => ({ t: (key: string) => key }))
 vi.stubGlobal('ref', ref)
 vi.stubGlobal('computed', computed)
 /**
 * Stub d'un champ Malio qui re-expose la prop `error` recue dans un attribut
 * data-* : permet de verifier que le bloc propage bien `:errors[champ]` sur le
 * bon champ (ERP-101 — mapping erreur 422 par champ, par ligne de collection).
 */
 function errorProbe(testid: string) {
    return defineComponent({
        name: `Probe-${testid}`,
        props: {
            modelValue: { type: [String, Number, null], default: undefined },
            error: { type: String, default: '' },
            label: { type: String, default: '' },
            readonly: { type: Boolean, default: false },
        },
        setup(props) {
            return () => h('div', { 'data-testid': testid, 'data-error': props.error })
        },
    })
 }
 function mountBlock(errors?: Record<string, string>) {
    return mount(ClientContactBlock, {
        props: {
            modelValue: emptyContact(),
            title: 'Contact 1',
            ...(errors ? { errors } : {}),
        },
        global: {
            stubs: {
                MalioButtonIcon: true,
                MalioInputPhone: true,
                MalioInputText: errorProbe('contact-text'),
                MalioInputEmail: errorProbe('contact-email'),
            },
        },
    })
 }
 describe('ClientContactBlock — mapping erreur par champ (ERP-101)', () => {
    it('affiche l\'erreur serveur sur le champ email via la prop errors', () => {
        const wrapper = mountBlock({ email: 'Adresse e-mail invalide.' })
        const email = wrapper.find('[data-testid="contact-email"]')
        expect(email.attributes('data-error')).toBe('Adresse e-mail invalide.')
    })
    it('laisse les champs sans erreur quand errors est absent', () => {
        const wrapper = mountBlock()
        const email = wrapper.find('[data-testid="contact-email"]')
        expect(email.attributes('data-error')).toBe('')
    })
 })
@@ -1,122 +0,0 @@
 import { describe, it, expect, vi } from 'vitest'
 import { useFormErrors } from '~/shared/composables/useFormErrors'
 import { useClientFormErrors } from '../useClientFormErrors'
 // useFormErrors (auto-import) expose l'implementation reelle ; elle consomme
 // useToast + useI18n, stubbes ici.
 vi.stubGlobal('useToast', () => ({ error: vi.fn(), success: vi.fn() }))
 vi.stubGlobal('useI18n', () => ({ t: (key: string) => key }))
 vi.stubGlobal('useFormErrors', useFormErrors)
 /**
 * Tests du composable partage `useClientFormErrors` — factorisation du cablage
 * d'erreurs des ecrans client (creation/edition), suggestion de revue ERP-101.
 * `mapRowError` ne toaste plus : il retourne un booleen et chaque page garde son
 * propre fallback (toast.error en creation, showError en edition).
 */
 describe('useClientFormErrors', () => {
    it('expose les 3 etats scalaires (vides) et les 3 tableaux d\'erreurs par ligne', () => {
        const f = useClientFormErrors()
        expect(f.mainErrors.errors).toEqual({})
        expect(f.informationErrors.errors).toEqual({})
        expect(f.accountingErrors.errors).toEqual({})
        expect(f.contactErrors.value).toEqual([])
        expect(f.addressErrors.value).toEqual([])
        expect(f.ribErrors.value).toEqual([])
    })
    it('mapRowError mappe une 422 sur target[index] et retourne true', () => {
        const f = useClientFormErrors()
        const error = {
            response: {
                status: 422,
                _data: { violations: [{ propertyPath: 'email', message: 'Adresse invalide.' }] },
            },
        }
        const mapped = f.mapRowError(error, f.contactErrors, 0)
        expect(mapped).toBe(true)
        expect(f.contactErrors.value[0]).toEqual({ email: 'Adresse invalide.' })
    })
    it('mapRowError retourne false et ne touche pas la cible pour une erreur non-422', () => {
        const f = useClientFormErrors()
        const error = { response: { status: 500, _data: {} } }
        expect(f.mapRowError(error, f.ribErrors, 0)).toBe(false)
        expect(f.ribErrors.value[0]).toBeUndefined()
    })
    it('mapRowError retourne false pour une 422 sans violation exploitable', () => {
        const f = useClientFormErrors()
        const error = { response: { status: 422, _data: { 'hydra:description': 'Donnees invalides.' } } }
        expect(f.mapRowError(error, f.addressErrors, 0)).toBe(false)
        expect(f.addressErrors.value[0]).toBeUndefined()
    })
 })
 // Construit une erreur facon useApi : 422 avec violations Hydra.
 function http422(path: string, message: string) {
    return { response: { status: 422, _data: { violations: [{ propertyPath: path, message }] } } }
 }
 /**
 * `submitRows` factorise la soumission d'une collection de blocs (contacts /
 * adresses / RIB) : on tente TOUS les blocs et on collecte les erreurs par index
 * sans stopper au premier echec (ERP-110 / ERP-101).
 */
 describe('useClientFormErrors.submitRows', () => {
    it('tente TOUS les blocs et mappe les erreurs par index, sans stopper au premier echec', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const seen: number[] = []
        const onUnmapped = vi.fn()
        const saveRow = async (_row: unknown, index: number) => {
            seen.push(index)
            if (index === 1) throw http422('email', 'Email invalide')
        }
        const hasError = await submitRows(
            [{ a: 0 }, { a: 1 }, { a: 2 }],
            contactErrors,
            saveRow,
            onUnmapped,
        )
        expect(seen).toEqual([0, 1, 2]) // tous les blocs tentes
        expect(hasError).toBe(true)
        expect(contactErrors.value[1]).toEqual({ email: 'Email invalide' })
        expect(contactErrors.value[0]).toBeUndefined()
        expect(onUnmapped).not.toHaveBeenCalled() // 422 mappee, pas de fallback
    })
    it('delegue le fallback onUnmappedError pour une erreur non mappable et marque hasError', async () => {
        const { ribErrors, submitRows } = useClientFormErrors()
        const onUnmapped = vi.fn()
        const hasError = await submitRows(
            [{ a: 0 }],
            ribErrors,
            async () => { throw { response: { status: 500, _data: {} } } },
            onUnmapped,
        )
        expect(hasError).toBe(true)
        expect(onUnmapped).toHaveBeenCalledTimes(1)
        expect(ribErrors.value[0]).toBeUndefined()
    })
    it('saute les lignes filtrees par shouldSkip et renvoie false si tout passe', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const saved: number[] = []
        const hasError = await submitRows(
            [{ skip: true }, { skip: false }],
            contactErrors,
            async (_row, index) => { saved.push(index) },
            vi.fn(),
            (row: { skip: boolean }) => row.skip,
        )
        expect(saved).toEqual([1])
        expect(hasError).toBe(false)
    })
 })
@@ -28,7 +28,7 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
                return Promise.reject(new Error('403 Forbidden'))
            }
            if (url === '/sites') {
-                return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault', postalCode: '86100' }] })
+                return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault' }] })
            }
            return Promise.resolve({
                member: [{ '@id': '/api/x/1', code: 'X', label: 'Libelle X' }],
@@ -40,8 +40,7 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
        await refs.loadCommon()
        // Resilience : les referentiels OK sont peuples malgre l'echec de /categories.
-        // Le libelle d'un site est son numero de departement (2 premiers chiffres du code postal).
+        expect(refs.sites.value).toEqual([{ value: '/api/sites/1', label: 'Chatellerault' }])
        expect(refs.sites.value).toEqual([{ value: '/api/sites/1', label: '86' }])
        expect(refs.tvaModes.value).toEqual([{ value: '/api/x/1', label: 'Libelle X' }])
        expect(refs.banks.value).toEqual([{ value: '/api/x/1', label: 'Libelle X' }])
@@ -57,7 +56,7 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
                })
            }
            if (url === '/sites') {
-                return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault', postalCode: '86100' }] })
+                return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault' }] })
            }
            return Promise.resolve({ member: [] })
        })
@@ -68,7 +67,6 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
        expect(refs.categories.value).toEqual([
            { value: '/api/categories/1', label: 'Secteur', code: 'SECTEUR' },
        ])
-        // Le libelle d'un site est son numero de departement (2 premiers chiffres du code postal).
+        expect(refs.sites.value).toEqual([{ value: '/api/sites/1', label: 'Chatellerault' }])
        expect(refs.sites.value).toEqual([{ value: '/api/sites/1', label: '86' }])
    })
 })
@@ -1,94 +0,0 @@
 /**
 * Composable d'erreurs partage des ecrans client (creation + edition, M1
 * Commercial). Factorise le cablage identique entre `clients/new.vue` et
 * `clients/[id]/edit.vue` (suggestion de revue ERP-101) :
 *  - un `useFormErrors` par groupe scalaire (Principal / Information /
 *    Comptabilite) : violations 422 affichees inline sous chaque champ ;
 *  - un tableau d'erreurs PAR LIGNE pour chaque collection (contacts /
 *    adresses / RIB), aligne sur l'index du `v-for`.
 *
 * `mapRowError` ne toaste PAS lui-meme : il retourne un booleen (true = mappe
 * inline). Chaque page conserve ainsi son propre fallback dans le `catch`
 * (toast generique en creation, `showError` en edition) sans imposer un
 * comportement commun.
 */
 import { ref, type Ref } from 'vue'
 import { mapViolationsToRecord } from '~/shared/utils/api'
 export function useClientFormErrors() {
    const mainErrors = useFormErrors()
    const informationErrors = useFormErrors()
    const accountingErrors = useFormErrors()
    const contactErrors = ref<Record<string, string>[]>([])
    const addressErrors = ref<Record<string, string>[]>([])
    const ribErrors = ref<Record<string, string>[]>([])
    /**
     * Mappe l'erreur d'une ligne de collection sur le tableau cible (par index).
     * 422 avec violations exploitables → erreurs inline sous les champs de la
     * ligne + retourne true. Sinon → ne touche pas la cible et retourne false
     * (le caller decide du fallback toast).
     */
    function mapRowError(
        error: unknown,
        target: Ref<Record<string, string>[]>,
        index: number,
    ): boolean {
        const response = (error as { response?: { status?: number, _data?: unknown } })?.response
        const mapped = response?.status === 422 ? mapViolationsToRecord(response._data) : {}
        if (Object.keys(mapped).length > 0) {
            target.value[index] = mapped
            return true
        }
        return false
    }
    /**
     * Soumet TOUS les blocs d'une collection (contacts / adresses / RIB) en
     * collectant les erreurs par index : on n'arrete PAS au premier bloc en echec
     * (decision ERP-110 / ERP-101). Reinitialise le tableau d'erreurs cible, tente
     * chaque ligne via `saveRow`, mappe les 422 inline (mapRowError) ou delegue le
     * fallback a `onUnmappedError`. `shouldSkip` permet d'ignorer les blocs vides
     * (non remplis). Retourne true si au moins un bloc a echoue (le caller ne valide
     * alors pas l'onglet et n'affiche pas de toast succes).
     */
    async function submitRows<T>(
        rows: T[],
        target: Ref<Record<string, string>[]>,
        saveRow: (row: T, index: number) => Promise<void>,
        onUnmappedError: (error: unknown, index: number) => void,
        shouldSkip?: (row: T, index: number) => boolean,
    ): Promise<boolean> {
        target.value = []
        let hasError = false
        for (let index = 0; index < rows.length; index++) {
            // L'index reste borne par rows.length : la ligne existe forcement.
            const row = rows[index] as T
            if (shouldSkip?.(row, index)) {
                continue
            }
            try {
                await saveRow(row, index)
            }
            catch (error) {
                if (!mapRowError(error, target, index)) {
                    onUnmappedError(error, index)
                }
                hasError = true
            }
        }
        return hasError
    }
    return {
        mainErrors,
        informationErrors,
        accountingErrors,
        contactErrors,
        addressErrors,
        ribErrors,
        mapRowError,
        submitRows,
    }
 }
@@ -45,7 +45,6 @@ interface CategoryMember extends HydraMember {
 interface SiteMember extends HydraMember {
    name: string
    postalCode: string
 }
 interface ReferentialMember extends HydraMember {
@@ -102,10 +101,7 @@ export function useClientReferentials() {
            fetchAll<CategoryMember>('/categories')
                .then((cats) => { categories.value = cats.map(c => ({ value: c['@id'], label: c.name, code: c.code })) }),
            fetchAll<SiteMember>('/sites')
-                // Libelle = numero de departement (2 premiers chiffres du code
+                .then((sitesList) => { sites.value = sitesList.map(s => ({ value: s['@id'], label: s.name })) }),
                // postal du site), ex: 86100 -> « 86 ». Le code postal est deja
                // expose par /sites (groupe site:read) — aucune colonne a ajouter.
                .then((sitesList) => { sites.value = sitesList.map(s => ({ value: s['@id'], label: (s.postalCode ?? '').slice(0, 2) })) }),
            fetchAll<ReferentialMember>('/tva_modes')
                .then((tva) => { tvaModes.value = tva.map(t => ({ value: t['@id'], label: t.label })) }),
            fetchAll<ReferentialMember>('/payment_delays')
@@ -28,24 +28,54 @@
                    :label="t('commercial.clients.form.main.companyName')"
                    :required="true"
                    :readonly="businessReadonly"
-                    :error="mainErrors.errors.companyName"
+                />
                <MalioInputText
                    v-model="main.lastName"
                    :label="t('commercial.clients.form.main.lastName')"
                    :readonly="businessReadonly"
                />
                <MalioInputText
                    v-model="main.firstName"
                    :label="t('commercial.clients.form.main.firstName')"
                    :readonly="businessReadonly"
                />
                <MalioSelectCheckbox
                    :model-value="main.categoryIris"
                    :options="mainCategoryOptions"
                    :label="t('commercial.clients.form.main.categories')"
                    :display-tag="true"
-                    :readonly="businessReadonly"
+                    :disabled="businessReadonly"
                    :required="true"
                    :error="mainErrors.errors.categories"
                    @update:model-value="(v: (string | number)[]) => main.categoryIris = v.map(String)"
                />
                <MalioInputPhone
                    v-model="main.phonePrimary"
                    :label="t('commercial.clients.form.main.phonePrimary')"
                    :mask="PHONE_MASK"
                    :required="true"
                    :readonly="businessReadonly"
                    add-icon-name="mdi:plus"
                    :addable="!main.hasSecondaryPhone && !businessReadonly"
                    :add-button-label="t('commercial.clients.form.main.addPhone')"
                    @add="main.hasSecondaryPhone = true"
                />
                <MalioInputPhone
                    v-if="main.hasSecondaryPhone"
                    v-model="main.phoneSecondary"
                    :label="t('commercial.clients.form.main.phoneSecondary')"
                    :mask="PHONE_MASK"
                    :readonly="businessReadonly"
                />
                <MalioInputEmail
                    v-model="main.email"
                    :label="t('commercial.clients.form.main.email')"
                    :required="true"
                    :readonly="businessReadonly"
                />
                <MalioSelect
                    :model-value="main.relationType"
                    :options="relationOptions"
                    :label="t('commercial.clients.form.main.relation')"
-                    :empty-option-label="t('commercial.clients.form.main.relationNone')"
+                    :disabled="businessReadonly"
                    :readonly="businessReadonly"
                    @update:model-value="onRelationChange"
                />
                <MalioSelect
@@ -53,9 +83,7 @@
                    :model-value="main.brokerIri"
                    :options="brokerOptions"
                    :label="t('commercial.clients.form.main.brokerName')"
-                    :readonly="businessReadonly"
+                    :disabled="businessReadonly"
                    :required="true"
                    :error="mainErrors.errors.broker"
                    @update:model-value="(v: string | number | null) => main.brokerIri = v === null ? null : String(v)"
                />
                <MalioSelect
@@ -63,9 +91,7 @@
                    :model-value="main.distributorIri"
                    :options="distributorOptions"
                    :label="t('commercial.clients.form.main.distributorName')"
-                    :readonly="businessReadonly"
+                    :disabled="businessReadonly"
                    :required="true"
                    :error="mainErrors.errors.distributor"
                    @update:model-value="(v: string | number | null) => main.distributorIri = v === null ? null : String(v)"
                />
                <MalioCheckbox
@@ -86,7 +112,7 @@
            </div>
            <!-- ── Onglets : navigation LIBRE, edition independante par onglet ──── -->
-            <MalioTabList v-model="activeTab" :tabs="tabs" :max-visible-tabs="5" :max-width="1100" class="mt-[60px]">
+            <MalioTabList v-model="activeTab" :tabs="tabs" class="mt-[60px]">
                <!-- Onglet Information -->
                <template #information>
                    <div class="mt-12 grid grid-cols-4 gap-x-[44px] gap-y-4 bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]">
@@ -96,45 +122,38 @@
                            resize="none"
                            group-class="row-span-2 pt-1"
                            text-input="h-full text-lg"
-                            :readonly="businessReadonly"
+                            :disabled="businessReadonly"
                            :error="informationErrors.errors.description"
                        />
                        <MalioInputText
                            v-model="information.competitors"
                            :label="t('commercial.clients.form.information.competitors')"
                            :readonly="businessReadonly"
                            :error="informationErrors.errors.competitors"
                        />
                        <MalioDate
                            v-model="information.foundedAt"
                            :label="t('commercial.clients.form.information.foundedAt')"
                            :readonly="businessReadonly"
                            :error="informationErrors.errors.foundedAt"
                        />
                        <MalioInputText
                            v-model="information.employeesCount"
                            :label="t('commercial.clients.form.information.employeesCount')"
                            :mask="EMPLOYEES_MASK"
                            :readonly="businessReadonly"
                            :error="informationErrors.errors.employeesCount"
                        />
                        <MalioInputAmount
                            v-model="information.revenueAmount"
                            :label="t('commercial.clients.form.information.revenueAmount')"
-                            :readonly="businessReadonly"
+                            :disabled="businessReadonly"
                            :error="informationErrors.errors.revenueAmount"
                        />
                        <MalioInputText
                            v-model="information.directorName"
                            :label="t('commercial.clients.form.information.directorName')"
                            :readonly="businessReadonly"
                            :error="informationErrors.errors.directorName"
                        />
                        <MalioInputAmount
                            v-model="information.profitAmount"
                            :label="t('commercial.clients.form.information.profitAmount')"
-                            :readonly="businessReadonly"
+                            :disabled="businessReadonly"
                            :error="informationErrors.errors.profitAmount"
                        />
                    </div>
                    <div v-if="!businessReadonly" class="mt-12 flex justify-center">
@@ -157,10 +176,12 @@
                            :title="t('commercial.clients.form.contact.title', { n: index + 1 })"
                            :removable="contacts.length > 1"
                            :readonly="businessReadonly"
                            :errors="contactErrors[index]"
                            @update:model-value="(v) => contacts[index] = v"
                            @remove="askRemoveContact(index)"
                        />
                        <p v-if="contacts.length === 0" class="text-center text-black/60">
                            {{ t('commercial.clients.edit.emptyContacts') }}
                        </p>
                        <div v-if="!businessReadonly" class="flex justify-center gap-6">
                            <MalioButton
                                variant="secondary"
@@ -194,11 +215,13 @@
                            :country-options="countryOptions"
                            :removable="addresses.length > 1"
                            :readonly="businessReadonly"
                            :errors="addressErrors[index]"
                            @update:model-value="(v) => addresses[index] = v"
                            @remove="askRemoveAddress(index)"
                            @degraded="onAddressDegraded"
                        />
                        <p v-if="addresses.length === 0" class="text-center text-black/60">
                            {{ t('commercial.clients.edit.emptyAddresses') }}
                        </p>
                        <div v-if="!businessReadonly" class="flex justify-center gap-6">
                            <MalioButton
                                variant="secondary"
@@ -222,57 +245,45 @@
                <template v-if="canAccountingView" #accounting>
                    <div class="mt-12 flex flex-col gap-6">
                        <div class="bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]">
-                            <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                            <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                                <MalioInputText
                                    v-model="accounting.siren"
                                    :label="t('commercial.clients.form.accounting.siren')"
                                    :mask="SIREN_MASK"
                                    :readonly="accountingReadonly"
                                    :required="true"
                                    :error="accountingErrors.errors.siren"
                                />
                                <MalioInputText
                                    v-model="accounting.accountNumber"
                                    :label="t('commercial.clients.form.accounting.accountNumber')"
                                    :readonly="accountingReadonly"
                                    :required="true"
                                    :error="accountingErrors.errors.accountNumber"
                                />
                                <MalioSelect
                                    :model-value="accounting.tvaModeIri"
                                    :options="tvaModeOptions"
                                    :label="t('commercial.clients.form.accounting.tvaMode')"
-                                    :readonly="accountingReadonly"
+                                    :disabled="accountingReadonly"
                                    empty-option-label=""
                                    :required="true"
                                    :error="accountingErrors.errors.tvaMode"
                                    @update:model-value="(v: string | number | null) => accounting.tvaModeIri = v === null ? null : String(v)"
                                />
                                <MalioInputText
                                    v-model="accounting.nTva"
                                    :label="t('commercial.clients.form.accounting.nTva')"
                                    :readonly="accountingReadonly"
                                    :required="true"
                                    :error="accountingErrors.errors.nTva"
                                />
                                <MalioSelect
                                    :model-value="accounting.paymentDelayIri"
                                    :options="paymentDelayOptions"
                                    :label="t('commercial.clients.form.accounting.paymentDelay')"
-                                    :readonly="accountingReadonly"
+                                    :disabled="accountingReadonly"
                                    empty-option-label=""
                                    :required="true"
                                    :error="accountingErrors.errors.paymentDelay"
                                    @update:model-value="(v: string | number | null) => accounting.paymentDelayIri = v === null ? null : String(v)"
                                />
                                <MalioSelect
                                    :model-value="accounting.paymentTypeIri"
                                    :options="paymentTypeOptions"
                                    :label="t('commercial.clients.form.accounting.paymentType')"
-                                    :readonly="accountingReadonly"
+                                    :disabled="accountingReadonly"
                                    empty-option-label=""
                                    :required="true"
                                    :error="accountingErrors.errors.paymentType"
                                    @update:model-value="onPaymentTypeChange"
                                />
                                <MalioSelect
@@ -280,10 +291,8 @@
                                    :model-value="accounting.bankIri"
                                    :options="bankOptions"
                                    :label="t('commercial.clients.form.accounting.bank')"
-                                    :readonly="accountingReadonly"
+                                    :disabled="accountingReadonly"
                                    empty-option-label=""
                                    :required="true"
                                    :error="accountingErrors.errors.bank"
                                    @update:model-value="(v: string | number | null) => accounting.bankIri = v === null ? null : String(v)"
                                />
                            </div>
@@ -303,27 +312,21 @@
                                v-bind="{ ariaLabel: t('commercial.clients.form.accounting.removeRib') }"
                                @click="askRemoveRib(index)"
                            />
-                            <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                            <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                                <MalioInputText
                                    v-model="rib.label"
                                    :label="t('commercial.clients.form.accounting.ribLabel')"
                                    :readonly="accountingReadonly"
                                    :required="isRibRequired"
                                    :error="ribErrors[index]?.label"
                                />
                                <MalioInputText
                                    v-model="rib.bic"
                                    :label="t('commercial.clients.form.accounting.ribBic')"
                                    :readonly="accountingReadonly"
                                    :required="isRibRequired"
                                    :error="ribErrors[index]?.bic"
                                />
                                <MalioInputText
                                    v-model="rib.iban"
                                    :label="t('commercial.clients.form.accounting.ribIban')"
                                    :readonly="accountingReadonly"
                                    :required="isRibRequired"
                                    :error="ribErrors[index]?.iban"
                                />
                            </div>
                        </div>
@@ -347,10 +350,10 @@
                </template>
                <!-- Onglets non encore implementes : frame vide (navigation libre). -->
-                <template #transport><ComingSoonPlaceholder /></template>
+                <template #transport><TabPlaceholderBlank /></template>
-                <template #statistics><ComingSoonPlaceholder /></template>
+                <template #statistics><TabPlaceholderBlank /></template>
-                <template #reports><ComingSoonPlaceholder /></template>
+                <template #reports><TabPlaceholderBlank /></template>
-                <template #exchanges><ComingSoonPlaceholder /></template>
+                <template #exchanges><TabPlaceholderBlank /></template>
            </MalioTabList>
        </template>
@@ -382,7 +385,6 @@
 import { computed, onMounted, reactive, ref } from 'vue'
 import { useClient } from '~/modules/commercial/composables/useClient'
 import { useClientReferentials, type CategoryOption, type RefOption } from '~/modules/commercial/composables/useClientReferentials'
 import { useClientFormErrors } from '~/modules/commercial/composables/useClientFormErrors'
 import {
    canEditClient,
    categoryOptionsOf,
@@ -410,15 +412,11 @@ import {
    type MainFormDraft,
 } from '~/modules/commercial/utils/clientEdit'
 import {
    addressTypeFromFlags,
    buildClientFormTabKeys,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
 } from '~/modules/commercial/utils/clientFormRules'
 import {
@@ -432,6 +430,7 @@ import {
 import { extractApiErrorMessage } from '~/shared/utils/api'
 // Masques de saisie (la normalisation finale reste serveur).
 const PHONE_MASK = '## ## ## ## ##'
 const SIREN_MASK = '#########'
 const EMPLOYEES_MASK = '#######'
@@ -496,11 +495,6 @@ function hydrate(detail: ClientDetail): void {
    contacts.value = (detail.contacts ?? []).map(mapContactToDraft)
    addresses.value = (detail.addresses ?? []).map(mapAddressToDraft)
    ribs.value = (detail.ribs ?? []).map(mapRibToDraft)
    // Chaque bloc reste visible meme vide : si une collection est vide, on amorce
    // un bloc vierge (non persiste tant qu'incomplet — cf. submit*/canValidate*).
    if (contacts.value.length === 0) contacts.value.push(emptyContact())
    if (addresses.value.length === 0) addresses.value.push(emptyAddress())
    if (ribs.value.length === 0) ribs.value.push(emptyRib())
    // Charge les listes distributeur / courtier si une relation est deja posee.
    if (main.relationType === 'distributeur') referentials.loadDistributors().catch(() => {})
    if (main.relationType === 'courtier') referentials.loadBrokers().catch(() => {})
@@ -619,22 +613,6 @@ function showError(e: unknown, opts: { duplicateCompany?: boolean } = {}): void
    })
 }
 // ── Erreurs de validation par champ (ERP-101) ───────────────────────────────
 // Etat d'erreurs factorise avec l'ecran de creation (cf. useClientFormErrors) :
 // un `useFormErrors` par groupe scalaire + un tableau d'erreurs par ligne pour
 // chaque collection (aligne sur l'index visible). `mapRowError` mappe une 422
 // inline et retourne true ; il ne toaste pas, le fallback `showError` reste
 // local a l'edition (cf. catch des submits de collection).
 const {
    mainErrors,
    informationErrors,
    accountingErrors,
    contactErrors,
    addressErrors,
    ribErrors,
    submitRows,
 } = useClientFormErrors()
 // ── Bloc principal ───────────────────────────────────────────────────────────
 const isMainValid = computed(() => {
    const filled = (v: string | null | undefined) => v !== null && v !== undefined && v.trim() !== ''
@@ -643,6 +621,9 @@ const isMainValid = computed(() => {
        || (main.relationType === 'distributeur' && filled(main.distributorIri))
        || (main.relationType === 'courtier' && filled(main.brokerIri))
    return filled(main.companyName)
        && filled(main.email)
        && filled(main.phonePrimary)
        && (filled(main.firstName) || filled(main.lastName))
        && main.categoryIris.length >= 1
        && relationValid
 })
@@ -662,7 +643,6 @@ async function onRelationChange(value: string | number | null): Promise<void> {
 async function submitMain(): Promise<void> {
    if (businessReadonly.value || !isMainValid.value || mainSubmitting.value) return
    mainSubmitting.value = true
    mainErrors.clearErrors()
    try {
        const updated = await api.patch<ClientDetail>(`/clients/${clientId}`, buildMainPayload(main), {
            headers: { Accept: 'application/ld+json' },
@@ -673,17 +653,7 @@ async function submitMain(): Promise<void> {
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
-        // 409 = doublon nom de societe → erreur inline + toast ; 422 → mapping
+        showError(e, { duplicateCompany: true })
        // inline par champ ; autre → toast de fallback. Cf. ERP-101.
        const status = (e as { response?: { status?: number } })?.response?.status
        if (status === 409) {
            const message = t('commercial.clients.form.duplicateCompany')
            mainErrors.setError('companyName', message)
            toast.error({ title: t('commercial.clients.toast.error'), message })
        }
        else {
            mainErrors.handleApiError(e, { fallbackMessage: t('commercial.clients.toast.error') })
        }
    }
    finally {
        mainSubmitting.value = false
@@ -695,13 +665,12 @@ async function submitMain(): Promise<void> {
 async function submitInformation(): Promise<void> {
    if (businessReadonly.value || tabSubmitting.value) return
    tabSubmitting.value = true
    informationErrors.clearErrors()
    try {
        await api.patch(`/clients/${clientId}`, buildInformationPayload(information), { toast: false })
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
-        informationErrors.handleApiError(e, { fallbackMessage: t('commercial.clients.toast.error') })
+        showError(e)
    }
    finally {
        tabSubmitting.value = false
@@ -725,9 +694,6 @@ function askRemoveContact(index: number): void {
        const removed = contacts.value[index]
        if (removed?.id != null) removedContactIds.value.push(removed.id)
        contacts.value.splice(index, 1)
        contactErrors.value.splice(index, 1)
        // Garde au moins un bloc visible (cf. amorce a l'hydratation).
        if (contacts.value.length === 0) contacts.value.push(emptyContact())
    })
 }
@@ -739,42 +705,28 @@ function askRemoveContact(index: number): void {
 async function submitContacts(): Promise<void> {
    if (businessReadonly.value || !canValidateContacts.value || tabSubmitting.value) return
    tabSubmitting.value = true
    contactErrors.value = []
    try {
        for (const id of removedContactIds.value) {
            await api.delete(`/client_contacts/${id}`, {}, { toast: false })
        }
        removedContactIds.value = []
-        // On tente TOUS les blocs (collecte des erreurs par index, ERP-110). Seuls
+        for (const contact of contacts.value) {
-        // les blocs TOTALEMENT vides sont ignores : un bloc partiellement rempli
+            if (!isContactNamed(contact)) continue
-        // sans nom (email seul) est soumis -> 422 RG-1.05 inline sous le bloc.
+            const body = buildContactPayload(contact)
-        const hasError = await submitRows(
+            if (contact.id === null) {
-            contacts.value,
+                const created = await api.post<{ '@id'?: string, id: number }>(
-            contactErrors,
+                    `/clients/${clientId}/contacts`,
-            async (contact) => {
+                    body,
-                const body = buildContactPayload(contact)
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                if (contact.id === null) {
+                )
-                    const created = await api.post<{ '@id'?: string, id: number }>(
+                contact.id = created.id
-                        `/clients/${clientId}/contacts`,
+                contact.iri = created['@id'] ?? null
-                        body,
+            }
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+            else {
-                    )
+                await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
-                    contact.id = created.id
+            }
-                    contact.iri = created['@id'] ?? null
+        }
                }
                else {
                    await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
                }
            },
            error => showError(error),
            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
            // bloc existant vide est soumis -> 422 RG-1.05 inline (sinon la modif
            // serait perdue en silence avec un faux toast de succes).
            contact => contact.id === null && isContactBlank(contact),
        )
        // Tant qu'un bloc reste en erreur : pas de toast succes.
        if (hasError) return
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -790,10 +742,7 @@ const canValidateAddresses = computed(() =>
    addresses.value.length > 0
    && addresses.value.every((a) => {
        const filledBillingEmail = a.billingEmail !== null && a.billingEmail.trim() !== ''
-        return addressTypeFromFlags(a) !== null
+        return a.siteIris.length >= 1 && (!isBillingEmailRequired(a) || filledBillingEmail)
            && a.siteIris.length >= 1
            && a.categoryIris.length >= 1
            && (!isBillingEmailRequired(a) || filledBillingEmail)
    }),
 )
@@ -806,9 +755,6 @@ function askRemoveAddress(index: number): void {
        const removed = addresses.value[index]
        if (removed?.id != null) removedAddressIds.value.push(removed.id)
        addresses.value.splice(index, 1)
        addressErrors.value.splice(index, 1)
        // Garde au moins un bloc visible (cf. amorce a l'hydratation).
        if (addresses.value.length === 0) addresses.value.push(emptyAddress())
    })
 }
@@ -825,34 +771,26 @@ function onAddressDegraded(): void {
 async function submitAddresses(): Promise<void> {
    if (businessReadonly.value || !canValidateAddresses.value || tabSubmitting.value) return
    tabSubmitting.value = true
    addressErrors.value = []
    try {
        for (const id of removedAddressIds.value) {
            await api.delete(`/client_addresses/${id}`, {}, { toast: false })
        }
        removedAddressIds.value = []
-        // On tente TOUS les blocs d'adresse (collecte des erreurs par index, ERP-110).
+        for (const address of addresses.value) {
-        const hasError = await submitRows(
+            const body = buildAddressPayload(address, isBillingEmailRequired(address))
-            addresses.value,
+            if (address.id === null) {
-            addressErrors,
+                const created = await api.post<{ id: number }>(
-            async (address) => {
+                    `/clients/${clientId}/addresses`,
-                const body = buildAddressPayload(address, isBillingEmailRequired(address))
+                    body,
-                if (address.id === null) {
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                    const created = await api.post<{ id: number }>(
+                )
-                        `/clients/${clientId}/addresses`,
+                address.id = created.id
-                        body,
+            }
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+            else {
-                    )
+                await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
-                    address.id = created.id
+            }
-                }
+        }
                else {
                    await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
                }
            },
            error => showError(error),
        )
        if (hasError) return
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -881,7 +819,6 @@ function ribIsComplete(rib: { label: string | null, bic: string | null, iban: st
 }
 const canValidateAccounting = computed(() => {
    if (!hasAllRequiredAccountingFields(accounting)) return false
    if (isBankRequired.value && accounting.bankIri === null) return false
    if (isRibRequired.value && !ribs.value.some(ribIsComplete)) return false
    return true
@@ -896,9 +833,6 @@ function askRemoveRib(index: number): void {
        const removed = ribs.value[index]
        if (removed?.id != null) removedRibIds.value.push(removed.id)
        ribs.value.splice(index, 1)
        ribErrors.value.splice(index, 1)
        // Garde au moins un bloc RIB visible (cf. amorce a l'hydratation).
        if (ribs.value.length === 0) ribs.value.push(emptyRib())
    })
 }
@@ -911,53 +845,29 @@ function askRemoveRib(index: number): void {
 async function submitAccounting(): Promise<void> {
    if (accountingReadonly.value || !canValidateAccounting.value || tabSubmitting.value) return
    tabSubmitting.value = true
    accountingErrors.clearErrors()
    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
    // des erreurs de RIB obsoletes affichees sous les blocs.
    ribErrors.value = []
    try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
        try {
            await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
        }
        catch (error) {
            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
            return
        }
        for (const id of removedRibIds.value) {
            await api.delete(`/client_ribs/${id}`, {}, { toast: false })
        }
        removedRibIds.value = []
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        for (const rib of ribs.value) {
-        // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
+            if (!ribIsComplete(rib)) continue
-        // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
+            const body = buildRibPayload(rib)
-        const ribHasError = await submitRows(
+            if (rib.id === null) {
-            ribs.value,
+                const created = await api.post<{ id: number }>(
-            ribErrors,
+                    `/clients/${clientId}/ribs`,
-            async (rib) => {
+                    body,
-                const body = buildRibPayload(rib)
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                if (rib.id === null) {
+                )
-                    const created = await api.post<{ id: number }>(
+                rib.id = created.id
-                        `/clients/${clientId}/ribs`,
+            }
-                        body,
+            else {
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+                await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
-                    )
+            }
-                    rib.id = created.id
+        }
                }
                else {
                    await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
                }
            },
            error => showError(error),
            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
            // RIB existant vide est soumis -> 422 NotBlank inline (sinon la modif
            // serait perdue en silence avec un faux toast de succes).
            rib => rib.id === null && isRibBlank(rib),
        )
        if (ribHasError) return
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -52,23 +52,43 @@
                    :label="t('commercial.clients.form.main.companyName')"
                    readonly
                />
                <MalioInputText
                    :model-value="client.lastName"
                    :label="t('commercial.clients.form.main.lastName')"
                    readonly
                />
                <MalioInputText
                    :model-value="client.firstName"
                    :label="t('commercial.clients.form.main.firstName')"
                    readonly
                />
                <MalioSelectCheckbox
                    :model-value="categoryIris"
                    :options="mainCategoryOptions"
                    :label="t('commercial.clients.form.main.categories')"
                    :display-tag="true"
                    disabled
                />
                <MalioInputPhone
                    v-for="(phone, index) in mainPhones"
                    :key="index"
                    :model-value="phone"
                    :label="index === 0 ? t('commercial.clients.form.main.phonePrimary') : t('commercial.clients.form.main.phoneSecondary')"
                    :mask="PHONE_MASK"
                    readonly
                />
                <MalioInputEmail
                    :model-value="client.email"
                    :label="t('commercial.clients.form.main.email')"
                    readonly
                />
                <!-- Relation toujours affichee (vide = « Aucun »), comme en edition. -->
                <MalioSelect
                    v-if="relation.type"
                    :model-value="relation.type"
                    :options="relationOptions"
                    :label="t('commercial.clients.form.main.relation')"
-                    :empty-option-label="t('commercial.clients.form.main.relationNone')"
+                    disabled
                    readonly
                />
                <!-- Nom du distributeur/courtier : conditionnel (libelle type-dependant,
                     aucune valeur sans relation — meme comportement qu'en edition). -->
                <MalioInputText
                    v-if="relation.type"
                    :model-value="relation.name"
@@ -84,7 +104,7 @@
            </div>
            <!-- ── Onglets (navigation libre, tout en lecture seule) ─────────── -->
-            <MalioTabList v-model="activeTab" :tabs="tabs" :max-visible-tabs="5" :max-width="1100" class="mt-[60px]">
+            <MalioTabList v-model="activeTab" :tabs="tabs" class="mt-[60px]">
                <!-- Onglet Information -->
                <template #information>
                    <div class="mt-12 grid grid-cols-4 gap-x-[44px] gap-y-4 bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]">
@@ -94,7 +114,7 @@
                            resize="none"
                            group-class="row-span-2 pt-1"
                            text-input="h-full text-lg"
-                            readonly
+                            disabled
                        />
                        <MalioInputText
                            :model-value="information.competitors"
@@ -114,7 +134,7 @@
                        <MalioInputAmount
                            :model-value="information.revenueAmount"
                            :label="t('commercial.clients.form.information.revenueAmount')"
-                            readonly
+                            disabled
                        />
                        <MalioInputText
                            :model-value="information.directorName"
@@ -124,7 +144,7 @@
                        <MalioInputAmount
                            :model-value="information.profitAmount"
                            :label="t('commercial.clients.form.information.profitAmount')"
-                            readonly
+                            disabled
                        />
                    </div>
                </template>
@@ -139,6 +159,9 @@
                            :title="t('commercial.clients.form.contact.title', { n: index + 1 })"
                            readonly
                        />
                        <p v-if="contacts.length === 0" class="text-center text-black/60">
                            {{ t('commercial.clients.consultation.emptyContacts') }}
                        </p>
                    </div>
                </template>
@@ -151,11 +174,14 @@
                            :model-value="view.draft"
                            :title="t('commercial.clients.form.address.title', { n: index + 1 })"
                            :category-options="view.categoryOptions"
-                            :site-options="allSiteOptions"
+                            :site-options="view.siteOptions"
                            :contact-options="contactOptions"
                            :country-options="countryOptions"
                            readonly
                        />
                        <p v-if="addressViews.length === 0" class="text-center text-black/60">
                            {{ t('commercial.clients.consultation.emptyAddresses') }}
                        </p>
                    </div>
                </template>
@@ -163,7 +189,7 @@
                <template v-if="canAccountingView" #accounting>
                    <div class="mt-12 flex flex-col gap-6">
                        <div class="bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]">
-                            <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                            <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                                <MalioInputText
                                    :model-value="accounting.siren"
                                    :label="t('commercial.clients.form.accounting.siren')"
@@ -180,7 +206,7 @@
                                    :options="tvaModeOptions"
                                    :label="t('commercial.clients.form.accounting.tvaMode')"
                                    empty-option-label=""
-                                    readonly
+                                    disabled
                                />
                                <MalioInputText
                                    :model-value="accounting.nTva"
@@ -192,14 +218,14 @@
                                    :options="paymentDelayOptions"
                                    :label="t('commercial.clients.form.accounting.paymentDelay')"
                                    empty-option-label=""
-                                    readonly
+                                    disabled
                                />
                                <MalioSelect
                                    :model-value="accounting.paymentTypeIri"
                                    :options="paymentTypeOptions"
                                    :label="t('commercial.clients.form.accounting.paymentType')"
                                    empty-option-label=""
-                                    readonly
+                                    disabled
                                />
                                <MalioSelect
                                    v-if="accounting.bankIri"
@@ -207,7 +233,7 @@
                                    :options="bankOptions"
                                    :label="t('commercial.clients.form.accounting.bank')"
                                    empty-option-label=""
-                                    readonly
+                                    disabled
                                />
                            </div>
                        </div>
@@ -218,7 +244,7 @@
                            :key="rib.id ?? index"
                            class="bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]"
                        >
-                            <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                            <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                                <MalioInputText
                                    :model-value="rib.label"
                                    :label="t('commercial.clients.form.accounting.ribLabel')"
@@ -240,10 +266,10 @@
                </template>
                <!-- Onglets non encore implementes : frame vide (navigation libre). -->
-                <template #transport><ComingSoonPlaceholder /></template>
+                <template #transport><TabPlaceholderBlank /></template>
-                <template #statistics><ComingSoonPlaceholder /></template>
+                <template #statistics><TabPlaceholderBlank /></template>
-                <template #reports><ComingSoonPlaceholder /></template>
+                <template #reports><TabPlaceholderBlank /></template>
-                <template #exchanges><ComingSoonPlaceholder /></template>
+                <template #exchanges><TabPlaceholderBlank /></template>
            </MalioTabList>
        </template>
@@ -293,9 +319,10 @@ import {
    type ClientDetail,
    type SelectOption,
 } from '~/modules/commercial/utils/clientConsultation'
-import { emptyAddress, emptyContact, emptyRib } from '~/modules/commercial/types/clientForm'
+import { formatPhoneFR } from '~/shared/utils/phone'
-// Masque d'affichage (purement visuel, la donnee reste celle du serveur).
+// Masques d'affichage (purement visuels, la donnee reste celle du serveur).
 const PHONE_MASK = '## ## ## ## ##'
 const SIREN_MASK = '#########'
 const { t } = useI18n()
@@ -303,7 +330,6 @@ const route = useRoute()
 const router = useRouter()
 const toast = useToast()
 const { can, canAny } = usePermissions()
 const authStore = useAuthStore()
 // Gating de la route : la consultation exige `view`. Usine (sans view) est
 // redirige vers le repertoire (lui-meme protege). Cf. matrice § 2.7.
@@ -328,6 +354,13 @@ const headerTitle = computed(() => client.value?.companyName ?? t('commercial.cl
 const relation = computed(() => (client.value ? relationOf(client.value) : { type: null, name: null }))
 const categoryIris = computed(() => (client.value?.categories ?? []).map(c => c['@id']))
 // Telephones du formulaire principal, formates XX XX XX XX XX (RG d'affichage).
 const mainPhones = computed(() =>
    [client.value?.phonePrimary, client.value?.phoneSecondary]
        .filter((p): p is string => Boolean(p))
        .map(formatPhoneFR),
 )
 const information = computed(() => ({
    description: client.value?.description ?? null,
    competitors: client.value?.competitors ?? null,
@@ -339,21 +372,10 @@ const information = computed(() => ({
    directorName: client.value?.directorName ?? null,
 }))
-// Chaque bloc reste visible meme vide en consultation : si la collection est
+const contacts = computed(() => (client.value?.contacts ?? []).map(mapContactToDraft))
 // vide, on affiche un bloc vierge en lecture seule (pas de message « Aucun … »).
 const contacts = computed(() => {
    const list = (client.value?.contacts ?? []).map(mapContactToDraft)
    return list.length ? list : [emptyContact()]
 })
 // Vue par adresse : brouillon + options (sites/categories) propres a l'adresse.
-const addressViews = computed(() => {
+const addressViews = computed(() => (client.value?.addresses ?? []).map(mapAddressView))
-    const views = (client.value?.addresses ?? []).map(mapAddressView)
+const ribs = computed(() => (client.value?.ribs ?? []).map(mapRibToDraft))
    return views.length ? views : [{ draft: emptyAddress(), siteOptions: [], categoryOptions: [] }]
 })
 const ribs = computed(() => {
    const list = (client.value?.ribs ?? []).map(mapRibToDraft)
    return list.length ? list : [emptyRib()]
 })
 // Draft comptable (tout null si l'utilisateur n'a pas accounting.view).
 const accounting = computed(() => mapAccountingDraft(client.value ?? ({} as ClientDetail)))
@@ -363,18 +385,6 @@ const accounting = computed(() => mapAccountingDraft(client.value ?? ({} as Clie
 const mainCategoryOptions = computed(() => categoryOptionsOf(client.value?.categories))
 const contactOptions = computed(() => contactOptionsOf(client.value?.contacts))
 // Liste COMPLETE des sites disponibles, issue de /api/me (groupe me:read — donc
 // pas de 403 pour les roles metier, contrairement a GET /sites). Libelle = numero
 // de departement (2 premiers chiffres du code postal). Permet d'afficher TOUJOURS
 // toutes les cases « Sites » (86 / 17 / 82) dans le bloc adresse, meme celles non
 // rattachees a l'adresse consultee (les rattachees restent cochees via siteIris).
 const allSiteOptions = computed<SelectOption[]>(() =>
    (authStore.user?.sites ?? []).map(s => ({
        value: `/api/sites/${s.id}`,
        label: (s.postalCode ?? '').slice(0, 2),
    })),
 )
 const relationOptions = computed<SelectOption[]>(() => [
    { value: 'distributeur', label: t('commercial.clients.form.main.relationDistributor') },
    { value: 'courtier', label: t('commercial.clients.form.main.relationBroker') },
@@ -22,24 +22,50 @@
                :label="t('commercial.clients.form.main.companyName')"
                :required="true"
                :readonly="mainLocked"
-                :error="mainErrors.errors.companyName"
+            />
            <MalioInputText
                v-model="main.lastName"
                :label="t('commercial.clients.form.main.lastName')"
                :readonly="mainLocked"
            />
            <MalioInputText
                v-model="main.firstName"
                :label="t('commercial.clients.form.main.firstName')"
                :readonly="mainLocked"
            />
            <MalioSelectCheckbox
                :model-value="main.categoryIris"
                :options="referentials.categories.value"
                :label="t('commercial.clients.form.main.categories')"
                :display-tag="true"
-                :readonly="mainLocked"
+                :disabled="mainLocked"
                :required="true"
                :error="mainErrors.errors.categories"
                @update:model-value="(v: (string | number)[]) => main.categoryIris = v.map(String)"
            />
            <!-- Telephones : 1 par defaut, le bouton « + » revele le 2e (max 2, RG-1.02). -->
            <MalioInputPhone
                v-for="(_, index) in mainPhones"
                :key="index"
                v-model="mainPhones[index]"
                :label="t('commercial.clients.form.main.phonePrimary')"
                :mask="PHONE_MASK"
                :required="index === 0"
                :readonly="mainLocked"
                add-icon-name="mdi:plus"
                :addable="mainPhones.length === 1 && !mainLocked"
                :add-button-label="t('commercial.clients.form.main.addPhone')"
                @add="addMainPhone"
            />
            <MalioInputEmail
                v-model="main.email"
                :label="t('commercial.clients.form.main.email')"
                :required="true"
                :readonly="mainLocked"
            />
            <MalioSelect
                :model-value="main.relationType"
                :options="relationOptions"
                :label="t('commercial.clients.form.main.relation')"
-                :empty-option-label="t('commercial.clients.form.main.relationNone')"
+                :disabled="mainLocked"
                :readonly="mainLocked"
                @update:model-value="onRelationChange"
            />
            <MalioSelect
@@ -47,9 +73,7 @@
                :model-value="main.brokerIri"
                :options="referentials.brokers.value"
                :label="t('commercial.clients.form.main.brokerName')"
-                :readonly="mainLocked"
+                :disabled="mainLocked"
                :required="true"
                :error="mainErrors.errors.broker"
                @update:model-value="(v: string | number | null) => main.brokerIri = v === null ? null : String(v)"
            />
            <MalioSelect
@@ -57,9 +81,7 @@
                :model-value="main.distributorIri"
                :options="referentials.distributors.value"
                :label="t('commercial.clients.form.main.distributorName')"
-                :readonly="mainLocked"
+                :disabled="mainLocked"
                :required="true"
                :error="mainErrors.errors.distributor"
                @update:model-value="(v: string | number | null) => main.distributorIri = v === null ? null : String(v)"
            />
            <MalioCheckbox
@@ -92,45 +114,38 @@
                        resize="none"
                        group-class="row-span-2 pt-1"
                        text-input="h-full text-lg"
-                        :readonly="isValidated('information')"
+                        :disabled="isValidated('information')"
                        :error="informationErrors.errors.description"
                    />
                    <MalioInputText
                        v-model="information.competitors"
                        :label="t('commercial.clients.form.information.competitors')"
                        :readonly="isValidated('information')"
                        :error="informationErrors.errors.competitors"
                    />
                    <MalioDate
                        v-model="information.foundedAt"
                        :label="t('commercial.clients.form.information.foundedAt')"
                        :readonly="isValidated('information')"
                        :error="informationErrors.errors.foundedAt"
                    />
                    <MalioInputText
                        v-model="information.employeesCount"
                        :label="t('commercial.clients.form.information.employeesCount')"
                        :mask="EMPLOYEES_MASK"
                        :readonly="isValidated('information')"
                        :error="informationErrors.errors.employeesCount"
                    />
                    <MalioInputAmount
                        v-model="information.revenueAmount"
                        :label="t('commercial.clients.form.information.revenueAmount')"
-                        :readonly="isValidated('information')"
+                        :disabled="isValidated('information')"
                        :error="informationErrors.errors.revenueAmount"
                    />
                    <MalioInputText
                        v-model="information.directorName"
                        :label="t('commercial.clients.form.information.directorName')"
                        :readonly="isValidated('information')"
                        :error="informationErrors.errors.directorName"
                    />
                    <MalioInputAmount
                        v-model="information.profitAmount"
                        :label="t('commercial.clients.form.information.profitAmount')"
-                        :readonly="isValidated('information')"
+                        :disabled="isValidated('information')"
                        :error="informationErrors.errors.profitAmount"
                    />
                </div>
                <div v-if="!isValidated('information')" class="mt-12 flex justify-center">
@@ -156,7 +171,6 @@
                        :title="t('commercial.clients.form.contact.title', { n: index + 1 })"
                        :removable="index > 0"
                        :readonly="isValidated('contact')"
                        :errors="contactErrors[index]"
                        @update:model-value="(v) => contacts[index] = v"
                        @remove="askRemoveContact(index)"
                    />
@@ -193,7 +207,6 @@
                        :country-options="countryOptions"
                        :removable="index > 0"
                        :readonly="isValidated('address')"
                        :errors="addressErrors[index]"
                        @update:model-value="(v) => addresses[index] = v"
                        @remove="askRemoveAddress(index)"
                        @degraded="onAddressDegraded"
@@ -220,57 +233,45 @@
            <template v-if="canAccountingView" #accounting>
                <div class="mt-12 flex flex-col gap-6">
                    <div class="bg-white py-4 pl-[28px] pr-[60px] shadow-[0_4px_4px_0_rgba(0,0,0,0.25)]">
-                        <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                        <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                            <MalioInputText
                                v-model="accounting.siren"
                                :label="t('commercial.clients.form.accounting.siren')"
                                :mask="SIREN_MASK"
                                :readonly="accountingReadonly"
                                :required="true"
                                :error="accountingErrors.errors.siren"
                            />
                            <MalioInputText
                                v-model="accounting.accountNumber"
                                :label="t('commercial.clients.form.accounting.accountNumber')"
                                :readonly="accountingReadonly"
                                :required="true"
                                :error="accountingErrors.errors.accountNumber"
                            />
                            <MalioSelect
                                :model-value="accounting.tvaModeIri"
                                :options="referentials.tvaModes.value"
                                :label="t('commercial.clients.form.accounting.tvaMode')"
-                                :readonly="accountingReadonly"
+                                :disabled="accountingReadonly"
                                empty-option-label=""
                                :required="true"
                                :error="accountingErrors.errors.tvaMode"
                                @update:model-value="(v: string | number | null) => accounting.tvaModeIri = v === null ? null : String(v)"
                            />
                            <MalioInputText
                                v-model="accounting.nTva"
                                :label="t('commercial.clients.form.accounting.nTva')"
                                :readonly="accountingReadonly"
                                :required="true"
                                :error="accountingErrors.errors.nTva"
                            />
                            <MalioSelect
                                :model-value="accounting.paymentDelayIri"
                                :options="referentials.paymentDelays.value"
                                :label="t('commercial.clients.form.accounting.paymentDelay')"
-                                :readonly="accountingReadonly"
+                                :disabled="accountingReadonly"
                                empty-option-label=""
                                :required="true"
                                :error="accountingErrors.errors.paymentDelay"
                                @update:model-value="(v: string | number | null) => accounting.paymentDelayIri = v === null ? null : String(v)"
                            />
                            <MalioSelect
                                :model-value="accounting.paymentTypeIri"
                                :options="referentials.paymentTypes.value"
                                :label="t('commercial.clients.form.accounting.paymentType')"
-                                :readonly="accountingReadonly"
+                                :disabled="accountingReadonly"
                                empty-option-label=""
                                :required="true"
                                :error="accountingErrors.errors.paymentType"
                                @update:model-value="onPaymentTypeChange"
                            />
                            <MalioSelect
@@ -278,10 +279,8 @@
                                :model-value="accounting.bankIri"
                                :options="referentials.banks.value"
                                :label="t('commercial.clients.form.accounting.bank')"
-                                :readonly="accountingReadonly"
+                                :disabled="accountingReadonly"
                                empty-option-label=""
                                :required="true"
                                :error="accountingErrors.errors.bank"
                                @update:model-value="(v: string | number | null) => accounting.bankIri = v === null ? null : String(v)"
                            />
                        </div>
@@ -302,27 +301,21 @@
                            v-bind="{ ariaLabel: t('commercial.clients.form.accounting.removeRib') }"
                            @click="askRemoveRib(index)"
                        />
-                        <div class="grid grid-cols-4 gap-x-[44px] gap-y-4">
+                        <div class="grid grid-cols-3 gap-x-[80px] gap-y-5">
                            <MalioInputText
                                v-model="rib.label"
                                :label="t('commercial.clients.form.accounting.ribLabel')"
                                :readonly="accountingReadonly"
                                :required="isRibRequired"
                                :error="ribErrors[index]?.label"
                            />
                            <MalioInputText
                                v-model="rib.bic"
                                :label="t('commercial.clients.form.accounting.ribBic')"
                                :readonly="accountingReadonly"
                                :required="isRibRequired"
                                :error="ribErrors[index]?.bic"
                            />
                            <MalioInputText
                                v-model="rib.iban"
                                :label="t('commercial.clients.form.accounting.ribIban')"
                                :readonly="accountingReadonly"
                                :required="isRibRequired"
                                :error="ribErrors[index]?.iban"
                            />
                        </div>
                    </div>
@@ -348,7 +341,7 @@
            <!-- Onglet non encore implemente : frame vide, passage automatique.
                 Statistiques / Rapports / Echanges sont edit-only (absents a la
                 creation) — cf. buildClientFormTabKeys. -->
-            <template #transport><ComingSoonPlaceholder /></template>
+            <template #transport><TabPlaceholderBlank /></template>
        </MalioTabList>
        <!-- Modal de confirmation generique (suppression contact/adresse/RIB). -->
@@ -378,18 +371,13 @@
 <script setup lang="ts">
 import { computed, onMounted, reactive, ref, watch } from 'vue'
 import { useClientReferentials, type RefOption } from '~/modules/commercial/composables/useClientReferentials'
 import { useClientFormErrors } from '~/modules/commercial/composables/useClientFormErrors'
 import {
    addressTypeFromFlags,
    buildClientFormTabKeys,
    CLIENT_FORM_PLACEHOLDER_TABS,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
 } from '~/modules/commercial/utils/clientFormRules'
 import {
@@ -400,9 +388,11 @@ import {
    type ContactFormDraft,
    type RibFormDraft,
 } from '~/modules/commercial/types/clientForm'
 import { formatPhoneFR } from '~/shared/utils/phone'
 import { extractApiErrorMessage } from '~/shared/utils/api'
 // Masques de saisie (la normalisation finale reste serveur).
 const PHONE_MASK = '## ## ## ## ##'
 const SIREN_MASK = '#########'
 // Masque « nombre » du champ Nombre de salaries : chiffres uniquement (max 7).
 const EMPLOYEES_MASK = '#######'
@@ -432,22 +422,6 @@ function apiErrorMessage(error: unknown): string {
    return extractApiErrorMessage(data) || t('commercial.clients.toast.error')
 }
 // ── Erreurs de validation par champ (ERP-101) ───────────────────────────────
 // Etat d'erreurs factorise entre creation et edition (cf. useClientFormErrors) :
 // un `useFormErrors` par groupe scalaire (Principal / Information / Comptabilite)
 // + un tableau d'erreurs par ligne pour chaque collection (contacts/adresses/RIB).
 // `mapRowError` mappe une 422 inline et retourne true ; il ne toaste pas, le
 // fallback reste local a la creation (cf. catch des submits de collection).
 const {
    mainErrors,
    informationErrors,
    accountingErrors,
    contactErrors,
    addressErrors,
    ribErrors,
    submitRows,
 } = useClientFormErrors()
 useHead({ title: t('commercial.clients.form.title') })
 // Gating de la route : la creation est reservee a `manage`. Compta (accounting
@@ -470,6 +444,9 @@ const tabSubmitting = ref(false)
 // ── Formulaire principal ────────────────────────────────────────────────────
 const main = reactive({
    companyName: null as string | null,
    firstName: null as string | null,
    lastName: null as string | null,
    email: null as string | null,
    categoryIris: [] as string[],
    relationType: null as 'distributeur' | 'courtier' | null,
    distributorIri: null as string | null,
@@ -477,6 +454,17 @@ const main = reactive({
    triageService: false,
 })
 // Telephones du formulaire principal : 1 par defaut, 2 au maximum (RG-1.02).
 // L'index 0 alimente phonePrimary, l'index 1 phoneSecondary au POST.
 const mainPhones = ref<string[]>([''])
 /** Revele le 2e numero (le bouton « + » disparait une fois a 2, RG-1.02). */
 function addMainPhone(): void {
    if (mainPhones.value.length === 1) {
        mainPhones.value.push('')
    }
 }
 // Pas d'option « Aucun » : le select est vide par defaut (relationType = null).
 const relationOptions = computed<RefOption[]>(() => [
    { value: 'distributeur', label: t('commercial.clients.form.main.relationDistributor') },
@@ -484,11 +472,10 @@ const relationOptions = computed<RefOption[]>(() => [
 ])
 // Validation du formulaire principal (gate le bouton « Valider ») :
-//  - companyName / >= 1 categorie obligatoires ;
+//  - companyName / email / telephone principal / >= 1 categorie obligatoires ;
-//  - relation Distributeur/Courtier optionnelle, mais le nom correspondant
+//  - RG-1.01 : nom OU prenom du contact principal ;
-//    devient requis si l'un des deux est choisi (spec fonctionnelle).
+//  - relation Distributeur/Courtier obligatoire (un des deux), ET le nom
-// Les coordonnees de contact ne sont plus saisies ici : elles vivent dans
+//    correspondant obligatoire selon le choix (spec fonctionnelle).
 // l'onglet Contacts (RG-1.05/1.14 garantissent >= 1 contact valide).
 const isMainValid = computed(() => {
    const filled = (v: string | null | undefined) => v !== null && v !== undefined && v.trim() !== ''
    // Relation Distributeur/Courtier OPTIONNELLE ; mais si « Depend du
@@ -498,6 +485,9 @@ const isMainValid = computed(() => {
        || (main.relationType === 'distributeur' && filled(main.distributorIri))
        || (main.relationType === 'courtier' && filled(main.brokerIri))
    return filled(main.companyName)
        && filled(main.email)
        && filled(mainPhones.value[0])
        && (filled(main.firstName) || filled(main.lastName))
        && main.categoryIris.length >= 1
        && relationValid
 })
@@ -519,10 +509,14 @@ async function onRelationChange(value: string | number | null): Promise<void> {
 async function submitMain(): Promise<void> {
    if (!isMainValid.value || mainSubmitting.value) return
    mainSubmitting.value = true
    mainErrors.clearErrors()
    try {
        const payload: Record<string, unknown> = {
            companyName: main.companyName,
            firstName: main.firstName || null,
            lastName: main.lastName || null,
            email: main.email,
            phonePrimary: mainPhones.value[0] || null,
            phoneSecondary: mainPhones.value[1] || null,
            categories: main.categoryIris,
            distributor: main.relationType === 'distributeur' ? main.distributorIri : null,
            broker: main.relationType === 'courtier' ? main.brokerIri : null,
@@ -534,8 +528,18 @@ async function submitMain(): Promise<void> {
        })
        clientId.value = created.id
-        // Reaffiche la valeur normalisee renvoyee par le serveur.
+        // Reaffiche les valeurs normalisees renvoyees par le serveur.
        main.companyName = created.companyName ?? main.companyName
        main.firstName = created.firstName ?? null
        main.lastName = created.lastName ?? null
        main.email = created.email ?? main.email
        // Reaffiche les telephones normalises (reformates via formatPhoneFR).
        const normalizedPhones = [formatPhoneFR(created.phonePrimary), formatPhoneFR(created.phoneSecondary)]
            .filter(p => p !== '')
        mainPhones.value = normalizedPhones.length > 0 ? normalizedPhones : ['']
        // Pre-remplit le 1er contact a partir du formulaire principal (editable).
        prefillFirstContact()
        mainLocked.value = true
        unlockedIndex.value = 0
@@ -543,18 +547,15 @@ async function submitMain(): Promise<void> {
        toast.success({ title: t('commercial.clients.toast.createSuccess') })
    }
    catch (error) {
-        // 409 = doublon nom de societe (RG d'unicite) → erreur inline sur le
+        // 409 = doublon nom de societe (RG d'unicite) → message explicite ;
-        // champ + toast explicite ; 422 → mapping inline par champ (pas de
+        // sinon on remonte le message de validation du serveur (ex: 422).
        // toast) ; autre → toast de fallback. Cf. ERP-101.
        const status = (error as { response?: { status?: number } })?.response?.status
-        if (status === 409) {
+        toast.error({
-            const message = t('commercial.clients.form.duplicateCompany')
+            title: t('commercial.clients.toast.error'),
-            mainErrors.setError('companyName', message)
+            message: status === 409
-            toast.error({ title: t('commercial.clients.toast.error'), message })
+                ? t('commercial.clients.form.duplicateCompany')
-        }
+                : apiErrorMessage(error),
-        else {
+        })
            mainErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
        }
    }
    finally {
        mainSubmitting.value = false
@@ -629,7 +630,6 @@ const information = reactive({
 async function submitInformation(): Promise<void> {
    if (clientId.value === null || tabSubmitting.value) return
    tabSubmitting.value = true
    informationErrors.clearErrors()
    try {
        await api.patch(`/clients/${clientId.value}`, {
            description: information.description || null,
@@ -644,7 +644,7 @@ async function submitInformation(): Promise<void> {
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (error) {
-        informationErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
+        toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
    }
    finally {
        tabSubmitting.value = false
@@ -652,10 +652,18 @@ async function submitInformation(): Promise<void> {
 }
 // ── Onglet Contact ──────────────────────────────────────────────────────────
 // Au moins un bloc Contact vide au depart : c'est desormais le seul point de
 // saisie des coordonnees (le bloc principal ne porte plus de contact inline).
 const contacts = ref<ContactFormDraft[]>([emptyContact()])
 /** Pre-remplit le 1er contact depuis le formulaire principal (apres creation). */
 function prefillFirstContact(): void {
    const first = contacts.value[0]
    if (!first) return
    first.lastName = main.lastName
    first.firstName = main.firstName
    first.email = main.email
    first.phonePrimary = mainPhones.value[0] ?? null
 }
 // « + Nouveau contact » desactive tant que le dernier bloc n'a ni nom ni prenom.
 const canAddContact = computed(() => {
    const last = contacts.value[contacts.value.length - 1]
@@ -672,7 +680,6 @@ function addContact(): void {
 function askRemoveContact(index: number): void {
    askConfirm(t('commercial.clients.form.confirmDelete.contact'), () => {
        contacts.value.splice(index, 1)
        contactErrors.value.splice(index, 1)
    })
 }
@@ -681,45 +688,38 @@ async function submitContacts(): Promise<void> {
    if (clientId.value === null || !canValidateContacts.value || tabSubmitting.value) return
    tabSubmitting.value = true
    try {
-        // On tente TOUS les blocs (collecte des erreurs par index, ERP-110). Seuls
+        for (const contact of contacts.value) {
-        // les blocs TOTALEMENT vides sont ignores : un bloc partiellement rempli
+            // On ignore les blocs totalement vides (ni nom ni prenom).
-        // sans nom (email seul) est soumis -> 422 RG-1.05 inline sous le bloc.
+            if (!isContactNamed(contact)) continue
-        const hasError = await submitRows(
+
-            contacts.value,
+            const body = {
-            contactErrors,
+                firstName: contact.firstName || null,
-            async (contact) => {
+                lastName: contact.lastName || null,
-                const body = {
+                jobTitle: contact.jobTitle || null,
-                    firstName: contact.firstName || null,
+                phonePrimary: contact.phonePrimary || null,
-                    lastName: contact.lastName || null,
+                phoneSecondary: contact.hasSecondaryPhone ? (contact.phoneSecondary || null) : null,
-                    jobTitle: contact.jobTitle || null,
+                email: contact.email || null,
-                    phonePrimary: contact.phonePrimary || null,
+            }
-                    phoneSecondary: contact.hasSecondaryPhone ? (contact.phoneSecondary || null) : null,
+
-                    email: contact.email || null,
+            if (contact.id === null) {
-                }
+                const created = await api.post<ContactResponse>(
-                if (contact.id === null) {
+                    `/clients/${clientId.value}/contacts`,
-                    const created = await api.post<ContactResponse>(
+                    body,
-                        `/clients/${clientId.value}/contacts`,
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                        body,
+                )
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+                contact.id = created.id
-                    )
+                contact.iri = created['@id'] ?? null
-                    contact.id = created.id
+            }
-                    contact.iri = created['@id'] ?? null
+            else {
-                }
+                await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
-                else {
+            }
-                    await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
+        }
                }
            },
            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
            // bloc existant vide est soumis -> 422 RG-1.05 inline (sinon la modif
            // serait perdue en silence avec un faux toast de succes).
            contact => contact.id === null && isContactBlank(contact),
        )
        // Tant qu'un bloc reste en erreur : pas de validation d'onglet ni de toast succes.
        if (hasError) return
        completeTab('contact')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (error) {
        toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
    }
    finally {
        tabSubmitting.value = false
    }
@@ -750,16 +750,12 @@ const countryOptions: RefOption[] = [
    { value: 'Espagne', label: 'Espagne' },
 ]
-// Type d'adresse (Select) obligatoire + RG-1.10 (>= 1 site) + RG-1.11 (email
+// RG-1.10 (>= 1 site) + RG-1.11 (email facturation si Facturation) sur chaque adresse.
 // facturation si Facturation) sur chaque adresse.
 const canValidateAddresses = computed(() =>
    addresses.value.length > 0
    && addresses.value.every((a) => {
        const filledBillingEmail = a.billingEmail !== null && a.billingEmail.trim() !== ''
-        return addressTypeFromFlags(a) !== null
+        return a.siteIris.length >= 1 && (!isBillingEmailRequired(a) || filledBillingEmail)
            && a.siteIris.length >= 1
            && a.categoryIris.length >= 1
            && (!isBillingEmailRequired(a) || filledBillingEmail)
    }),
 )
@@ -770,7 +766,6 @@ function addAddress(): void {
 function askRemoveAddress(index: number): void {
    askConfirm(t('commercial.clients.form.confirmDelete.address'), () => {
        addresses.value.splice(index, 1)
        addressErrors.value.splice(index, 1)
    })
 }
@@ -789,43 +784,40 @@ async function submitAddresses(): Promise<void> {
    if (clientId.value === null || !canValidateAddresses.value || tabSubmitting.value) return
    tabSubmitting.value = true
    try {
-        // On tente TOUS les blocs d'adresse (collecte des erreurs par index, ERP-110).
+        for (const address of addresses.value) {
-        const hasError = await submitRows(
+            const body = {
-            addresses.value,
+                isProspect: address.isProspect,
-            addressErrors,
+                isDelivery: address.isDelivery,
-            async (address) => {
+                isBilling: address.isBilling,
-                const body = {
+                country: address.country,
-                    isProspect: address.isProspect,
+                postalCode: address.postalCode || null,
-                    isDelivery: address.isDelivery,
+                city: address.city || null,
-                    isBilling: address.isBilling,
+                street: address.street || null,
-                    country: address.country,
+                streetComplement: address.streetComplement || null,
-                    postalCode: address.postalCode || null,
+                categories: address.categoryIris,
-                    city: address.city || null,
+                sites: address.siteIris,
-                    street: address.street || null,
+                contacts: address.contactIris,
-                    streetComplement: address.streetComplement || null,
+                billingEmail: isBillingEmailRequired(address) ? (address.billingEmail || null) : null,
-                    categories: address.categoryIris,
+            }
-                    sites: address.siteIris,
+
-                    contacts: address.contactIris,
+            if (address.id === null) {
-                    billingEmail: isBillingEmailRequired(address) ? (address.billingEmail || null) : null,
+                const created = await api.post<{ id: number }>(
-                }
+                    `/clients/${clientId.value}/addresses`,
-                if (address.id === null) {
+                    body,
-                    const created = await api.post<{ id: number }>(
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                        `/clients/${clientId.value}/addresses`,
+                )
-                        body,
+                address.id = created.id
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+            }
-                    )
+            else {
-                    address.id = created.id
+                await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
-                }
+            }
-                else {
+        }
                    await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
                }
            },
            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
        )
        if (hasError) return
        completeTab('address')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (error) {
        toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
    }
    finally {
        tabSubmitting.value = false
    }
@@ -864,11 +856,8 @@ function ribIsComplete(rib: RibFormDraft): boolean {
    return filled(rib.label) && filled(rib.bic) && filled(rib.iban)
 }
 // RG-1.30 : les 6 champs scalaires obligatoires (comme les onglets Contact /
 // Adresse, le bouton reste desactive tant que l'onglet n'est pas complet).
 // RG-1.12 : banque requise si VIREMENT. RG-1.13 : >= 1 RIB complet si LCR.
 const canValidateAccounting = computed(() => {
    if (!hasAllRequiredAccountingFields(accounting)) return false
    if (isBankRequired.value && (accounting.bankIri === null)) return false
    if (isRibRequired.value && !ribs.value.some(ribIsComplete)) return false
    return true
@@ -881,9 +870,6 @@ function addRib(): void {
 function askRemoveRib(index: number): void {
    askConfirm(t('commercial.clients.form.confirmDelete.rib'), () => {
        ribs.value.splice(index, 1)
        ribErrors.value.splice(index, 1)
        // Garde au moins un bloc RIB visible (cf. amorce au montage).
        if (ribs.value.length === 0) ribs.value.push(emptyRib())
    })
 }
@@ -895,60 +881,38 @@ function askRemoveRib(index: number): void {
 async function submitAccounting(): Promise<void> {
    if (clientId.value === null || !canValidateAccounting.value || tabSubmitting.value) return
    tabSubmitting.value = true
    accountingErrors.clearErrors()
    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
    // des erreurs de RIB obsoletes affichees sous les blocs.
    ribErrors.value = []
    try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        await api.patch(`/clients/${clientId.value}`, {
-        try {
+            siren: accounting.siren || null,
-            await api.patch(`/clients/${clientId.value}`, {
+            accountNumber: accounting.accountNumber || null,
-                siren: accounting.siren || null,
+            tvaMode: accounting.tvaModeIri,
-                accountNumber: accounting.accountNumber || null,
+            nTva: accounting.nTva || null,
-                tvaMode: accounting.tvaModeIri,
+            paymentDelay: accounting.paymentDelayIri,
-                nTva: accounting.nTva || null,
+            paymentType: accounting.paymentTypeIri,
-                paymentDelay: accounting.paymentDelayIri,
+            bank: isBankRequired.value ? accounting.bankIri : null,
-                paymentType: accounting.paymentTypeIri,
+        }, { toast: false })
                bank: isBankRequired.value ? accounting.bankIri : null,
            }, { toast: false })
        }
        catch (error) {
            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
            return
        }
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        for (const rib of ribs.value) {
-        // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
+            if (!ribIsComplete(rib)) continue
-        // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
+            if (rib.id === null) {
-        const ribHasError = await submitRows(
+                const created = await api.post<{ id: number }>(
-            ribs.value,
+                    `/clients/${clientId.value}/ribs`,
-            ribErrors,
+                    { label: rib.label, bic: rib.bic, iban: rib.iban },
-            async (rib) => {
+                    { headers: { Accept: 'application/ld+json' }, toast: false },
-                const body = { label: rib.label, bic: rib.bic, iban: rib.iban }
+                )
-                if (rib.id === null) {
+                rib.id = created.id
-                    const created = await api.post<{ id: number }>(
+            }
-                        `/clients/${clientId.value}/ribs`,
+            else {
-                        body,
+                await api.patch(`/client_ribs/${rib.id}`, { label: rib.label, bic: rib.bic, iban: rib.iban }, { toast: false })
-                        { headers: { Accept: 'application/ld+json' }, toast: false },
+            }
-                    )
+        }
                    rib.id = created.id
                }
                else {
                    await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
                }
            },
            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
            // RIB existant vide est soumis -> 422 NotBlank inline (sinon la modif
            // serait perdue en silence avec un faux toast de succes).
            rib => rib.id === null && isRibBlank(rib),
        )
        if (ribHasError) return
        completeTab('accounting')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (error) {
        toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
    }
    finally {
        tabSubmitting.value = false
    }
@@ -977,6 +941,11 @@ function runConfirm(): void {
 interface ClientResponse {
    id: number
    companyName: string | null
    firstName: string | null
    lastName: string | null
    email: string | null
    phonePrimary: string | null
    phoneSecondary: string | null
 }
 interface ContactResponse {
@@ -987,8 +956,5 @@ interface ContactResponse {
 onMounted(() => {
    // Echec du chargement des referentiels non bloquant : les selects restent vides.
    referentials.loadCommon().catch(() => {})
    // Au moins un bloc RIB toujours visible en creation : on amorce un bloc vide
    // (non persiste tant qu'incomplet — RG-1.13).
    if (ribs.value.length === 0) ribs.value.push(emptyRib())
 })
 </script>
@@ -22,6 +22,12 @@ import type { AddressFormDraft, ContactFormDraft, RibFormDraft } from '~/modules
 function mainDraft(overrides: Partial<MainFormDraft> = {}): MainFormDraft {
    return {
        companyName: 'ACME',
        firstName: 'Jean',
        lastName: 'Dupont',
        email: 'jean@acme.fr',
        phonePrimary: '05 49 11 22 33',
        phoneSecondary: null,
        hasSecondaryPhone: false,
        categoryIris: ['/api/categories/1'],
        relationType: null,
        distributorIri: null,
@@ -58,10 +64,9 @@ function accountingDraft(overrides: Partial<AccountingFormDraft> = {}): Accounti
 }
 // Champs de chaque groupe de serialisation (miroir back ClientProcessor).
 // Le contact inline (nom/prenom/telephones/email) ne fait plus partie du groupe
 // main : les coordonnees vivent desormais sur la sous-ressource ClientContact.
 const MAIN_KEYS = [
-    'companyName', 'categories', 'distributor', 'broker', 'triageService',
+    'companyName', 'firstName', 'lastName', 'email', 'phonePrimary',
    'phoneSecondary', 'categories', 'distributor', 'broker', 'triageService',
 ]
 const INFORMATION_KEYS = [
    'description', 'competitors', 'foundedAt', 'employeesCount',
@@ -99,6 +104,11 @@ describe('buildMainPayload — scoping strict groupe client:write:main', () => {
        expect(payload.distributor).toBeNull()
        expect(payload.broker).toBeNull()
    })
    it('telephone secondaire non revele : envoie null meme si une valeur traine', () => {
        const payload = buildMainPayload(mainDraft({ hasSecondaryPhone: false, phoneSecondary: '06 00 00 00 00' }))
        expect(payload.phoneSecondary).toBeNull()
    })
 })
 describe('buildInformationPayload — scoping strict groupe client:write:information', () => {
@@ -158,16 +168,19 @@ describe('buildContactPayload / buildAddressPayload / buildRibPayload', () => {
 })
 describe('mapMainDraft — pre-remplissage bloc principal', () => {
-    it('resout la relation et extrait les IRI (sans contact inline)', () => {
+    it('formate les telephones, resout la relation et extrait les IRI', () => {
        const client = {
            '@id': '/api/clients/1', id: 1,
-            companyName: 'ACME', triageService: true,
+            companyName: 'ACME', firstName: 'Jean', lastName: 'Dupont', email: 'jean@acme.fr',
            phonePrimary: '0549112233', phoneSecondary: '0600000000', triageService: true,
            categories: [{ '@id': '/api/categories/1', code: 'SECTEUR' }],
            distributor: { '@id': '/api/clients/9', companyName: 'DISTRIB' },
        } as ClientDetail
        const draft = mapMainDraft(client)
-        expect(draft.companyName).toBe('ACME')
+        expect(draft.phonePrimary).toBe('05 49 11 22 33')
        expect(draft.phoneSecondary).toBe('06 00 00 00 00')
        expect(draft.hasSecondaryPhone).toBe(true)
        expect(draft.categoryIris).toEqual(['/api/categories/1'])
        expect(draft.relationType).toBe('distributeur')
        expect(draft.distributorIri).toBe('/api/clients/9')
@@ -178,6 +191,7 @@ describe('mapMainDraft — pre-remplissage bloc principal', () => {
    it('gere les cles omises (skip_null_values) sans planter', () => {
        const draft = mapMainDraft({ '@id': '/api/clients/2', id: 2 } as ClientDetail)
        expect(draft.companyName).toBeNull()
        expect(draft.hasSecondaryPhone).toBe(false)
        expect(draft.categoryIris).toEqual([])
        expect(draft.relationType).toBeNull()
        expect(draft.triageService).toBe(false)
@@ -1,36 +1,17 @@
 import { describe, it, expect } from 'vitest'
 import {
    addressFlagsFromType,
    addressTypeFromFlags,
    applyProspectExclusivity,
    buildClientFormTabKeys,
    canSelectDeliveryOrBilling,
    canSelectProspect,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isBlankRow,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
    type ContactDraft,
    type ContactFillableDraft,
 } from '../clientFormRules'
 /** Bloc contact totalement vide (amorce par defaut). */
 function blankContact(): ContactFillableDraft {
    return {
        firstName: null,
        lastName: null,
        jobTitle: null,
        phonePrimary: null,
        phoneSecondary: null,
        email: null,
    }
 }
 describe('buildClientFormTabKeys (gating onglet Comptabilite + onglets edit-only)', () => {
    it('inclut l onglet accounting si l utilisateur a accounting.view', () => {
        expect(buildClientFormTabKeys(true)).toContain('accounting')
@@ -78,49 +59,6 @@ describe('isContactNamed (RG-1.05)', () => {
    })
 })
 describe('isBlankRow (primitive : toutes les valeurs vides)', () => {
    it('vrai si toutes les valeurs sont nulles / vides / espaces', () => {
        expect(isBlankRow([null, undefined, '', '  '])).toBe(true)
        expect(isBlankRow([])).toBe(true)
    })
    it('faux des qu une valeur porte un caractere non-espace', () => {
        expect(isBlankRow([null, 'x', ''])).toBe(false)
    })
 })
 describe('isRibBlank (bloc RIB totalement vide vs partiellement rempli)', () => {
    it('vrai si label / bic / iban sont tous vides', () => {
        expect(isRibBlank({ label: null, bic: null, iban: null })).toBe(true)
        expect(isRibBlank({ label: '  ', bic: '', iban: null })).toBe(true)
    })
    it('faux si un IBAN seul est saisi (bloc a soumettre -> 422 NotBlank inline)', () => {
        expect(isRibBlank({ label: null, bic: null, iban: 'FR1420041010050500013M02606' })).toBe(false)
    })
    it('faux si seul le libelle est saisi', () => {
        expect(isRibBlank({ label: 'Compte courant', bic: null, iban: null })).toBe(false)
    })
 })
 describe('isContactBlank (bloc totalement vide vs partiellement rempli)', () => {
    it('vrai si aucun champ saisissable n est rempli', () => {
        expect(isContactBlank(blankContact())).toBe(true)
        expect(isContactBlank({ ...blankContact(), firstName: '  ', email: '' })).toBe(true)
    })
    it('faux si un email seul est saisi (bloc a soumettre -> 422 RG-1.05 inline)', () => {
        expect(isContactBlank({ ...blankContact(), email: 'jean@acme.fr' })).toBe(false)
    })
    it('faux si seul un telephone, une fonction ou un nom est saisi', () => {
        expect(isContactBlank({ ...blankContact(), phonePrimary: '0612345678' })).toBe(false)
        expect(isContactBlank({ ...blankContact(), jobTitle: 'Directeur' })).toBe(false)
        expect(isContactBlank({ ...blankContact(), firstName: 'Alice' })).toBe(false)
    })
 })
 describe('hasAtLeastOneValidContact (RG-1.14)', () => {
    it('faux sur une liste vide', () => {
        expect(hasAtLeastOneValidContact([])).toBe(false)
@@ -199,32 +137,6 @@ describe('isBillingEmailRequired (RG-1.11)', () => {
    })
 })
 describe('type d\'adresse (Select front) <-> drapeaux back', () => {
    it('addressFlagsFromType mappe chaque type vers les bons drapeaux', () => {
        expect(addressFlagsFromType('prospect')).toEqual({ isProspect: true, isDelivery: false, isBilling: false })
        expect(addressFlagsFromType('delivery')).toEqual({ isProspect: false, isDelivery: true, isBilling: false })
        expect(addressFlagsFromType('billing')).toEqual({ isProspect: false, isDelivery: false, isBilling: true })
        expect(addressFlagsFromType('delivery_billing')).toEqual({ isProspect: false, isDelivery: true, isBilling: true })
    })
    it('addressTypeFromFlags reconstruit le type (Prospect prioritaire, livraison+facturation groupes)', () => {
        expect(addressTypeFromFlags({ isProspect: true, isDelivery: false, isBilling: false })).toBe('prospect')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: true, isBilling: false })).toBe('delivery')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: false, isBilling: true })).toBe('billing')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: true, isBilling: true })).toBe('delivery_billing')
    })
    it('addressTypeFromFlags retourne null quand aucun drapeau (amorce vierge -> bouton bloque)', () => {
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: false, isBilling: false })).toBeNull()
    })
    it('aller-retour type -> drapeaux -> type stable pour les 4 types', () => {
        for (const type of ['prospect', 'delivery', 'billing', 'delivery_billing'] as const) {
            expect(addressTypeFromFlags(addressFlagsFromType(type))).toBe(type)
        }
    })
 })
 describe('regles type de reglement (RG-1.12 / RG-1.13)', () => {
    it('banque obligatoire si VIREMENT', () => {
        expect(isBankRequiredForPaymentType('VIREMENT')).toBe(true)
@@ -238,36 +150,3 @@ describe('regles type de reglement (RG-1.12 / RG-1.13)', () => {
        expect(isRibRequiredForPaymentType(null)).toBe(false)
    })
 })
 describe('hasAllRequiredAccountingFields (RG-1.30)', () => {
    const complete = {
        siren: '123456789',
        accountNumber: '00012345678',
        nTva: 'FR12345678901',
        tvaModeIri: '/api/tva_modes/1',
        paymentDelayIri: '/api/payment_delays/1',
        paymentTypeIri: '/api/payment_types/1',
    }
    it('vrai quand les six champs obligatoires sont remplis', () => {
        expect(hasAllRequiredAccountingFields(complete)).toBe(true)
    })
    it('faux si un champ est manquant (null ou vide apres trim)', () => {
        expect(hasAllRequiredAccountingFields({ ...complete, siren: null })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, accountNumber: '   ' })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, tvaModeIri: null })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, paymentTypeIri: null })).toBe(false)
    })
    it('faux quand tout est vide (onglet non rempli)', () => {
        expect(hasAllRequiredAccountingFields({
            siren: null,
            accountNumber: null,
            nTva: null,
            tvaModeIri: null,
            paymentDelayIri: null,
            paymentTypeIri: null,
        })).toBe(false)
    })
 })
@@ -93,6 +93,11 @@ export interface RelatedClientRead extends HydraRef {
 export interface ClientDetail extends HydraRef {
    id: number
    companyName?: string | null
    firstName?: string | null
    lastName?: string | null
    phonePrimary?: string | null
    phoneSecondary?: string | null
    email?: string | null
    triageService?: boolean
    isArchived?: boolean
    categories?: CategoryRead[]
@@ -24,16 +24,23 @@ import {
    type ClientDetail,
 } from '~/modules/commercial/utils/clientConsultation'
 import type { AddressFormDraft, ContactFormDraft, RibFormDraft } from '~/modules/commercial/types/clientForm'
 import { formatPhoneFR } from '~/shared/utils/phone'
 /**
 * Etat « plat » du bloc principal (groupe client:write:main). Distinct des
 * brouillons Contact : ces champs vivent sur le Client lui-meme (companyName,
- * categories, relation, triage), pas sur une sous-ressource ClientContact. Les
+ * contact principal, telephones, email, categories, relation, triage), pas sur
- * coordonnees de contact (nom, prenom, telephones, email) ne sont plus portees
+ * une sous-ressource ClientContact.
 * par le Client : elles vivent exclusivement dans l'onglet Contacts.
 */
 export interface MainFormDraft {
    companyName: string | null
    firstName: string | null
    lastName: string | null
    email: string | null
    phonePrimary: string | null
    phoneSecondary: string | null
    /** UI : le 2e numero a ete revele (ou existait deja au chargement). */
    hasSecondaryPhone: boolean
    /** IRI des categories rattachees (M2M). */
    categoryIris: string[]
    relationType: 'distributeur' | 'courtier' | null
@@ -89,15 +96,22 @@ export interface TabEditability {
 // ── Pre-remplissage (GET detail -> brouillons) ──────────────────────────────
 /**
- * Mappe le detail client vers le brouillon du bloc principal. La relation
+ * Mappe le detail client vers le brouillon du bloc principal. Les telephones
- * Distributeur/Courtier est resolue par exclusivite (RG-1.03) et son IRI extrait
+ * sont reformates XX XX XX XX XX (RG d'affichage). La relation Distributeur/
- * de l'embed.
+ * Courtier est resolue par exclusivite (RG-1.03) et son IRI extrait de l'embed.
 */
 export function mapMainDraft(client: ClientDetail): MainFormDraft {
    const relation = relationOf(client)
    const phoneSecondary = client.phoneSecondary ?? null
    return {
        companyName: client.companyName ?? null,
        firstName: client.firstName ?? null,
        lastName: client.lastName ?? null,
        email: client.email ?? null,
        phonePrimary: client.phonePrimary ? formatPhoneFR(client.phonePrimary) : null,
        phoneSecondary: phoneSecondary ? formatPhoneFR(phoneSecondary) : null,
        hasSecondaryPhone: phoneSecondary !== null && phoneSecondary !== '',
        categoryIris: (client.categories ?? []).map(c => c['@id']),
        relationType: relation.type,
        distributorIri: iriOf(client.distributor),
@@ -143,6 +157,11 @@ export function mapAccountingFormDraft(client: ClientDetail): AccountingFormDraf
 export function buildMainPayload(main: MainFormDraft): Record<string, unknown> {
    return {
        companyName: main.companyName,
        firstName: main.firstName || null,
        lastName: main.lastName || null,
        email: main.email,
        phonePrimary: main.phonePrimary || null,
        phoneSecondary: main.hasSecondaryPhone ? (main.phoneSecondary || null) : null,
        categories: main.categoryIris,
        distributor: main.relationType === 'distributeur' ? main.distributorIri : null,
        broker: main.relationType === 'courtier' ? main.brokerIri : null,
@@ -86,58 +86,6 @@ export function hasAtLeastOneValidContact(contacts: ContactDraft[]): boolean {
    return contacts.some(isContactNamed)
 }
 /**
 * Primitive reutilisable : vrai si TOUTES les valeurs fournies sont vides (null /
 * undefined / espaces uniquement). Sert a detecter un bloc de collection
 * totalement vide (amorce non remplie). Un bloc qui porte la moindre donnee
 * n'est PAS « blank » : il doit etre soumis pour declencher sa 422 inline plutot
 * que d'etre saute silencieusement.
 */
 export function isBlankRow(values: (string | null | undefined)[]): boolean {
    return values.every(value => !isFilled(value))
 }
 /** Champs saisissables d'un bloc contact (pour detecter un bloc totalement vide). */
 export interface ContactFillableDraft extends ContactDraft {
    jobTitle: string | null
    phonePrimary: string | null
    phoneSecondary: string | null
    email: string | null
 }
 /**
 * Vrai si AUCUN champ saisissable du bloc contact n'est rempli. Distingue un bloc
 * d'amorce vide (a ignorer au submit) d'un bloc partiellement rempli sans nom
 * (email / telephone / fonction seul) : ce dernier doit etre soumis pour
 * declencher la 422 RG-1.05 (« prenom ou nom obligatoire ») affichee inline.
 */
 export function isContactBlank(contact: ContactFillableDraft): boolean {
    return isBlankRow([
        contact.firstName,
        contact.lastName,
        contact.jobTitle,
        contact.phonePrimary,
        contact.phoneSecondary,
        contact.email,
    ])
 }
 /** Champs saisissables d'un bloc RIB (pour detecter un bloc totalement vide). */
 export interface RibFillableDraft {
    label: string | null
    bic: string | null
    iban: string | null
 }
 /**
 * Vrai si AUCUN champ du bloc RIB n'est rempli. Un RIB partiellement rempli (ex.
 * IBAN seul) n'est PAS « blank » : il doit etre soumis pour declencher les 422
 * NotBlank (label / bic / iban) inline plutot que d'etre saute silencieusement.
 */
 export function isRibBlank(rib: RibFillableDraft): boolean {
    return isBlankRow([rib.label, rib.bic, rib.iban])
 }
 /**
 * RG-1.06/07/08 : une adresse de prospection est exclusive d'une adresse de
 * livraison/facturation. Prospect n'est selectionnable que si ni Livraison ni
@@ -187,45 +135,6 @@ export function isBillingEmailRequired(flags: AddressFlagsDraft): boolean {
    return flags.isBilling
 }
 /**
 * Type d'adresse expose a l'utilisateur (Select unique remplacant les trois
 * cases a cocher). Sucre purement front : le back continue de recevoir les
 * drapeaux isProspect / isDelivery / isBilling (aucune RG modifiee). Les seules
 * combinaisons proposees respectent l'exclusivite Prospect (RG-1.06/07/08).
 */
 export type AddressType = 'prospect' | 'delivery' | 'billing' | 'delivery_billing'
 /**
 * Mappe le type d'adresse choisi vers les trois drapeaux back.
 * « Adresse + Facturation » = livraison ET facturation sur la meme adresse.
 */
 export function addressFlagsFromType(type: AddressType): AddressFlagsDraft {
    switch (type) {
        case 'prospect':
            return { isProspect: true, isDelivery: false, isBilling: false }
        case 'delivery':
            return { isProspect: false, isDelivery: true, isBilling: false }
        case 'billing':
            return { isProspect: false, isDelivery: false, isBilling: true }
        case 'delivery_billing':
            return { isProspect: false, isDelivery: true, isBilling: true }
    }
 }
 /**
 * Reconstruit le type d'adresse a partir des drapeaux (consultation / edition
 * d'une adresse persistee, ou amorce vierge). Retourne null si aucun drapeau
 * n'est positionne — le Select reste alors a saisir (et bloque la validation).
 */
 export function addressTypeFromFlags(flags: AddressFlagsDraft): AddressType | null {
    if (flags.isProspect) return 'prospect'
    if (flags.isDelivery && flags.isBilling) return 'delivery_billing'
    if (flags.isDelivery) return 'delivery'
    if (flags.isBilling) return 'billing'
    return null
 }
 /** Code stable du type de reglement « virement » (cf. PaymentType.code, RG-1.12). */
 const PAYMENT_TYPE_TRANSFER = 'VIREMENT'
@@ -247,32 +156,3 @@ export function isBankRequiredForPaymentType(code: string | null | undefined): b
 export function isRibRequiredForPaymentType(code: string | null | undefined): boolean {
    return code === PAYMENT_TYPE_LCR
 }
 /** Sous-ensemble du brouillon comptable portant les six champs obligatoires. */
 export interface AccountingRequiredDraft {
    siren: string | null
    accountNumber: string | null
    nTva: string | null
    tvaModeIri: string | null
    paymentDelayIri: string | null
    paymentTypeIri: string | null
 }
 /**
 * RG-1.30 : les six champs scalaires de l'onglet Comptabilite sont obligatoires
 * pour valider l'onglet (SIREN, N de compte, Mode de TVA, N de TVA, Delai de
 * reglement, Type de reglement). bank / RIB restent conditionnels (RG-1.12 /
 * RG-1.13) et sont evalues a part. Miroir front du
 * ClientAccountingCompletenessValidator : meme gate que les onglets Contact /
 * Adresse (bouton « Valider » desactive tant que l'onglet n'est pas complet).
 */
 export function hasAllRequiredAccountingFields(accounting: AccountingRequiredDraft): boolean {
    const filled = (v: string | null): boolean => v !== null && v.trim() !== ''
    return filled(accounting.siren)
        && filled(accounting.accountNumber)
        && filled(accounting.nTva)
        && filled(accounting.tvaModeIri)
        && filled(accounting.paymentDelayIri)
        && filled(accounting.paymentTypeIri)
 }
@@ -7,7 +7,7 @@
      "name": "starseed-frontend",
      "hasInstallScript": true,
      "dependencies": {
-        "@malio/layer-ui": "^1.7.4",
+        "@malio/layer-ui": "^1.7.3",
        "@nuxt/icon": "^2.2.1",
        "@nuxtjs/i18n": "^10.2.3",
        "@nuxtjs/tailwindcss": "^6.14.0",
@@ -1866,9 +1866,9 @@
      "license": "MIT"
    },
    "node_modules/@malio/layer-ui": {
-      "version": "1.7.4",
+      "version": "1.7.3",
-      "resolved": "https://gitea.malio.fr/api/packages/MALIO-DEV/npm/%40malio%2Flayer-ui/-/1.7.4/layer-ui-1.7.4.tgz",
+      "resolved": "https://gitea.malio.fr/api/packages/MALIO-DEV/npm/%40malio%2Flayer-ui/-/1.7.3/layer-ui-1.7.3.tgz",
-      "integrity": "sha512-JNXwBelj5UQ35Qv5VmnassXKt8niX9jDXjM1vUSukJQiyeUXRxAiZr16QumVgBN9P9YGDyjXVKrwCHltTXvPtQ==",
+      "integrity": "sha512-jw3ka0Az6Jf0F9ifsooknkwXph8TNgoe6H3CjF8tbBxl8oND8HLHjlZ04ooUCoOUEIlsQ1Mm2hFFlQRCB04qdA==",
      "dependencies": {
        "@nuxt/icon": "^2.2.1",
        "@nuxtjs/tailwindcss": "^6.14.0",
@@ -17,7 +17,7 @@
    "test:e2e:ui": "playwright test --ui"
  },
  "dependencies": {
-    "@malio/layer-ui": "^1.7.4",
+    "@malio/layer-ui": "^1.7.3",
    "@nuxt/icon": "^2.2.1",
    "@nuxtjs/i18n": "^10.2.3",
    "@nuxtjs/tailwindcss": "^6.14.0",
@@ -1,51 +0,0 @@
 <template>
    <!--
        Placeholder generique « En cours de dev » pour les ecrans / onglets non
        encore implementes. Composant PARTAGE (shared/components) : auto-importe
        sans prefixe (`<ComingSoonPlaceholder>`) et reutilisable depuis n'importe
        quel module. Affiche un gif (asset local par defaut) + un message i18n.
    -->
    <div class="flex min-h-[240px] flex-col items-center justify-center gap-4 rounded-md bg-white py-10">
        <img
            v-if="!imageFailed"
            :src="src"
            :alt="resolvedTitle"
            class="max-h-[220px] w-auto rounded-md"
            @error="imageFailed = true"
        >
        <!-- Repli si le gif ne charge pas (offline, CSP, asset absent) :
             illustration emoji, le message reste affiche. -->
        <div v-else class="text-5xl" aria-hidden="true">🚧 👨‍💻 🚧</div>
        <div class="text-center">
            <p class="text-xl font-bold text-black">{{ resolvedTitle }}</p>
            <p class="mt-1 text-black/60">{{ resolvedSubtitle }}</p>
        </div>
    </div>
 </template>
 <script setup lang="ts">
 const props = withDefaults(
    defineProps<{
        /** Source de l'image/gif affichee. Defaut : asset local `/coming-soon.gif`. */
        src?: string
        /** Titre. Defaut : i18n `common.comingSoon.title`. */
        title?: string
        /** Sous-titre. Defaut : i18n `common.comingSoon.subtitle`. */
        subtitle?: string
    }>(),
    {
        src: '/coming-soon.gif',
        title: '',
        subtitle: '',
    },
 )
 const { t } = useI18n()
 const imageFailed = ref(false)
 // Les props priment sur les libelles i18n par defaut (permet a un module
 // d'override le texte sans toucher au composant).
 const resolvedTitle = computed(() => props.title || t('common.comingSoon.title'))
 const resolvedSubtitle = computed(() => props.subtitle || t('common.comingSoon.subtitle'))
 </script>
@@ -1,132 +0,0 @@
 import { describe, it, expect, vi, beforeEach } from 'vitest'
 import {
    useAddressAutocomplete,
    AddressAutocompleteUnavailableError,
 } from '../useAddressAutocomplete'
 // On mocke le helper d'appel externe : aucun vrai appel reseau a la BAN.
 // vi.mock est hoiste par Vitest au-dessus des imports.
 const mockHttp = vi.hoisted(() => vi.fn())
 vi.mock('~/shared/utils/httpExternal', () => ({ httpExternal: mockHttp }))
 const BAN_URL = 'https://api-adresse.data.gouv.fr/search/'
 describe('useAddressAutocomplete', () => {
    beforeEach(() => {
        mockHttp.mockReset()
    })
    describe('searchCity', () => {
        it('interroge la BAN en type=municipality et mappe { city, postalCode }', async () => {
            mockHttp.mockResolvedValueOnce({
                type: 'FeatureCollection',
                features: [
                    { properties: { city: 'Amiens', postcode: '80000', name: 'Amiens', type: 'municipality' } },
                    { properties: { city: 'Amiens', postcode: '80080', name: 'Amiens', type: 'municipality' } },
                ],
            })
            const { searchCity } = useAddressAutocomplete()
            const res = await searchCity('80000')
            expect(mockHttp).toHaveBeenCalledWith(
                BAN_URL,
                expect.objectContaining({ query: { q: '80000', type: 'municipality' } }),
            )
            expect(res).toEqual([
                { city: 'Amiens', postalCode: '80000' },
                { city: 'Amiens', postalCode: '80080' },
            ])
        })
        it('throw une AddressAutocompleteUnavailableError sur erreur reseau / 5xx', async () => {
            mockHttp.mockRejectedValueOnce(new Error('500 Server Error'))
            const { searchCity } = useAddressAutocomplete()
            await expect(searchCity('80000')).rejects.toBeInstanceOf(AddressAutocompleteUnavailableError)
        })
        it('throw une AddressAutocompleteUnavailableError sur timeout', async () => {
            mockHttp.mockRejectedValueOnce(new Error('The operation was aborted due to timeout'))
            const { searchCity } = useAddressAutocomplete()
            await expect(searchCity('80000')).rejects.toBeInstanceOf(AddressAutocompleteUnavailableError)
        })
    })
    describe('searchAddress', () => {
        it('interroge la BAN avec postcode et mappe la suggestion', async () => {
            mockHttp.mockResolvedValueOnce({
                type: 'FeatureCollection',
                features: [
                    {
                        properties: {
                            label: '8 Boulevard du Port 80000 Amiens',
                            name: '8 Boulevard du Port',
                            street: 'Boulevard du Port',
                            postcode: '80000',
                            city: 'Amiens',
                            type: 'housenumber',
                        },
                    },
                ],
            })
            const { searchAddress } = useAddressAutocomplete()
            const res = await searchAddress('8 boulevard du port', '80000')
            expect(mockHttp).toHaveBeenCalledWith(
                BAN_URL,
                expect.objectContaining({
                    query: { q: '8 boulevard du port', postcode: '80000' },
                }),
            )
            expect(res).toEqual([
                {
                    label: '8 Boulevard du Port 80000 Amiens',
                    street: '8 Boulevard du Port',
                    postalCode: '80000',
                    city: 'Amiens',
                },
            ])
        })
        it('omet le parametre postcode quand aucun code postal n\'est fourni', async () => {
            mockHttp.mockResolvedValueOnce({ type: 'FeatureCollection', features: [] })
            const { searchAddress } = useAddressAutocomplete()
            await searchAddress('8 boulevard du port')
            expect(mockHttp).toHaveBeenCalledWith(
                BAN_URL,
                expect.objectContaining({
                    query: { q: '8 boulevard du port' },
                }),
            )
        })
        it('ne restreint PAS la recherche a type=housenumber (sinon la BAN ne renvoie rien tant qu\'aucun numero n\'est saisi)', async () => {
            // Regression : avec `type=housenumber`, une saisie de nom de rue sans
            // numero (ex: « boulevard du port ») renvoie 0 resultat cote BAN.
            mockHttp.mockResolvedValueOnce({ type: 'FeatureCollection', features: [] })
            const { searchAddress } = useAddressAutocomplete()
            await searchAddress('boulevard du port', '80000')
            const sentQuery = mockHttp.mock.calls[0]?.[1]?.query as Record<string, string>
            expect(sentQuery.type).toBeUndefined()
        })
        it('throw une AddressAutocompleteUnavailableError sur erreur reseau', async () => {
            mockHttp.mockRejectedValueOnce(new Error('network down'))
            const { searchAddress } = useAddressAutocomplete()
            await expect(searchAddress('8 boulevard du port', '80000')).rejects.toBeInstanceOf(
                AddressAutocompleteUnavailableError,
            )
        })
    })
 })
@@ -1,91 +0,0 @@
 import { describe, it, expect, vi, beforeEach } from 'vitest'
 import { useFormErrors } from '../useFormErrors'
 const mockToastError = vi.hoisted(() => vi.fn())
 vi.stubGlobal('useToast', () => ({ error: mockToastError, success: vi.fn() }))
 // useI18n stub : renvoie la cle telle quelle (pour asserter dessus).
 vi.stubGlobal('useI18n', () => ({ t: (key: string) => key }))
 /**
 * Tests du composable `useFormErrors` — pendant front de la regle « le back
 * renvoie toutes les violations 422 d'un coup » (ERP-101). Centralise l'etat
 * d'erreurs par champ (`Record<propertyPath, message>`) et la dispatch d'une
 * erreur API : 422 mappee inline, sinon toast de fallback.
 */
 describe('useFormErrors', () => {
    beforeEach(() => {
        mockToastError.mockReset()
    })
    /** Fabrique une erreur ofetch avec status + payload. */
    function fetchError(status: number, data: unknown) {
        return { response: { status, _data: data } }
    }
    it('demarre sans erreur', () => {
        const { errors, hasErrors } = useFormErrors()
        expect(errors).toEqual({})
        expect(hasErrors.value).toBe(false)
    })
    it('setServerErrors mappe les violations par champ et retourne true', () => {
        const { errors, hasErrors, setServerErrors } = useFormErrors()
        const mapped = setServerErrors({
            violations: [
                { propertyPath: 'companyName', message: 'Obligatoire.' },
                { propertyPath: 'siren', message: 'Deja utilise.' },
            ],
        })
        expect(mapped).toBe(true)
        expect(errors).toEqual({ companyName: 'Obligatoire.', siren: 'Deja utilise.' })
        expect(hasErrors.value).toBe(true)
    })
    it('setServerErrors retourne false et ne touche rien sans violation', () => {
        const { errors, setServerErrors } = useFormErrors()
        expect(setServerErrors({})).toBe(false)
        expect(errors).toEqual({})
    })
    it('setError / clearError / clearErrors manipulent l\'etat finement', () => {
        const { errors, setError, clearError, clearErrors } = useFormErrors()
        setError('iban', 'IBAN invalide.')
        expect(errors.iban).toBe('IBAN invalide.')
        clearError('iban')
        expect(errors.iban).toBeUndefined()
        setError('a', 'x')
        setError('b', 'y')
        clearErrors()
        expect(errors).toEqual({})
    })
    it('handleApiError : 422 avec violations → mappe inline, pas de toast, retourne true', () => {
        const { errors, handleApiError } = useFormErrors()
        const handled = handleApiError(
            fetchError(422, { violations: [{ propertyPath: 'email', message: 'Invalide.' }] }),
        )
        expect(handled).toBe(true)
        expect(errors.email).toBe('Invalide.')
        expect(mockToastError).not.toHaveBeenCalled()
    })
    it('handleApiError : erreur non-422 → toast de fallback, retourne false', () => {
        const { errors, handleApiError } = useFormErrors()
        const handled = handleApiError(
            fetchError(500, { 'hydra:description': 'Erreur serveur.' }),
            { fallbackMessage: 'Oups.' },
        )
        expect(handled).toBe(false)
        expect(errors).toEqual({})
        expect(mockToastError).toHaveBeenCalledTimes(1)
        // Titre via i18n (cle renvoyee telle quelle par le stub).
        expect(mockToastError.mock.calls[0][0]).toMatchObject({ title: 'errors.title', message: 'Erreur serveur.' })
    })
    it('handleApiError : 422 sans violation mappable → toast de fallback, retourne false', () => {
        const { handleApiError } = useFormErrors()
        const handled = handleApiError(fetchError(422, { 'hydra:description': 'Donnees invalides.' }))
        expect(handled).toBe(false)
        expect(mockToastError).toHaveBeenCalledTimes(1)
    })
 })
@@ -1,29 +1,27 @@
-import { httpExternal } from '~/shared/utils/httpExternal'
+// STUB ERP-63 — remplacé par l'implémentation BAN d'ERP-66.
 // Autocompletion d'adresse branchee sur la Base Adresse Nationale (BAN),
 // `api-adresse.data.gouv.fr` — service public francais, gratuit, CORS ouvert.
 //
-// Appel HTTP DIRECT depuis le front (pas de proxy back), conformement a la spec
+// Ce fichier appartient fonctionnellement à ERP-66 (#66). ERP-63 n'en livre
-// M1 (§ API adresse postale). On passe par `httpExternal` et NON `useApi()` :
+// qu'un STUB pour ne pas se bloquer : la vraie implémentation (appels
-// la BAN est un domaine externe, sans cookie de session ni enveloppe Hydra.
+// api-adresse.data.gouv.fr) viendra remplacer le CORPS des deux méthodes SANS
 // changer leur signature ni l'usage côté composant.
 //
-// Contrat (fige) :
+// Contrat figé par ERP-66 (c'est lui qui fait foi) :
 //   searchCity(postalCode)       -> liste { city, postalCode }
 //   searchAddress(query, cp?)    -> liste { label, street, postalCode, city }
-//   En cas d'erreur/timeout, la methode THROW une AddressAutocompleteUnavailableError.
+//   En cas d'erreur/timeout, la méthode THROW. Le composant catch l'erreur,
-//   Le composant consommateur catch, affiche un toast d'avertissement et bascule
+//   affiche un toast d'avertissement et bascule en saisie libre (MalioInputText).
-//   en saisie libre (MalioInputText).
+//
 // Comportement du stub : les deux méthodes throw systématiquement → l'onglet
 // Adresse part directement en mode dégradé (Ville + Adresse en saisie libre,
 // Code postal saisi manuellement). Aucun appel réseau n'est émis ici.
-/** URL de l'endpoint de recherche BAN. */
+/** Une suggestion de ville renvoyée à partir d'un code postal. */
 const BAN_SEARCH_URL = 'https://api-adresse.data.gouv.fr/search/'
 /** Une suggestion de ville renvoyee a partir d'un code postal. */
 export interface CitySuggestion {
    city: string
    postalCode: string
 }
-/** Une suggestion d'adresse complete (saisie assistee du champ « Adresse »). */
+/** Une suggestion d'adresse complète (saisie assistée du champ « Adresse »). */
 export interface AddressSuggestion {
    label: string
    street: string
@@ -36,82 +34,27 @@ export interface AddressAutocomplete {
    searchAddress(query: string, postalCode?: string): Promise<AddressSuggestion[]>
 }
-/** Erreur signalant que le service d'autocompletion BAN n'est pas disponible. */
+/** Erreur signalant que le service d'autocomplétion BAN n'est pas disponible. */
 export class AddressAutocompleteUnavailableError extends Error {
    constructor() {
-        // Message technique (non affiche tel quel) : le composant remonte son
+        // Message technique (non affiché tel quel) : le composant remonte son
-        // propre libelle i18n. Sert au debug / aux logs uniquement.
+        // propre libellé i18n. Sert au debug / aux logs uniquement.
-        super('Address autocomplete (BAN) is not available.')
+        super('Address autocomplete (BAN) is not available yet — ERP-66 stub.')
        this.name = 'AddressAutocompleteUnavailableError'
    }
 }
-/** Proprietes d'une « feature » GeoJSON renvoyee par la BAN (champs utilises). */
+/**
-interface BanFeatureProperties {
+ * STUB : renvoie un composable conforme au contrat ERP-66 dont les méthodes
-    label?: string
+ * échouent toujours, forçant le mode dégradé côté onglet Adresse.
-    name?: string
+ */
    street?: string
    postcode?: string
    city?: string
 }
 /** Reponse GeoJSON FeatureCollection de la BAN. */
 interface BanResponse {
    features?: { properties?: BanFeatureProperties }[]
 }
 export function useAddressAutocomplete(): AddressAutocomplete {
    return {
-        async searchCity(postalCode: string): Promise<CitySuggestion[]> {
+        async searchCity(_postalCode: string): Promise<CitySuggestion[]> {
-            let res: BanResponse
+            throw new AddressAutocompleteUnavailableError()
            try {
                res = await httpExternal<BanResponse>(BAN_SEARCH_URL, {
                    query: { q: postalCode, type: 'municipality' },
                })
            } catch {
                // Reseau coupe, 5xx, timeout... -> mode degrade cote composant.
                throw new AddressAutocompleteUnavailableError()
            }
            return (res.features ?? []).map((feature) => {
                const props = feature.properties ?? {}
                return {
                    city: props.city ?? props.name ?? '',
                    postalCode: props.postcode ?? '',
                }
            })
        },
-
+        async searchAddress(_query: string, _postalCode?: string): Promise<AddressSuggestion[]> {
-        async searchAddress(query: string, postalCode?: string): Promise<AddressSuggestion[]> {
+            throw new AddressAutocompleteUnavailableError()
            // IMPORTANT : pas de `type=housenumber` ici. La BAN ne renvoie un
            // resultat de ce type qu'une fois un numero saisi → une recherche par
            // nom de rue (« boulevard du port ») renverrait 0 resultat pendant
            // toute la frappe. Sans filtre `type`, la BAN classe rues + numeros
            // par pertinence (comportement d'autocompletion attendu).
            // On n'ajoute `postcode` que s'il est fourni (sinon recherche large).
            const banQuery: Record<string, string> = { q: query }
            if (postalCode) {
                banQuery.postcode = postalCode
            }
            let res: BanResponse
            try {
                res = await httpExternal<BanResponse>(BAN_SEARCH_URL, { query: banQuery })
            } catch {
                throw new AddressAutocompleteUnavailableError()
            }
            return (res.features ?? []).map((feature) => {
                const props = feature.properties ?? {}
                return {
                    label: props.label ?? '',
                    // `name` porte la ligne d'adresse complete (numero + voie) ;
                    // `street` ne contient que la voie. On privilegie `name`.
                    street: props.name ?? props.street ?? '',
                    postalCode: props.postcode ?? '',
                    city: props.city ?? '',
                }
            })
        },
    }
 }
@@ -44,7 +44,7 @@ export function useApi(): ApiClient {
        const data = responseData ?? (error as FetchError)?.data
        const msg = extractApiErrorMessage(data)
        if (msg) return msg
-        return (error as FetchError)?.message ?? t('errors.unknown')
+        return (error as FetchError)?.message ?? 'Erreur inconnue.'
    }
    const methodErrorKeys: Record<string, string> = {
@@ -76,7 +76,7 @@ export function useApi(): ApiClient {
            if (successMessage) {
                toast.success({
-                    title: t('success.title'),
+                    title: 'Succes',
                    message: successMessage
                })
            }
@@ -98,10 +98,10 @@ export function useApi(): ApiClient {
            apiOptions?.toastErrorMessage ||
            errorMessage ||
            extractedMessage ||
-            t('errors.generic')
+            'Une erreur est survenue.'
                    toast.error({
-                        title: apiOptions?.toastTitle ?? t('errors.title'),
+                        title: apiOptions?.toastTitle ?? 'Erreur',
                        message
                    })
                }
@@ -139,7 +139,7 @@ export function useApi(): ApiClient {
        'Une erreur est survenue.'
            toast.error({
-                title: apiOptions?.toastTitle ?? t('errors.title'),
+                title: apiOptions?.toastTitle ?? 'Erreur',
                message
            })
        }
@@ -1,113 +0,0 @@
 /**
 * Composable d'erreurs de formulaire — convention de mapping erreur→champ pour
 * tous les forms du projet (ERP-101).
 *
 * Le back renvoie TOUTES les violations d'une 422 d'un coup (un `propertyPath`
 * + `message` par champ fautif). Ce composable centralise leur affichage
 * inline : il tient un `Record<propertyPath, message>` reactif que le template
 * branche directement sur la prop `:error` des composants `Malio*` (le nom du
 * champ cote front = le `propertyPath` cote back, donc aucun mapping manuel).
 *
 * Chaque appel cree son propre etat (refs internes a la fonction) — un form =
 * une instance, pas de singleton partage.
 *
 * Convention d'usage : les appels API qui veulent un retour inline doivent
 * passer `{ toast: false }` a `useApi` (sinon le toast natif masque le mapping
 * fin), puis router l'erreur via `handleApiError`. Pour les collections (1
 * appel par ligne), utiliser directement `mapViolationsToRecord` par ligne.
 */
 import { computed, reactive } from 'vue'
 import { extractApiErrorMessage, mapViolationsToRecord } from '~/shared/utils/api'
 /**
 * Erreur HTTP capturee par ofetch. On n'expose que les champs lus ici (status
 * + payload) pour eviter de typer toute la lib.
 */
 interface ApiFetchError {
    response?: {
        status?: number
        _data?: unknown
    }
 }
 /** Options de `handleApiError`. */
 interface HandleApiErrorOptions {
    /** Message de toast si l'erreur n'est pas une 422 exploitable. */
    fallbackMessage?: string
 }
 export function useFormErrors() {
    const toast = useToast()
    const { t } = useI18n()
    // Etat d'erreurs indexe par propertyPath. Reactif : muter une cle suffit a
    // rafraichir la prop `:error` du champ correspondant.
    const errors = reactive<Record<string, string>>({})
    const hasErrors = computed(() => Object.keys(errors).length > 0)
    /** Pose une erreur sur un champ. */
    function setError(field: string, message: string): void {
        errors[field] = message
    }
    /** Retire l'erreur d'un champ (no-op si absente). */
    function clearError(field: string): void {
        delete errors[field]
    }
    /** Vide toutes les erreurs (a appeler en debut de submit). */
    function clearErrors(): void {
        for (const key of Object.keys(errors)) {
            delete errors[key]
        }
    }
    /**
     * Mappe les violations 422 d'un payload sur les champs. Retourne true des
     * qu'au moins une violation a ete posee, false sinon (payload sans
     * violation exploitable).
     */
    function setServerErrors(data: unknown): boolean {
        const mapped = mapViolationsToRecord(data)
        const keys = Object.keys(mapped)
        if (keys.length === 0) return false
        for (const key of keys) {
            errors[key] = mapped[key]
        }
        return true
    }
    /**
     * Route une erreur API : 422 avec violations exploitables → mapping inline
     * (pas de toast, l'erreur s'affiche sous le champ) ; sinon → toast de
     * fallback (message serveur extrait, ou `fallbackMessage`).
     *
     * Retourne true si l'erreur a ete mappee inline, false si fallback toast.
     */
    function handleApiError(e: unknown, opts: HandleApiErrorOptions = {}): boolean {
        const status = (e as ApiFetchError)?.response?.status
        const data = (e as ApiFetchError)?.response?._data
        if (status === 422 && setServerErrors(data)) {
            return true
        }
        const message
            = extractApiErrorMessage(data)
            || opts.fallbackMessage
            || t('errors.generic')
        toast.error({ title: t('errors.title'), message })
        return false
    }
    return {
        errors,
        hasErrors,
        setError,
        clearError,
        clearErrors,
        setServerErrors,
        handleApiError,
    }
 }
@@ -1,58 +0,0 @@
 import { describe, it, expect } from 'vitest'
 import { mapViolationsToRecord } from '../api'
 /**
 * Tests de `mapViolationsToRecord` — fondation du mapping erreur→champ des
 * formulaires (ERP-101). Transforme un payload 422 API Platform en
 * `Record<propertyPath, message>` directement consommable par la prop `:error`
 * des composants `Malio*`.
 */
 describe('mapViolationsToRecord', () => {
    it('mappe chaque violation par son propertyPath (format `violations`)', () => {
        const data = {
            violations: [
                { propertyPath: 'companyName', message: 'Obligatoire.' },
                { propertyPath: 'siren', message: 'SIREN deja utilise.' },
            ],
        }
        expect(mapViolationsToRecord(data)).toEqual({
            companyName: 'Obligatoire.',
            siren: 'SIREN deja utilise.',
        })
    })
    it('supporte le format negocie `hydra:violations`', () => {
        const data = {
            'hydra:violations': [
                { propertyPath: 'email', message: 'Adresse invalide.' },
            ],
        }
        expect(mapViolationsToRecord(data)).toEqual({ email: 'Adresse invalide.' })
    })
    it('renvoie un objet vide quand il n\'y a pas de violation exploitable', () => {
        expect(mapViolationsToRecord({})).toEqual({})
        expect(mapViolationsToRecord(null)).toEqual({})
        expect(mapViolationsToRecord({ violations: [] })).toEqual({})
    })
    it('ignore les violations sans propertyPath', () => {
        const data = {
            violations: [
                { propertyPath: '', message: 'Erreur globale.' },
                { propertyPath: 'iban', message: 'IBAN invalide.' },
            ],
        }
        expect(mapViolationsToRecord(data)).toEqual({ iban: 'IBAN invalide.' })
    })
    it('en cas de doublon de propertyPath, la derniere violation gagne', () => {
        const data = {
            violations: [
                { propertyPath: 'name', message: 'Premier message.' },
                { propertyPath: 'name', message: 'Second message.' },
            ],
        }
        expect(mapViolationsToRecord(data)).toEqual({ name: 'Second message.' })
    })
 })
@@ -1,56 +0,0 @@
 import { describe, it, expect, vi, beforeEach } from 'vitest'
 import { httpExternal } from '../httpExternal'
 // On mocke ofetch : httpExternal s'appuie sur $fetch sans jamais toucher le
 // reseau pendant les tests. vi.mock est hoiste par Vitest au-dessus des imports.
 const mockFetch = vi.hoisted(() => vi.fn())
 vi.mock('ofetch', () => ({ $fetch: mockFetch }))
 describe('httpExternal', () => {
    beforeEach(() => {
        mockFetch.mockReset()
    })
    it('retourne le JSON parse renvoye par $fetch', async () => {
        mockFetch.mockResolvedValueOnce({ ok: true })
        const res = await httpExternal<{ ok: boolean }>('https://example.test/api')
        expect(res).toEqual({ ok: true })
    })
    it('transmet la query, coupe le cookie (credentials omit) et pose un timeout par defaut', async () => {
        mockFetch.mockResolvedValueOnce([])
        await httpExternal('https://example.test/search', {
            query: { q: '80000', type: 'municipality' },
        })
        expect(mockFetch).toHaveBeenCalledWith(
            'https://example.test/search',
            expect.objectContaining({
                query: { q: '80000', type: 'municipality' },
                credentials: 'omit',
                retry: 0,
                timeout: 5000,
            }),
        )
    })
    it('permet de surcharger le timeout', async () => {
        mockFetch.mockResolvedValueOnce(null)
        await httpExternal('https://example.test', { timeoutMs: 1000 })
        expect(mockFetch).toHaveBeenCalledWith(
            'https://example.test',
            expect.objectContaining({ timeout: 1000 }),
        )
    })
    it('propage l\'erreur reseau / timeout (throw)', async () => {
        mockFetch.mockRejectedValueOnce(new Error('network down'))
        await expect(httpExternal('https://example.test')).rejects.toThrow('network down')
    })
 })
@@ -20,27 +20,4 @@ describe('formatPhoneFR', () => {
    it('groupe par 2 meme un nombre impair de chiffres (dernier groupe seul)', () => {
        expect(formatPhoneFR('123')).toBe('12 3')
    })
    it('formate une saisie courte (<= 4 chiffres) sans planter', () => {
        expect(formatPhoneFR('1')).toBe('1')
        expect(formatPhoneFR('12')).toBe('12')
        expect(formatPhoneFR('1234')).toBe('12 34')
    })
    it('strip les caracteres non numeriques (lettres, espaces, ponctuation)', () => {
        expect(formatPhoneFR('abc')).toBe('')
        expect(formatPhoneFR('Tel : 06.12')).toBe('06 12')
        expect(formatPhoneFR('  06 12  ')).toBe('06 12')
    })
    it('conserve l\'indicatif international (+33) sans le transformer', () => {
        // Comportement fige : on retire seulement le `+`, on ne deduit pas le
        // prefixe pays. Le `+33...` est donc groupe brut par paquets de 2.
        expect(formatPhoneFR('+33612345678')).toBe('33 61 23 45 67 8')
    })
    it('groupe sans tronquer une saisie plus longue que 10 chiffres', () => {
        // Aucune troncature silencieuse : on figure tous les chiffres groupes par 2.
        expect(formatPhoneFR('061234567899')).toBe('06 12 34 56 78 99')
    })
 })
@@ -66,25 +66,6 @@ export function extractApiViolations(data: unknown): ApiViolation[] {
    return out
 }
 /**
 * Transforme un payload d'erreur 422 d'API Platform en dictionnaire
 * `{ propertyPath: message }`, directement consommable par la prop `:error`
 * des composants `Malio*` (le nom du champ cote front = le `propertyPath`
 * renvoye par le back). Fondation du mapping erreur→champ des formulaires :
 * utilise par `useFormErrors` (champs scalaires) et par les boucles de submit
 * de collections (erreur par ligne).
 *
 * Les violations sans `propertyPath` (erreur globale) sont ignorees ; en cas
 * de doublon de `propertyPath`, la derniere violation l'emporte.
 */
 export function mapViolationsToRecord(data: unknown): Record<string, string> {
    const out: Record<string, string> = {}
    for (const v of extractApiViolations(data)) {
        if (v.propertyPath) out[v.propertyPath] = v.message
    }
    return out
 }
 /**
 * Extrait un message d'erreur lisible depuis un payload Hydra / JSON
 * d'erreur API Platform. Essaie les champs courants dans l'ordre :
@@ -1,40 +0,0 @@
 import { $fetch } from 'ofetch'
 /**
 * Options d'un appel HTTP externe.
 */
 export interface HttpExternalOptions {
    /** Parametres de query string (encodes par ofetch). */
    query?: Record<string, string | number | undefined>
    /** Timeout en millisecondes avant abandon (defaut 5000). */
    timeoutMs?: number
 }
 /**
 * Petit client HTTP pour les APIs PUBLIQUES EXTERNES (domaine tiers, hors `/api`).
 *
 * Pourquoi un helper dedie plutot que `useApi()` : `useApi()` est le client de
 * l'API interne Starseed (baseURL `/api`, cookie JWT `credentials: 'include'`,
 * parsing/erreurs Hydra, redirection `/login` sur 401, toasts i18n). Tout cela
 * est inadapte — voire indesirable — pour un endpoint public externe comme la
 * Base Adresse Nationale (`api-adresse.data.gouv.fr`).
 *
 * Ce helper est donc le SEUL point d'entree autorise pour un `$fetch` brut vers
 * l'externe (cf. regle frontend n°4 : pas de `$fetch` eparpille dans les
 * composants). Il :
 * - cible une URL absolue (pas de baseURL `/api`) ;
 * - n'envoie PAS le cookie de session (`credentials: 'omit'`) ;
 * - ne retente pas (`retry: 0`) et applique un timeout ;
 * - laisse remonter l'erreur (throw) — au consommateur de gerer le mode degrade.
 */
 export async function httpExternal<T>(
    url: string,
    opts: HttpExternalOptions = {},
 ): Promise<T> {
    return $fetch<T>(url, {
        query: opts.query,
        credentials: 'omit',
        retry: 0,
        timeout: opts.timeoutMs ?? 5000,
    })
 }
@@ -75,15 +75,6 @@ export const personas: Record<PersonaKey, Persona> = {
            'commercial.clients.accounting.view',
            'commercial.clients.accounting.manage',
            'commercial.clients.archive',
            // Commercial — Repertoire fournisseurs (M2, ERP-90). Meme logique que
            // les clients : mappe sur le persona "tout", pas de nouveau persona
            // (regle ABSOLUE n°7). commercial.suppliers.view n'ajoute pas de lien
            // dans la section Administration, donc expectedAdminLinks reste inchange.
            'commercial.suppliers.view',
            'commercial.suppliers.manage',
            'commercial.suppliers.accounting.view',
            'commercial.suppliers.accounting.manage',
            'commercial.suppliers.archive',
        ],
        expectedAdminLinks: ['users', 'roles', 'sites', 'categories', 'audit-log'],
    },
@@ -1,131 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace DoctrineMigrations;
 use Doctrine\DBAL\Schema\Schema;
 use Doctrine\Migrations\AbstractMigration;
 /**
 * M1 — Suppression du contact principal inline du `Client` (refonte contact).
 *
 * Modele AVANT : le `Client` portait 5 colonnes de contact principal
 * (first_name, last_name, phone_primary, phone_secondary, email) en doublon
 * conceptuel de la sous-entite `ClientContact` (onglet Contact).
 *
 * Modele APRES (decision produit, README refonte-contact) : les contacts vivent
 * UNIQUEMENT dans `client_contact`. Les 5 colonnes inline disparaissent du
 * `client`. RG-1.01 (firstName OU lastName sur Client) et RG-1.02 (max 2
 * telephones sur Client) sont supprimees : leur equivalent vit deja sur
 * `client_contact` (RG-1.05 / RG-1.14).
 *
 * Le code etant deja en prod, la suppression est precedee d'un BACKFILL : pour
 * tout client n'ayant encore AUCUN contact, on materialise son contact principal
 * inline en une ligne `client_contact` (position 0) avant le DROP, afin de ne
 * perdre aucune donnee.
 *
 * Namespace racine `DoctrineMigrations` (regle ABSOLUE n°11) et NON modulaire
 * Commercial : avec plusieurs migrations_paths, Doctrine Migrations 3.x trie par
 * FQCN alphabetique (AlphabeticalComparator). Une migration
 * `App\Module\Commercial\...` trierait AVANT toutes les `DoctrineMigrations\...`
 * sur base vide -> ce DROP s'executerait avant le CREATE TABLE client
 * (Version20260601000000). Le namespace racine garantit l'ordre par timestamp.
 */
 final class Version20260603120000 extends AbstractMigration
 {
    /** Colonnes de contact inline supprimees du `client`. */
    private const array INLINE_CONTACT_COLUMNS = [
        'first_name', 'last_name', 'phone_primary', 'phone_secondary', 'email',
    ];
    public function getDescription(): string
    {
        return 'M1 : suppression du contact inline du Client (backfill vers client_contact puis DROP des 5 colonnes).';
    }
    public function up(Schema $schema): void
    {
        // 1. Backfill : tout client SANS contact recoit une ligne client_contact
        //    (position 0) reprenant ses champs inline. phone_primary / email du
        //    client sont NOT NULL -> toujours une donnee a reporter. Le CHECK
        //    chk_client_contact_name (first_name OU last_name) est garanti par le
        //    fallback company_name si jamais les deux noms etaient null (cas qui ne
        //    devrait pas exister, RG-1.01 ayant ete appliquee a l'ecriture).
        //    created_at/updated_at NOT NULL -> NOW() ; created_by/updated_by null
        //    (backfill hors contexte HTTP, libelle « Systeme » cote front).
        $this->addSql(<<<'SQL'
            INSERT INTO client_contact (
                client_id, first_name, last_name, phone_primary, phone_secondary,
                email, position, created_at, updated_at
            )
            SELECT
                c.id,
                c.first_name,
                CASE
                    WHEN c.first_name IS NULL AND c.last_name IS NULL THEN c.company_name
                    ELSE c.last_name
                END,
                c.phone_primary,
                c.phone_secondary,
                c.email,
                0,
                NOW(),
                NOW()
            FROM client c
            WHERE NOT EXISTS (
                SELECT 1 FROM client_contact cc WHERE cc.client_id = c.id
            )
            SQL);
        // 2. DROP des 5 colonnes inline (rien a documenter : suppression).
        $this->addSql(<<<'SQL'
            ALTER TABLE client
                DROP COLUMN first_name,
                DROP COLUMN last_name,
                DROP COLUMN phone_primary,
                DROP COLUMN phone_secondary,
                DROP COLUMN email
            SQL);
    }
    public function down(Schema $schema): void
    {
        // Best-effort : on RECREE les 5 colonnes (en NULLABLE — l'etat NOT NULL
        // d'origine de phone_primary/email ne peut etre restaure sur une table
        // peuplee sans risque) et on retro-alimente depuis le contact principal
        // (position minimale) de chaque client. La donnee n'est pas garantie
        // identique a l'origine : ce down() sert au rollback technique, pas a une
        // restauration fidele.
        $this->addSql('ALTER TABLE client ADD COLUMN first_name VARCHAR(120) DEFAULT NULL');
        $this->addSql('ALTER TABLE client ADD COLUMN last_name VARCHAR(120) DEFAULT NULL');
        $this->addSql('ALTER TABLE client ADD COLUMN phone_primary VARCHAR(20) DEFAULT NULL');
        $this->addSql('ALTER TABLE client ADD COLUMN phone_secondary VARCHAR(20) DEFAULT NULL');
        $this->addSql('ALTER TABLE client ADD COLUMN email VARCHAR(180) DEFAULT NULL');
        // Retro-alimentation depuis le contact de position la plus basse.
        $this->addSql(<<<'SQL'
            UPDATE client c SET
                first_name      = cc.first_name,
                last_name       = cc.last_name,
                phone_primary   = cc.phone_primary,
                phone_secondary = cc.phone_secondary,
                email           = cc.email
            FROM (
                SELECT DISTINCT ON (client_id)
                    client_id, first_name, last_name, phone_primary, phone_secondary, email
                FROM client_contact
                ORDER BY client_id, position ASC, id ASC
            ) cc
            WHERE cc.client_id = c.id
            SQL);
        // Re-pose des commentaires d'origine (regle ABSOLUE n°12) — dollar-quoting
        // Postgres pour eviter tout echappement d apostrophe.
        $this->addSql('COMMENT ON COLUMN client.first_name IS $_$Prenom du contact principal (capitalise serveur, RG-1.19). first_name OU last_name obligatoire (RG-1.01).$_$');
        $this->addSql('COMMENT ON COLUMN client.last_name IS $_$Nom du contact principal (capitalise serveur, RG-1.19). first_name OU last_name obligatoire (RG-1.01).$_$');
        $this->addSql('COMMENT ON COLUMN client.phone_primary IS $_$Telephone principal — stocke en chiffres uniquement (RG-1.20). Obligatoire.$_$');
        $this->addSql('COMMENT ON COLUMN client.phone_secondary IS $_$Telephone secondaire optionnel — chiffres uniquement (RG-1.20).$_$');
        $this->addSql('COMMENT ON COLUMN client.email IS $_$Email principal (lowercase serveur, RG-1.21). NON unique (RG-1.17 supprimee, Q4).$_$');
    }
 }
@@ -1,102 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace DoctrineMigrations;
 use Doctrine\DBAL\Schema\Schema;
 use Doctrine\Migrations\AbstractMigration;
 /**
 * ERP-84 — Taxonomie FOURNISSEUR (module Catalog, prerequis M2).
 *
 * Contexte : ERP-78 (Version20260602100000) a unifie la taxonomie sur un type
 * unique CLIENT. Le M2 (fournisseurs) a besoin d'une taxonomie distincte : les
 * categories clients (Agro-alimentaire...) ne sont pas valides pour un
 * fournisseur (Negociant, Cooperative...). Decision Matthieu (02/06) : types
 * distincts CLIENT / FOURNISSEUR (PRESTA a venir), chacun avec sa taxonomie.
 *
 * Cette migration :
 *  1. recree le `category_type` FOURNISSEUR (code FOURNISSEUR, label « Fournisseur ») ;
 *  2. seede quelques `Category` de demonstration rattachees a ce type.
 *
 * Aucune colonne creee/modifiee -> pas de `COMMENT ON COLUMN` (regle ABSOLUE n°12).
 *
 * Namespace racine `DoctrineMigrations` (regle ABSOLUE n°11) et NON modulaire
 * Catalog : avec plusieurs migrations_paths, Doctrine Migrations 3.x trie par
 * FQCN alphabetique -> une migration `App\Module\Catalog\...` passerait avant les
 * `DoctrineMigrations\...` sur base vide, donc avant la creation de la table
 * `category_type`. Le namespace racine garantit l'ordre par timestamp.
 *
 * Idempotence : `INSERT ... ON CONFLICT (code) DO NOTHING` pour le type,
 * `INSERT ... SELECT ... WHERE NOT EXISTS` pour chaque categorie (aligne sur le
 * pattern ERP-78 etape 4). En prod la table `category` est vide (aucune fixture
 * metier). En dev/test, le purger Doctrine vide `category`/`category_type` avant
 * les fixtures qui reproduisent le meme etat final (CategoryTypeFixtures /
 * CategoryFixtures etendus a FOURNISSEUR).
 */
 final class Version20260605120000 extends AbstractMigration
 {
    /**
     * Categories de demonstration du type FOURNISSEUR : nom => code stable. Le
     * code est la cle metier (slug MAJUSCULE du nom, miroir du
     * CategoryCodeGenerator) et reste unique parmi les actifs (uq_category_code,
     * partage avec les codes CLIENT — aucune collision ici).
     */
    private const array SUPPLIER_CATEGORIES = [
        'Négociant'   => 'NEGOCIANT',
        'Coopérative' => 'COOPERATIVE',
        'Producteur'  => 'PRODUCTEUR',
        'Grossiste'   => 'GROSSISTE',
        'Importateur' => 'IMPORTATEUR',
    ];
    public function getDescription(): string
    {
        return 'ERP-84 : recree le CategoryType FOURNISSEUR + seed des categories fournisseurs (Negociant, Cooperative...).';
    }
    public function up(Schema $schema): void
    {
        // 1. Type FOURNISSEUR (idempotent via l'index unique uq_category_type_code).
        $this->addSql(<<<'SQL'
            INSERT INTO category_type (code, label) VALUES ('FOURNISSEUR', 'Fournisseur')
            ON CONFLICT (code) DO NOTHING
            SQL);
        // 2. Categories de demonstration sous FOURNISSEUR (si le code est libre
        //    parmi les actifs). created_at/updated_at NOT NULL -> NOW() ; le blame
        //    reste null (seed hors contexte HTTP, libelle « Systeme » cote front).
        foreach (self::SUPPLIER_CATEGORIES as $name => $code) {
            $this->addSql(<<<'SQL'
                INSERT INTO category (name, code, category_type_id, created_at, updated_at)
                SELECT :name, :code, ct.id, NOW(), NOW()
                FROM category_type ct
                WHERE ct.code = 'FOURNISSEUR'
                  AND NOT EXISTS (
                      SELECT 1 FROM category c WHERE c.code = :code AND c.deleted_at IS NULL
                  )
                SQL, ['name' => $name, 'code' => $code]);
        }
    }
    public function down(Schema $schema): void
    {
        // Best-effort : on retire d'abord les categories seedees (par code), puis
        // le type s'il n'est plus reference (guard NOT EXISTS sur la FK RESTRICT).
        $this->addSql(
            'DELETE FROM category WHERE code IN (:codes) '
            ."AND category_type_id = (SELECT id FROM category_type WHERE code = 'FOURNISSEUR')",
            ['codes' => array_values(self::SUPPLIER_CATEGORIES)],
            ['codes' => \Doctrine\DBAL\ArrayParameterType::STRING],
        );
        $this->addSql(<<<'SQL'
            DELETE FROM category_type
            WHERE code = 'FOURNISSEUR'
              AND NOT EXISTS (
                  SELECT 1 FROM category c WHERE c.category_type_id = category_type.id
              )
            SQL);
    }
 }
@@ -1,438 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace DoctrineMigrations;
 use App\Shared\Infrastructure\Database\ColumnCommentsCatalog;
 use Doctrine\DBAL\Schema\Schema;
 use Doctrine\Migrations\AbstractMigration;
 /**
 * M2 — Repertoire fournisseurs (ERP-85) : creation de toute la structure BDD
 * des fournisseurs sous le module Commercial (jumeau du M1 client).
 *
 * Tables creees :
 *  - Table principale : supplier (formulaire principal + Information +
 *    Comptabilite + archive + soft-delete + Timestampable/Blamable).
 *  - Sous-collections : supplier_category (M2M), supplier_contact (1:n),
 *    supplier_address (1:n), supplier_rib (1:n).
 *  - Jointures de supplier_address : supplier_address_site,
 *    supplier_address_contact, supplier_address_category.
 *
 * Differences vs le M1 `client` (cf. spec M2 § 2.4 / § 3.1) :
 *  - PAS de contact inline sur supplier (first_name / last_name / phone_* /
 *    email retires en V0.2, refonte-contact ERP-106). Les contacts vivent
 *    uniquement dans supplier_contact (onglet Contacts).
 *  - PAS d'auto-reference distributor_id / broker_id (pas de CHECK associe).
 *  - Ajout du champ Information volume_forecast (entier).
 *  - supplier_address remplace les 3 booleens M1 (is_prospect / is_delivery /
 *    is_billing + billing_email) par un seul enum address_type
 *    (PROSPECT | DEPART | RENDU, radio exclusif, CHECK chk_supplier_address_type)
 *    et ajoute bennes (int nullable) + triage_provider (bool).
 *
 * Referentiels comptables NON recrees : tva_mode / payment_delay / payment_type
 * / bank sont ceux du M1 (FK partagees, zero duplication — spec § 2.3).
 *
 * CategoryType FOURNISSEUR NON re-seede : il est cree par ERP-84
 * (Version20260605120000) avec ses categories de demonstration. Le M2M
 * supplier_category / supplier_address_category s'appuie sur ce type existant.
 *
 * Namespace racine `DoctrineMigrations` (regle ABSOLUE Starseed n°11) et NON
 * `App\Module\Commercial\...` : la migration cree un schema avec FK cross-module
 * (user, category, site, et les referentiels comptables M1). Avec plusieurs
 * migrations_paths, Doctrine Migrations 3.x trie par FQCN alphabetique — un
 * namespace modulaire s'executerait avant la creation de user/category/site sur
 * base vide -> echec des FK. Le namespace racine garantit l'ordre par timestamp.
 *
 * Style DDL aligne sur le M1 (Version20260601000000) : `INT GENERATED BY DEFAULT
 * AS IDENTITY` (et non SERIAL), `TIMESTAMP(0) WITHOUT TIME ZONE` (et non
 * TIMESTAMPTZ, car le TimestampableBlamableTrait mappe `datetime_immutable`).
 * Garantit que `schema:update` restera un no-op quand les entites arriveront
 * (ticket ERP-86).
 *
 * Decision unicite (Matthieu 02/06, alignee Q4 du M1) : unicite metier sur le
 * NOM DE SOCIETE uniquement (uq_supplier_company_name_active, partiel). Pas
 * d'index unique sur siren ni email.
 *
 * Chaque colonne porte un `COMMENT ON COLUMN` (regle ABSOLUE n°12, garde-fou
 * ColumnsHaveSqlCommentTest). Les tables n'etant pas encore mappees par l'ORM
 * (entites a ERP-86), ces commentaires survivent au `schema:update --force` du
 * setup de test (additif, ne drop pas les tables non mappees).
 */
 final class Version20260605130000 extends AbstractMigration
 {
    public function getDescription(): string
    {
        return 'ERP-85 (M2) : tables supplier + sous-collections + jointures M2M (referentiels comptables et CategoryType FOURNISSEUR reutilises).';
    }
    public function up(Schema $schema): void
    {
        $this->createSupplierTable();
        $this->createSupplierCategory();
        $this->createSupplierContact();
        $this->createSupplierAddress();
        $this->createSupplierAddressJoinTables();
        $this->createSupplierRib();
    }
    public function down(Schema $schema): void
    {
        // Ordre inverse des dependances FK : jointures et sous-collections
        // d'abord, puis supplier. Les referentiels comptables et le
        // CategoryType FOURNISSEUR ne sont pas touches (crees ailleurs).
        $this->addSql('DROP TABLE supplier_address_category');
        $this->addSql('DROP TABLE supplier_address_contact');
        $this->addSql('DROP TABLE supplier_address_site');
        $this->addSql('DROP TABLE supplier_rib');
        $this->addSql('DROP TABLE supplier_address');
        $this->addSql('DROP TABLE supplier_contact');
        $this->addSql('DROP TABLE supplier_category');
        $this->addSql('DROP TABLE supplier');
    }
    // =================================================================
    // Table principale `supplier`
    // =================================================================
    private function createSupplierTable(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                company_name VARCHAR(180) NOT NULL,
                description TEXT DEFAULT NULL,
                competitors VARCHAR(255) DEFAULT NULL,
                founded_at DATE DEFAULT NULL,
                employees_count INT DEFAULT NULL,
                revenue_amount NUMERIC(15, 2) DEFAULT NULL,
                director_name VARCHAR(120) DEFAULT NULL,
                profit_amount NUMERIC(15, 2) DEFAULT NULL,
                volume_forecast INT DEFAULT NULL,
                siren VARCHAR(20) DEFAULT NULL,
                account_number VARCHAR(40) DEFAULT NULL,
                tva_mode_id INT DEFAULT NULL,
                n_tva VARCHAR(40) DEFAULT NULL,
                payment_delay_id INT DEFAULT NULL,
                payment_type_id INT DEFAULT NULL,
                bank_id INT DEFAULT NULL,
                is_archived BOOLEAN DEFAULT FALSE NOT NULL,
                archived_at TIMESTAMP(0) WITHOUT TIME ZONE DEFAULT NULL,
                deleted_at TIMESTAMP(0) WITHOUT TIME ZONE DEFAULT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT fk_supplier_tva_mode
                    FOREIGN KEY (tva_mode_id) REFERENCES tva_mode (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_payment_delay
                    FOREIGN KEY (payment_delay_id) REFERENCES payment_delay (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_payment_type
                    FOREIGN KEY (payment_type_id) REFERENCES payment_type (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_bank
                    FOREIGN KEY (bank_id) REFERENCES bank (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_is_archived ON supplier (is_archived)');
        $this->addSql('CREATE INDEX idx_supplier_deleted_at ON supplier (deleted_at)');
        $this->addSql('CREATE INDEX idx_supplier_created_by ON supplier (created_by)');
        $this->addSql('CREATE INDEX idx_supplier_updated_by ON supplier (updated_by)');
        // Index sur les FK des referentiels comptables (Postgres n'indexe pas
        // automatiquement les colonnes portant une FOREIGN KEY).
        $this->addSql('CREATE INDEX idx_supplier_tva_mode_id ON supplier (tva_mode_id)');
        $this->addSql('CREATE INDEX idx_supplier_payment_delay_id ON supplier (payment_delay_id)');
        $this->addSql('CREATE INDEX idx_supplier_payment_type_id ON supplier (payment_type_id)');
        $this->addSql('CREATE INDEX idx_supplier_bank_id ON supplier (bank_id)');
        // Unicite metier partielle : nom de societe insensible a la casse, parmi
        // les non-archives ET non soft-deletes uniquement (spec § 2.6). Pas
        // d'index unique sur siren ni email.
        $this->addSql(<<<'SQL'
            CREATE UNIQUE INDEX uq_supplier_company_name_active
            ON supplier (LOWER(company_name))
            WHERE is_archived = FALSE AND deleted_at IS NULL
            SQL);
        $this->comment('supplier', '_table', 'Repertoire fournisseurs (M2 Commercial) — entites archivables (is_archived) et soft-deletables (deleted_at, HP M3).');
        $this->comment('supplier', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier', 'company_name', 'Raison sociale du fournisseur (stockee en MAJUSCULES). Unique case-insensitive parmi les actifs non archives/non supprimes (uq_supplier_company_name_active, § 2.6).');
        $this->comment('supplier', 'description', 'Onglet Information : description libre. Obligatoire pour le role Commerciale (RG-2.03), optionnel sinon.');
        $this->comment('supplier', 'competitors', 'Onglet Information : concurrents identifies (texte libre ≤ 255). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'founded_at', 'Onglet Information : date de creation de l entreprise. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'employees_count', 'Onglet Information : effectif (entier >= 0). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'revenue_amount', 'Onglet Information : chiffre d affaires (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'director_name', 'Onglet Information : nom du dirigeant. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'profit_amount', 'Onglet Information : resultat / benefice (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'volume_forecast', 'Onglet Information : volume previsionnel (entier >= 0) — specifique fournisseur. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'siren', 'Onglet Comptabilite : SIREN (9 chiffres attendus). NON unique — peut etre partage entre etablissements (§ 2.6).');
        $this->comment('supplier', 'account_number', 'Onglet Comptabilite : numero de compte comptable du fournisseur.');
        $this->comment('supplier', 'tva_mode_id', 'Onglet Comptabilite : mode de TVA applique — FK -> tva_mode.id (referentiel partage M1), ON DELETE RESTRICT.');
        $this->comment('supplier', 'n_tva', 'Onglet Comptabilite : numero de TVA intracommunautaire.');
        $this->comment('supplier', 'payment_delay_id', 'Onglet Comptabilite : delai de reglement — FK -> payment_delay.id (M1), ON DELETE RESTRICT.');
        $this->comment('supplier', 'payment_type_id', 'Onglet Comptabilite : type de reglement — FK -> payment_type.id (M1), ON DELETE RESTRICT. Pilote RG-2.07 (Banque si VIREMENT) et RG-2.08 (RIB).');
        $this->comment('supplier', 'bank_id', 'Onglet Comptabilite : banque — FK -> bank.id (M1), ON DELETE RESTRICT. Obligatoire ssi payment_type = VIREMENT (RG-2.07), null sinon.');
        $this->comment('supplier', 'is_archived', 'Drapeau fonctionnel d archivage — masque par defaut dans la liste. Bascule via permission commercial.suppliers.archive.');
        $this->comment('supplier', 'archived_at', 'Horodatage de l archivage — pose quand is_archived passe a vrai, remis a null a la restauration.');
        $this->comment('supplier', 'deleted_at', 'Horodatage du soft-delete technique (HP M3) — non expose par l API au M2. Null = ligne active.');
        $this->addTimestampableBlamableComments('supplier');
    }
    // =================================================================
    // M2M supplier <-> category (type FOURNISSEUR — RG-2.10)
    // =================================================================
    private function createSupplierCategory(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_category (
                supplier_id INT NOT NULL,
                category_id INT NOT NULL,
                PRIMARY KEY (supplier_id, category_id),
                CONSTRAINT fk_supplier_category_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_category_category
                    FOREIGN KEY (category_id) REFERENCES category (id) ON DELETE RESTRICT
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_category_category ON supplier_category (category_id)');
        $this->comment('supplier_category', '_table', 'Jointure M2M supplier <-> category (Catalog) — categories de type FOURNISSEUR du fournisseur, au moins une obligatoire (RG-2.10).');
        $this->comment('supplier_category', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur porteur de la categorie.');
        $this->comment('supplier_category', 'category_id', 'FK -> category.id, ON DELETE RESTRICT — categorie de type FOURNISSEUR rattachee au fournisseur (RG-2.10).');
    }
    // =================================================================
    // Sous-collection : contacts (1:n)
    // =================================================================
    private function createSupplierContact(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_contact (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                first_name VARCHAR(120) DEFAULT NULL,
                last_name VARCHAR(120) DEFAULT NULL,
                job_title VARCHAR(120) DEFAULT NULL,
                phone_primary VARCHAR(20) DEFAULT NULL,
                phone_secondary VARCHAR(20) DEFAULT NULL,
                email VARCHAR(180) DEFAULT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT chk_supplier_contact_name
                    CHECK (first_name IS NOT NULL OR last_name IS NOT NULL),
                CONSTRAINT fk_supplier_contact_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_contact_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_contact_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_contact_supplier ON supplier_contact (supplier_id)');
        $this->comment('supplier_contact', '_table', 'Contacts d un fournisseur (1:n) — au moins firstName OU lastName par contact (RG-2.04).');
        $this->comment('supplier_contact', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_contact', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du contact.');
        $this->comment('supplier_contact', 'first_name', 'Prenom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).');
        $this->comment('supplier_contact', 'last_name', 'Nom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).');
        $this->comment('supplier_contact', 'job_title', 'Fonction / intitule de poste du contact (≤ 120 caracteres).');
        $this->comment('supplier_contact', 'phone_primary', 'Telephone principal du contact — chiffres uniquement (normalisation serveur).');
        $this->comment('supplier_contact', 'phone_secondary', 'Telephone secondaire du contact — chiffres uniquement (normalisation serveur).');
        $this->comment('supplier_contact', 'email', 'Email du contact (lowercase serveur).');
        $this->comment('supplier_contact', 'position', 'Ordre d affichage du contact dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_contact');
    }
    // =================================================================
    // Sous-collection : adresses (1:n)
    // =================================================================
    private function createSupplierAddress(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                address_type VARCHAR(20) NOT NULL,
                country VARCHAR(80) DEFAULT 'France' NOT NULL,
                postal_code VARCHAR(20) NOT NULL,
                city VARCHAR(120) NOT NULL,
                street VARCHAR(255) NOT NULL,
                street_complement VARCHAR(255) DEFAULT NULL,
                bennes INT DEFAULT NULL,
                triage_provider BOOLEAN DEFAULT FALSE NOT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT chk_supplier_address_type
                    CHECK (address_type IN ('PROSPECT', 'DEPART', 'RENDU')),
                CONSTRAINT fk_supplier_address_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_address_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_address_supplier ON supplier_address (supplier_id)');
        $this->comment('supplier_address', '_table', 'Adresses d un fournisseur (1:n) — type PROSPECT/DEPART/RENDU exclusif (RG-2.09), >= 1 site rattache (RG-2.06).');
        $this->comment('supplier_address', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_address', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire de l adresse.');
        $this->comment('supplier_address', 'address_type', 'Type d adresse : PROSPECT | DEPART | RENDU (radio exclusif par construction — RG-2.09, chk_supplier_address_type).');
        $this->comment('supplier_address', 'country', 'Pays de l adresse — defaut France.');
        $this->comment('supplier_address', 'postal_code', 'Code postal (4-5 chiffres attendus).');
        $this->comment('supplier_address', 'city', 'Ville — preremplie depuis le code postal via API BAN cote front.');
        $this->comment('supplier_address', 'street', 'Numero et voie de l adresse.');
        $this->comment('supplier_address', 'street_complement', 'Complement d adresse (etage, batiment...) — optionnel.');
        $this->comment('supplier_address', 'bennes', 'Nombre de bennes sur le site fournisseur (entier nullable) — specifique fournisseur.');
        $this->comment('supplier_address', 'triage_provider', 'Le fournisseur est prestataire de triage sur cette adresse. Faux par defaut.');
        $this->comment('supplier_address', 'position', 'Ordre d affichage de l adresse dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_address');
    }
    // =================================================================
    // Jointures de supplier_address (M2M)
    // =================================================================
    private function createSupplierAddressJoinTables(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_site (
                supplier_address_id INT NOT NULL,
                site_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, site_id),
                CONSTRAINT fk_supplier_address_site_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_site_site
                    FOREIGN KEY (site_id) REFERENCES site (id) ON DELETE RESTRICT
            )
            SQL);
        $this->comment('supplier_address_site', '_table', 'Jointure M2M supplier_address <-> site (Sites) — sites rattaches a l adresse (>= 1 obligatoire, RG-2.06).');
        $this->comment('supplier_address_site', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_site', 'site_id', 'FK -> site.id, ON DELETE RESTRICT — site rattache a l adresse.');
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_contact (
                supplier_address_id INT NOT NULL,
                supplier_contact_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, supplier_contact_id),
                CONSTRAINT fk_supplier_address_contact_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_contact_contact
                    FOREIGN KEY (supplier_contact_id) REFERENCES supplier_contact (id) ON DELETE CASCADE
            )
            SQL);
        $this->comment('supplier_address_contact', '_table', 'Jointure M2M supplier_address <-> supplier_contact — contacts associes a une adresse.');
        $this->comment('supplier_address_contact', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_contact', 'supplier_contact_id', 'FK -> supplier_contact.id, ON DELETE CASCADE — contact associe a l adresse.');
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_category (
                supplier_address_id INT NOT NULL,
                category_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, category_id),
                CONSTRAINT fk_supplier_address_category_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_category_category
                    FOREIGN KEY (category_id) REFERENCES category (id) ON DELETE RESTRICT
            )
            SQL);
        $this->comment('supplier_address_category', '_table', 'Jointure M2M supplier_address <-> category — categories d adresse de type FOURNISSEUR (RG-2.10).');
        $this->comment('supplier_address_category', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_category', 'category_id', 'FK -> category.id, ON DELETE RESTRICT — categorie d adresse de type FOURNISSEUR (RG-2.10).');
    }
    // =================================================================
    // Sous-collection : RIB (1:n)
    // =================================================================
    private function createSupplierRib(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_rib (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                label VARCHAR(120) NOT NULL,
                bic VARCHAR(20) NOT NULL,
                iban VARCHAR(34) NOT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT fk_supplier_rib_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_rib_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_rib_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_rib_supplier ON supplier_rib (supplier_id)');
        $this->comment('supplier_rib', '_table', 'Coordonnees bancaires d un fournisseur (1:n) — >= 1 RIB attendu selon le type de reglement (RG-2.08). Tous les champs audites (pas d AuditIgnore).');
        $this->comment('supplier_rib', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_rib', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du RIB.');
        $this->comment('supplier_rib', 'label', 'Libelle du RIB (ex: compte principal).');
        $this->comment('supplier_rib', 'bic', 'Code BIC/SWIFT de la banque (8 ou 11 caracteres).');
        $this->comment('supplier_rib', 'iban', 'IBAN du compte (≤ 34 caracteres).');
        $this->comment('supplier_rib', 'position', 'Ordre d affichage du RIB dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_rib');
    }
    // =================================================================
    // Helpers
    // =================================================================
    /**
     * Pose les 4 commentaires standardises Timestampable/Blamable sur une table,
     * en reutilisant le catalogue partage (source unique, cf. ERP-67).
     */
    private function addTimestampableBlamableComments(string $table): void
    {
        foreach (ColumnCommentsCatalog::timestampableBlamableComments() as $column => $description) {
            $this->comment($table, $column, $description);
        }
    }
    /**
     * Emet un `COMMENT ON TABLE` (colonne speciale `_table`) ou
     * `COMMENT ON COLUMN` en dollar-quoting Postgres ($_$...$_$) pour eviter
     * tout echappement d apostrophe.
     */
    private function comment(string $table, string $column, string $description): void
    {
        $quotedTable = '"'.str_replace('"', '""', $table).'"';
        if ('_table' === $column) {
            $this->addSql(sprintf('COMMENT ON TABLE %s IS $_$%s$_$', $quotedTable, $description));
            return;
        }
        $this->addSql(sprintf(
            'COMMENT ON COLUMN %s.%s IS $_$%s$_$',
            $quotedTable,
            '"'.str_replace('"', '""', $column).'"',
            $description,
        ));
    }
 }
@@ -112,7 +112,7 @@ class Category implements TimestampableInterface, BlamableInterface, CategoryInt
    // persiste, sans contradiction entre l'ordre Validate / Process.
    #[ORM\Column(length: 120)]
    #[Assert\NotBlank(message: 'Le nom est obligatoire.', normalizer: 'trim')]
-    #[Assert\Length(min: 2, max: 120, minMessage: 'Le nom doit comporter au moins {{ limit }} caractères.', maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(min: 2, max: 120, normalizer: 'trim')]
    #[Groups(['category:read', 'category:write'])]
    private ?string $name = null;
@@ -23,10 +23,7 @@ interface CategoryRepositoryInterface
    /**
     * Construit un QueryBuilder de liste avec filtre soft-delete et tri par defaut.
     * - $includeDeleted = false : exclut les categories soft-deleted (RG-1.08)
     * - $typeCode non null : ne garde que les categories dont le CategoryType
     *   porte ce code (filtre `?typeCode=`, ex. FOURNISSEUR / CLIENT). Sert au
     *   multi-select Categorie du fournisseur (M2, RG-2.10).
     * - Tri : name ASC (RG-1.10).
     */
-    public function createListQueryBuilder(bool $includeDeleted = false, ?string $typeCode = null): QueryBuilder;
+    public function createListQueryBuilder(bool $includeDeleted = false): QueryBuilder;
 }
@@ -40,7 +40,7 @@ final class CategoryProvider implements ProviderInterface
        $includeDeleted = $this->readIncludeDeleted($context);
        if ($operation instanceof CollectionOperationInterface) {
-            $qb = $this->repository->createListQueryBuilder($includeDeleted, $this->readTypeCode($context));
+            $qb = $this->repository->createListQueryBuilder($includeDeleted);
            // Echappatoire ?pagination=false : retourne la collection complete sans Paginator.
            // Utile pour les drawers Role/Permission/Site/CategoryType qui alimentent un <select>.
@@ -97,22 +97,4 @@ final class CategoryProvider implements ProviderInterface
        return false;
    }
    /**
     * Lit le filtre `?typeCode=` depuis les filtres API Platform. Renvoie le code
     * normalise (trim) ou null si absent / vide. Ne contraint pas la casse : la
     * comparaison SQL se fait sur le code exact stocke (ex. FOURNISSEUR, CLIENT).
     */
    private function readTypeCode(array $context): ?string
    {
        $raw = $context['filters']['typeCode'] ?? null;
        if (!is_string($raw)) {
            return null;
        }
        $raw = trim($raw);
        return '' === $raw ? null : $raw;
    }
 }
@@ -14,16 +14,14 @@ use RuntimeException;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 /**
- * Fixtures dev/test du module Catalog : categories de demonstration rattachees
+ * Fixtures dev/test du module Catalog : ~11 categories de demonstration, toutes
- * a leur CategoryType. Le type CLIENT porte ~11 categories clients (refonte
+ * rattachees au type unique CLIENT (refonte taxonomie ERP-78). Chaque categorie
- * taxonomie ERP-78) ; le type FOURNISSEUR porte les categories fournisseurs
+ * porte un `code` stable. Alimente le repertoire clients (ClientFixtures, module
- * (ERP-84 : Negociant, Cooperative...). Chaque categorie porte un `code` stable.
+ * Commercial) avec des donnees realistes couvrant RG-1.03 (codes DISTRIBUTEUR /
- * Alimente le repertoire clients (ClientFixtures, module Commercial) avec des
+ * COURTIER) et RG-1.29 (codes interdits sur adresse).
 * donnees realistes couvrant RG-1.03 (codes DISTRIBUTEUR / COURTIER) et RG-1.29
 * (codes interdits sur adresse), et le multi-select Categorie fournisseur (M2).
 *
- * Depend de CategoryTypeFixtures : les types CLIENT et FOURNISSEUR doivent etre
+ * Depend de CategoryTypeFixtures : le type CLIENT doit etre seede avant de
- * seedes avant de pouvoir y rattacher des Category.
+ * pouvoir y rattacher des Category.
 *
 * Idempotence : lookup par `code` parmi les categories non supprimees (deletedAt
 * null), coherent avec l'index unique partiel uq_category_code (code WHERE
@@ -41,36 +39,28 @@ use Symfony\Component\DependencyInjection\Attribute\Autowire;
 */
 class CategoryFixtures extends Fixture implements DependentFixtureInterface
 {
    /** Code du type unique (cf. CategoryTypeFixtures, migration ERP-78). */
    private const string CLIENT_TYPE_CODE = 'CLIENT';
    /**
-     * Categories de demonstration par code de type. Les 4 premieres categories
+     * Source unique des categories de demonstration : nom => code stable. Les 4
-     * CLIENT (Distributeur / Courtier / Secteur / Autre) sont les categories
+     * premieres (Distributeur / Courtier / Secteur / Autre) sont les categories
     * « systeme » reportees des anciens types ; leurs codes pilotent les RG.
     * Les categories FOURNISSEUR (ERP-84) miroir de la migration
     * Version20260605120000. Chaque valeur : nom => code stable.
     *
-     * @var array<string, array<string, string>>
+     * @var array<string, string>
     */
-    private const CATEGORIES_BY_TYPE = [
+    private const CATEGORIES = [
-        'CLIENT' => [
+        'Distributeur'         => 'DISTRIBUTEUR',
-            'Distributeur'         => 'DISTRIBUTEUR',
+        'Courtier'             => 'COURTIER',
-            'Courtier'             => 'COURTIER',
+        'Secteur'              => 'SECTEUR',
-            'Secteur'              => 'SECTEUR',
+        'Autre'                => 'AUTRE',
-            'Autre'                => 'AUTRE',
+        'BTP'                  => 'BTP',
-            'BTP'                  => 'BTP',
+        'Industrie'            => 'INDUSTRIE',
-            'Industrie'            => 'INDUSTRIE',
+        'Agro-alimentaire'     => 'AGRO_ALIMENTAIRE',
-            'Agro-alimentaire'     => 'AGRO_ALIMENTAIRE',
+        'Transport/Logistique' => 'TRANSPORT_LOGISTIQUE',
-            'Transport/Logistique' => 'TRANSPORT_LOGISTIQUE',
+        'Services'             => 'SERVICES',
-            'Services'             => 'SERVICES',
+        'Association'          => 'ASSOCIATION',
-            'Association'          => 'ASSOCIATION',
+        'Indépendant'          => 'INDEPENDANT',
            'Indépendant'          => 'INDEPENDANT',
        ],
        'FOURNISSEUR' => [
            'Négociant'   => 'NEGOCIANT',
            'Coopérative' => 'COOPERATIVE',
            'Producteur'  => 'PRODUCTEUR',
            'Grossiste'   => 'GROSSISTE',
            'Importateur' => 'IMPORTATEUR',
        ],
    ];
    public function __construct(
@@ -94,33 +84,31 @@ class CategoryFixtures extends Fixture implements DependentFixtureInterface
            return;
        }
-        // Index des types presents par code, pour rattacher chaque categorie.
+        $clientType = null;
        $typesByCode = [];
        foreach ($this->categoryTypeRepository->findAllOrderedByLabel() as $type) {
-            $typesByCode[$type->getCode()] = $type;
+            if (self::CLIENT_TYPE_CODE === $type->getCode()) {
                $clientType = $type;
                break;
            }
        }
-        foreach (self::CATEGORIES_BY_TYPE as $typeCode => $categories) {
+        if (!$clientType instanceof CategoryType) {
-            $type = $typesByCode[$typeCode] ?? null;
+            // Misconfiguration : CategoryTypeFixtures n'a pas tourne avant.
            throw new RuntimeException(
                'CategoryTypeFixtures doit avoir seede le type "CLIENT" avant CategoryFixtures.',
            );
        }
-            if (!$type instanceof CategoryType) {
+        foreach (self::CATEGORIES as $name => $code) {
-                // Misconfiguration : CategoryTypeFixtures n'a pas seede ce type.
+            $this->ensureCategory($manager, $name, $code, $clientType);
                throw new RuntimeException(sprintf(
                    'CategoryTypeFixtures doit avoir seede le type "%s" avant CategoryFixtures.',
                    $typeCode,
                ));
            }
            foreach ($categories as $name => $code) {
                $this->ensureCategory($manager, $name, $code, $type);
            }
        }
        $manager->flush();
    }
    /**
-     * Cree la categorie (name, code) sous le type fourni si son code n'existe pas
+     * Cree la categorie (name, code) sous le type CLIENT si son code n'existe pas
     * encore parmi les categories actives, sinon la laisse en place. Lookup
     * aligne sur l'index unique partiel uq_category_code.
     */
@@ -12,14 +12,10 @@ use Doctrine\Persistence\ObjectManager;
 /**
 * Fixtures du module Catalog : seed du type de categorie (M1).
 *
- * Refonte taxonomie ERP-78 : le type CLIENT (code CLIENT, label « Client »)
+ * Refonte taxonomie ERP-78 : le modele n'a plus qu'UN SEUL `category_type`,
- * porte les categories clients ; Distributeur / Courtier / Secteur / Autre (et
+ * CLIENT (code CLIENT, label « Client »). Distributeur / Courtier / Secteur /
- * les categories metier fines) sont des `Category` codees rattachees a ce type
+ * Autre (et les categories metier fines) sont desormais des `Category` codees
- * (cf. CategoryFixtures + migration Version20260602100000).
+ * rattachees a ce type (cf. CategoryFixtures + migration Version20260602100000).
 *
 * ERP-84 : ajout du type FOURNISSEUR (code FOURNISSEUR, label « Fournisseur »),
 * taxonomie distincte des fournisseurs (Negociant, Cooperative...). Mirroir de
 * la migration Version20260605120000.
 *
 * Pourquoi une fixture EN PLUS du seed de la migration : `category_type` est une
 * entite managee par l ORM, donc le purger Doctrine la vide avant chaque
@@ -35,13 +31,11 @@ use Doctrine\Persistence\ObjectManager;
 class CategoryTypeFixtures extends Fixture
 {
    /**
-     * Source unique des types : code technique => libelle FR. Doit rester aligne
+     * Source unique du type : code technique => libelle FR. Doit rester aligne
-     * sur le seed des migrations Version20260602100000 (CLIENT) et
+     * sur le seed de la migration Version20260602100000 (type unique CLIENT).
     * Version20260605120000 (FOURNISSEUR).
     */
    private const TYPES = [
-        'CLIENT'      => 'Client',
+        'CLIENT' => 'Client',
        'FOURNISSEUR' => 'Fournisseur',
    ];
    public function __construct(
@@ -48,7 +48,7 @@ class DoctrineCategoryRepository extends ServiceEntityRepository implements Cate
        return [] !== $qb->getQuery()->getResult();
    }
-    public function createListQueryBuilder(bool $includeDeleted = false, ?string $typeCode = null): QueryBuilder
+    public function createListQueryBuilder(bool $includeDeleted = false): QueryBuilder
    {
        $qb = $this->createQueryBuilder('c')
            ->orderBy('c.name', 'ASC')
@@ -58,16 +58,6 @@ class DoctrineCategoryRepository extends ServiceEntityRepository implements Cate
            $qb->andWhere('c.deletedAt IS NULL');
        }
        // Filtre `?typeCode=` : jointure sur le CategoryType pour ne garder que
        // les categories du type demande (ex. FOURNISSEUR). La jointure reste
        // compatible avec le Paginator ORM (fetchJoinCollection) du provider.
        if (null !== $typeCode) {
            $qb->join('c.categoryType', 'ct')
                ->andWhere('ct.code = :typeCode')
                ->setParameter('typeCode', $typeCode)
            ;
        }
        return $qb;
    }
 }
@@ -1,82 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Service;
 /**
 * Normalisation serveur des champs texte d'un Supplier / SupplierContact,
 * appliquee par le SupplierProcessor (et les processors de sous-ressources,
 * ERP-88) AVANT persistance. Cf. spec-back M2 § 2.11 + RG-2.12. Jumeau de
 * ClientFieldNormalizer (M1) — duplique volontairement (isolation Client /
 * Fournisseur, decision § 2.1).
 *
 * - companyName : UPPERCASE integral (RG-2.12)
 * - firstName / lastName (personnes, sur SupplierContact) : Title Case (RG-2.12)
 * - phone* : chiffres uniquement, ex "06.12.34.56.78" -> "0612345678" (RG-2.12).
 *   Le formatage d'affichage "XX XX XX XX XX" est de la responsabilite du front.
 * - email : lowercase integral (RG-2.12)
 *
 * Toutes les methodes sont null-safe et trim-ent l'entree ; une chaine vide
 * apres trim devient null (evite de persister "" dans des colonnes nullable).
 */
 final class SupplierFieldNormalizer
 {
    /**
     * Nom de societe en majuscules (RG-2.12). Conserve null tel quel ; une
     * chaine non vide est trim + upper. Une chaine vide reste "" (champ
     * obligatoire : c'est l'Assert\NotBlank qui rejette, pas le normalizer).
     */
    public function normalizeCompanyName(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        return mb_strtoupper(trim($value), 'UTF-8');
    }
    /**
     * Nom/prenom de personne en Title Case (RG-2.12) : "JEAN dupont" ->
     * "Jean Dupont". Une chaine vide apres trim devient null.
     */
    public function normalizePersonName(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $value = trim($value);
        return '' === $value ? null : mb_convert_case($value, MB_CASE_TITLE, 'UTF-8');
    }
    /**
     * Email en minuscules (RG-2.12). Une chaine vide apres trim devient null.
     */
    public function normalizeEmail(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $value = trim($value);
        return '' === $value ? null : mb_strtolower($value, 'UTF-8');
    }
    /**
     * Telephone reduit aux chiffres (RG-2.12) : "06.12.34.56.78" ->
     * "0612345678". Une valeur sans aucun chiffre devient null.
     */
    public function normalizePhone(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $digits = preg_replace('/\D+/', '', $value) ?? '';
        return '' === $digits ? null : $digits;
    }
 }
@@ -1,77 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Validator;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Domain\Entity\Client;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Validator metier (spec-front § Onglet Comptabilite) : a la soumission complete
 * de l'onglet Comptabilite, les six champs scalaires obligatoires doivent etre
 * renseignes (SIREN, Numero de compte, Mode de TVA, N de TVA, Delai de reglement,
 * Type de reglement). La banque reste conditionnelle (RG-1.12) et les RIB aussi
 * (RG-1.13) : ils ne sont pas couverts ici.
 *
 * Calque sur ClientInformationCompletenessValidator (RG-1.04) : colonnes nullable
 * en base + validateur contextuel, plutot qu'un Assert\NotBlank sur l'entite (qui
 * casserait le POST de l'onglet principal, lequel n'envoie aucun champ comptable).
 *
 * Invoque par le ClientProcessor uniquement quand le payload porte les six champs
 * (= une validation d'onglet), jamais sur un PATCH ciblant un seul champ comptable.
 *
 * Leve une ValidationException (HTTP 422) listant chaque champ manquant, par
 * coherence avec les violations Symfony rendues par API Platform (mapping inline
 * front via useFormErrors, ERP-101).
 */
 final class ClientAccountingCompletenessValidator
 {
    public function validate(Client $client): void
    {
        // Map champ -> valeur courante des champs obligatoires de l'onglet.
        $fields = [
            'siren'         => $client->getSiren(),
            'accountNumber' => $client->getAccountNumber(),
            'tvaMode'       => $client->getTvaMode(),
            'nTva'          => $client->getNTva(),
            'paymentDelay'  => $client->getPaymentDelay(),
            'paymentType'   => $client->getPaymentType(),
        ];
        $violations = new ConstraintViolationList();
        foreach ($fields as $property => $value) {
            if ($this->isMissing($value)) {
                $violations->add(new ConstraintViolation(
                    'Ce champ est obligatoire.',
                    null,
                    [],
                    $client,
                    $property,
                    $value,
                ));
            }
        }
        if (count($violations) > 0) {
            throw new ValidationException($violations);
        }
    }
    /**
     * Une valeur est manquante si null ou, pour une chaine, vide apres trim. Les
     * references (TvaMode / PaymentDelay / PaymentType) ne sont manquantes que
     * lorsqu'elles valent null.
     */
    private function isMissing(mixed $value): bool
    {
        if (null === $value) {
            return true;
        }
        return is_string($value) && '' === trim($value);
    }
 }
@@ -1,79 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Validator;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Validator metier RG-2.03 (jumeau du ClientInformationCompletenessValidator M1) :
 * pour un utilisateur portant le role metier Commerciale, TOUS les champs de
 * l'onglet Information sont obligatoires sur POST comme sur tout PATCH,
 * independamment des champs reellement envoyes.
 *
 * Invoque par le SupplierProcessor des que l'utilisateur courant porte le role
 * Commerciale (detection du role cote back). Pour les autres roles, ces champs
 * restent optionnels — le validator n'est pas appele.
 *
 * NEW vs Client : ajoute le champ `volumeForecast` (volume previsionnel),
 * specifique fournisseur.
 *
 * Leve une ValidationException (HTTP 422) listant chaque champ manquant, chaque
 * violation portant son propertyPath (consommable par extractApiViolations,
 * ERP-101), par coherence avec les violations Symfony rendues par API Platform.
 */
 final class SupplierInformationCompletenessValidator
 {
    public function validate(Supplier $supplier): void
    {
        // Map champ -> valeur courante de l'onglet Information.
        $fields = [
            'description'    => $supplier->getDescription(),
            'competitors'    => $supplier->getCompetitors(),
            'foundedAt'      => $supplier->getFoundedAt(),
            'employeesCount' => $supplier->getEmployeesCount(),
            'revenueAmount'  => $supplier->getRevenueAmount(),
            'directorName'   => $supplier->getDirectorName(),
            'profitAmount'   => $supplier->getProfitAmount(),
            'volumeForecast' => $supplier->getVolumeForecast(),
        ];
        $violations = new ConstraintViolationList();
        foreach ($fields as $property => $value) {
            if ($this->isMissing($value)) {
                $violations->add(new ConstraintViolation(
                    sprintf('Ce champ est obligatoire pour le rôle Commerciale (champ "%s").', $property),
                    null,
                    [],
                    $supplier,
                    $property,
                    $value,
                ));
            }
        }
        if (count($violations) > 0) {
            throw new ValidationException($violations);
        }
    }
    /**
     * Une valeur est manquante si null ou, pour une chaine, vide apres trim. Les
     * zeros numeriques (employeesCount = 0, profitAmount = "0.00",
     * volumeForecast = 0) sont des valeurs valides : on ne les considere pas
     * manquants.
     */
    private function isMissing(mixed $value): bool
    {
        if (null === $value) {
            return true;
        }
        return is_string($value) && '' === trim($value);
    }
 }
@@ -39,11 +39,6 @@ final class CommercialModule
            ['code' => 'commercial.clients.accounting.view', 'label' => 'Voir l\'onglet Comptabilité d\'un client'],
            ['code' => 'commercial.clients.accounting.manage', 'label' => 'Modifier l\'onglet Comptabilité d\'un client'],
            ['code' => 'commercial.clients.archive', 'label' => 'Archiver / restaurer un client'],
            ['code' => 'commercial.suppliers.view', 'label' => 'Voir les fournisseurs'],
            ['code' => 'commercial.suppliers.manage', 'label' => 'Créer / modifier les fournisseurs (hors onglet Comptabilité)'],
            ['code' => 'commercial.suppliers.accounting.view', 'label' => 'Voir l\'onglet Comptabilité d\'un fournisseur'],
            ['code' => 'commercial.suppliers.accounting.manage', 'label' => 'Modifier l\'onglet Comptabilité d\'un fournisseur'],
            ['code' => 'commercial.suppliers.archive', 'label' => 'Archiver / restaurer un fournisseur'],
        ];
    }
 }
@@ -25,7 +25,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['bank:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -33,11 +33,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['bank:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+    security: "is_granted('commercial.clients.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrineBankRepository::class)]
 #[ORM\Table(name: 'bank')]
@@ -147,13 +147,35 @@ class Client implements TimestampableInterface, BlamableInterface
    // === Formulaire principal ===
    #[ORM\Column(length: 180)]
    #[Assert\NotBlank(message: 'Le nom de l\'entreprise est obligatoire.', normalizer: 'trim')]
-    #[Assert\Length(min: 2, max: 180, minMessage: 'Le nom de l\'entreprise doit comporter au moins {{ limit }} caractères.', maxMessage: 'Le nom de l\'entreprise ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(min: 2, max: 180, normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $companyName = null;
-    // Le contact principal n'est plus porte inline par le Client : les contacts
+    // RG-1.01 : firstName OU lastName obligatoire (validation au futur Processor).
-    // vivent uniquement dans ClientContact (onglet Contact). RG-1.01 / RG-1.02
+    #[ORM\Column(length: 120, nullable: true)]
-    // supprimees du Client (equivalent RG-1.05 / RG-1.14 sur ClientContact).
+    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $firstName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $lastName = null;
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $phonePrimary = null;
    #[ORM\Column(length: 20, nullable: true)]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $phoneSecondary = null;
    #[ORM\Column(length: 180)]
    #[Assert\NotBlank]
    #[Assert\Email]
    #[Groups(['client:read', 'client:write:main'])]
    private ?string $email = null;
    // RG-1.03 : distributor / broker auto-references mutuellement exclusives
    // (CHECK chk_client_distrib_or_broker en base).
@@ -188,7 +210,6 @@ class Client implements TimestampableInterface, BlamableInterface
    private ?string $description = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Ce champ ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:information'])]
    private ?string $competitors = null;
@@ -197,7 +218,7 @@ class Client implements TimestampableInterface, BlamableInterface
    private ?DateTimeImmutable $foundedAt = null;
    #[ORM\Column(nullable: true)]
-    #[Assert\PositiveOrZero(message: 'L\'effectif doit être un nombre positif ou nul.')]
+    #[Assert\PositiveOrZero]
    #[Groups(['client:read', 'client:write:information'])]
    private ?int $employeesCount = null;
@@ -206,7 +227,6 @@ class Client implements TimestampableInterface, BlamableInterface
    private ?string $revenueAmount = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le nom du dirigeant ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client:read', 'client:write:information'])]
    private ?string $directorName = null;
@@ -219,12 +239,10 @@ class Client implements TimestampableInterface, BlamableInterface
    // futur Provider si l'user a la permission accounting.view). Ecriture via
    // `client:write:accounting` (le futur Processor exige accounting.manage).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le SIREN ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client:read:accounting', 'client:write:accounting'])]
    private ?string $siren = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de compte ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client:read:accounting', 'client:write:accounting'])]
    private ?string $accountNumber = null;
@@ -234,7 +252,6 @@ class Client implements TimestampableInterface, BlamableInterface
    private ?TvaMode $tvaMode = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de TVA ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client:read:accounting', 'client:write:accounting'])]
    private ?string $nTva = null;
@@ -309,6 +326,66 @@ class Client implements TimestampableInterface, BlamableInterface
        return $this;
    }
    public function getFirstName(): ?string
    {
        return $this->firstName;
    }
    public function setFirstName(?string $firstName): static
    {
        $this->firstName = $firstName;
        return $this;
    }
    public function getLastName(): ?string
    {
        return $this->lastName;
    }
    public function setLastName(?string $lastName): static
    {
        $this->lastName = $lastName;
        return $this;
    }
    public function getPhonePrimary(): ?string
    {
        return $this->phonePrimary;
    }
    public function setPhonePrimary(string $phonePrimary): static
    {
        $this->phonePrimary = $phonePrimary;
        return $this;
    }
    public function getPhoneSecondary(): ?string
    {
        return $this->phoneSecondary;
    }
    public function setPhoneSecondary(?string $phoneSecondary): static
    {
        $this->phoneSecondary = $phoneSecondary;
        return $this;
    }
    public function getEmail(): ?string
    {
        return $this->email;
    }
    public function setEmail(string $email): static
    {
        $this->email = $email;
        return $this;
    }
    public function getDistributor(): ?Client
    {
        return $this->distributor;
@@ -63,11 +63,6 @@ use Symfony\Component\Validator\Context\ExecutionContextInterface;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientAddress ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientAddressProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.manage')",
            normalizationContext: ['groups' => ['client_address:read']],
            denormalizationContext: ['groups' => ['client_address:write']],
@@ -130,39 +125,33 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
    private bool $isBilling = false;
    #[ORM\Column(length: 80, options: ['default' => 'France'])]
    #[Assert\Length(max: 80, maxMessage: 'Le pays ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private string $country = 'France';
    // RG-1.09 : code postal a 4 ou 5 chiffres (pas de controle CP/ville serveur).
    // Le Regex borne deja la longueur (≤ 5) : pas de Length redondant.
    #[ORM\Column(length: 20)]
-    #[Assert\NotBlank(message: 'Le code postal est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
    #[Assert\Regex(pattern: '/^[0-9]{4,5}$/', message: 'Le code postal doit comporter 4 ou 5 chiffres.')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private ?string $postalCode = null;
    #[ORM\Column(length: 120)]
-    #[Assert\NotBlank(message: 'La ville est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
    #[Assert\Length(max: 120, maxMessage: 'La ville ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private ?string $city = null;
    #[ORM\Column(length: 255)]
-    #[Assert\NotBlank(message: 'La rue est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
    #[Assert\Length(max: 255, maxMessage: 'La rue ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private ?string $street = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Le complément d\'adresse ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private ?string $streetComplement = null;
    // RG-1.11 : obligatoire ssi isBilling (validateBillingEmailPresence + CHECK BDD).
    #[ORM\Column(length: 180, nullable: true)]
-    #[Assert\Email(message: 'L\'email de facturation n\'est pas valide.')]
+    #[Assert\Email]
    #[Assert\Length(max: 180, maxMessage: 'L\'email de facturation ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private ?string $billingEmail = null;
@@ -188,14 +177,12 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
    #[Groups(['client_address:read', 'client_address:write'])]
    private Collection $contacts;
    // Au moins une categorie est obligatoire sur une adresse (spec-front § Adresse).
    // RG-1.29 : categories de code DISTRIBUTEUR/COURTIER interdites (validateCategoryCodes).
    /** @var Collection<int, CategoryInterface> */
    #[ORM\ManyToMany(targetEntity: CategoryInterface::class)]
    #[ORM\JoinTable(name: 'client_address_category')]
    #[ORM\JoinColumn(name: 'client_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'category_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Assert\Count(min: 1, minMessage: 'Au moins une catégorie est obligatoire.')]
    #[Groups(['client_address:read', 'client_address:write'])]
    private Collection $categories;
@@ -50,11 +50,6 @@ use Symfony\Component\Validator\Constraints as Assert;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientContact ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientContactProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.manage')",
            normalizationContext: ['groups' => ['client_contact:read']],
            denormalizationContext: ['groups' => ['client_contact:write']],
@@ -93,36 +88,30 @@ class ClientContact implements TimestampableInterface, BlamableInterface
    // RG-1.05 : firstName OU lastName obligatoire (CHECK BDD + Processor). Les
    // deux restent nullable au niveau ORM.
    #[ORM\Column(length: 120, nullable: true)]
-    #[Assert\Length(max: 120, maxMessage: 'Le prénom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $firstName = null;
    #[ORM\Column(length: 120, nullable: true)]
-    #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $lastName = null;
    #[ORM\Column(length: 120, nullable: true)]
-    #[Assert\Length(max: 120, maxMessage: 'La fonction ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $jobTitle = null;
    // RG : pas de validation de format telephone (saisie libre), mais une
    // Assert\Length calee sur la colonne VARCHAR(20) evite l'erreur Postgres
    // (500 non rattachee au champ) au profit d'une 422 propre (ERP-107).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $phonePrimary = null;
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone secondaire ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $phoneSecondary = null;
    #[ORM\Column(length: 180, nullable: true)]
-    #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
+    #[Assert\Email]
    #[Assert\Length(max: 180, maxMessage: 'L\'email ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['client_contact:read', 'client_contact:write'])]
    private ?string $email = null;
@@ -54,11 +54,6 @@ use Symfony\Component\Validator\Constraints as Assert;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientRib ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientRibProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.accounting.manage')",
            normalizationContext: ['groups' => ['client_rib:read']],
            denormalizationContext: ['groups' => ['client_rib:write']],
@@ -102,22 +97,20 @@ class ClientRib implements TimestampableInterface, BlamableInterface
    private ?Client $client = null;
    #[ORM\Column(length: 120)]
-    #[Assert\NotBlank(message: 'Le libellé du RIB est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
-    #[Assert\Length(max: 120, maxMessage: 'Le libellé ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Assert\Length(max: 120, normalizer: 'trim')]
    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
    private ?string $label = null;
    // Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
    // redondant calee sur la colonne (whitelist du garde-fou ERP-107).
    #[ORM\Column(length: 20)]
-    #[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
-    #[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
+    #[Assert\Bic]
    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
    private ?string $bic = null;
    #[ORM\Column(length: 34)]
-    #[Assert\NotBlank(message: 'L\'IBAN est obligatoire.', normalizer: 'trim')]
+    #[Assert\NotBlank]
-    #[Assert\Iban(message: 'L\'IBAN n\'est pas valide.')]
+    #[Assert\Iban]
    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
    private ?string $iban = null;
@@ -25,7 +25,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['payment_delay:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -33,11 +33,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['payment_delay:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+    security: "is_granted('commercial.clients.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrinePaymentDelayRepository::class)]
 #[ORM\Table(name: 'payment_delay')]
@@ -28,7 +28,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['payment_type:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -36,11 +36,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['payment_type:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+    security: "is_granted('commercial.clients.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrinePaymentTypeRepository::class)]
 #[ORM\Table(name: 'payment_type')]
@@ -1,727 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\GetCollection;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierProcessor;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Provider\SupplierProvider;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
 use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use DateTimeImmutable;
 use Doctrine\Common\Collections\ArrayCollection;
 use Doctrine\Common\Collections\Collection;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Serializer\Attribute\SerializedName;
 use Symfony\Component\Validator\Constraints as Assert;
 use Symfony\Component\Validator\Context\ExecutionContextInterface;
 /**
 * Fournisseur (M2 Commercial) — entite racine du repertoire fournisseurs,
 * jumelle du Client (M1). Porte le formulaire principal, l'onglet Information,
 * l'onglet Comptabilite, le mecanisme d'archivage (is_archived / archived_at) et
 * le soft-delete technique prepare mais non expose au M2 (deleted_at, HP M3).
 *
 * Decisions structurantes (cf. spec M2 § 2 / § 3.3) :
 *  - Contact inline RETIRE (V0.2, refonte-contact ERP-106) : firstName / lastName
 *    / phonePrimary / phoneSecondary / email ne sont plus portes par le
 *    fournisseur — ils vivent uniquement dans SupplierContact (onglet Contacts).
 *    La garantie « au moins un contact nomme » est portee par RG-2.04 + RG-2.13.
 *  - PAS d'auto-reference distributor / broker (contrairement au Client).
 *  - Ajout du champ Information volumeForecast (volume previsionnel, entier),
 *    specifique fournisseur.
 *  - Audit complet (#[Auditable]) sur tous les champs (M2M categories audite
 *    automatiquement). Timestampable / Blamable via le trait Shared.
 *  - PAS de #[ORM\UniqueConstraint] : l'unicite du nom de societe (RG-2.11) est
 *    portee par l'index partiel fonctionnel uq_supplier_company_name_active
 *    (LOWER(company_name) WHERE is_archived = FALSE AND deleted_at IS NULL),
 *    inexprimable en attribut ORM, donc possede par la seule migration. SIREN et
 *    email NE SONT PAS uniques (§ 2.6).
 *  - categories : M2M vers Category (module Catalog) via le contrat
 *    CategoryInterface + resolve_target_entities (regle n°1, pas d'import direct).
 *
 * Contrat de serialisation (RETEX M1, 3 maillons — spec § 4.0) : les read-groups
 * sont poses ICI (source unique). L'#[ApiResource] (operations + contextes), le
 * SupplierProvider (liste paginee, exclusion archives, item 404 soft-delete), le
 * SupplierProcessor (normalisation, archivage, gating accounting/manage en mode
 * strict, 409 doublon) et le SupplierReadGroupContextBuilder (ajout conditionnel
 * du groupe supplier:read:accounting selon accounting.view) sont branches ICI
 * (ERP-87).
 */
 #[ApiResource(
    operations: [
        new GetCollection(
            security: "is_granted('commercial.suppliers.view')",
            // La liste embarque les categories (avec leur code/name, groupe
            // category:read) et les sites agreges des adresses (groupe
            // site:read) pour alimenter les colonnes « Catégories » et
            // « Site(s) » du Repertoire (cohérence M1/ERP-62, § 2.12). Cf.
            // getSites(). Fetch-joins/hydratation deleguee au repository (N+1).
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            provider: SupplierProvider::class,
        ),
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            // Detail : fournisseur + sous-collections embarquees (contacts /
            // adresses + leurs sites/categories/contacts).
            //  - supplier:read:accounting est ajoute par SupplierReadGroupContextBuilder
            //    selon la permission (gate les scalaires comptables ET les RIB
            //    embarques), donc volontairement ABSENT ici (parade bug #4 M1).
            //  - category:read / site:read indispensables pour embarquer le
            //    code/name des categories et le name/postalCode des sites (sinon
            //    stub IRI nu — bugs #1/#2 M1).
            normalizationContext: ['groups' => [
                'supplier:read',
                'supplier:item:read',
                'category:read',
                'site:read',
                'default:read',
            ]],
            provider: SupplierProvider::class,
        ),
        new Post(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            denormalizationContext: ['groups' => ['supplier:write:main']],
            processor: SupplierProcessor::class,
        ),
        new Patch(
            // Security elargie : `manage` OU `accounting.manage`. Le role Compta
            // n'a pas `manage` mais doit pouvoir editer l'onglet Comptabilite
            // d'un fournisseur existant (§ 2.9). Le SupplierProcessor re-gate
            // ensuite onglet par onglet (mode strict RG-2.16) :
            //  - champs accounting -> accounting.manage (guardAccounting) ;
            //  - champs main/information -> manage (guardManage : empeche Compta
            //    d'editer les autres onglets) ;
            //  - isArchived -> archive (guardArchive, RG-2.14).
            security: "is_granted('commercial.suppliers.manage') or is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            denormalizationContext: ['groups' => [
                'supplier:write:main',
                'supplier:write:information',
                'supplier:write:accounting',
                'supplier:write:archive',
            ]],
            provider: SupplierProvider::class,
            processor: SupplierProcessor::class,
        ),
        // Pas de Delete au M2 (HP-M3-1). Archivage via PATCH { isArchived: true }.
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierRepository::class)]
 #[ORM\Table(name: 'supplier')]
 // Index nommes pour matcher la migration (Version20260605130000). L'index unique
 // partiel uq_supplier_company_name_active reste possede par la migration :
 // Doctrine ORM ne sait pas exprimer un index fonctionnel (LOWER) + partiel
 // (WHERE) via attribut. Pas de #[ORM\UniqueConstraint] (§ 2.6).
 #[ORM\Index(name: 'idx_supplier_is_archived', columns: ['is_archived'])]
 #[ORM\Index(name: 'idx_supplier_deleted_at', columns: ['deleted_at'])]
 #[ORM\Index(name: 'idx_supplier_created_by', columns: ['created_by'])]
 #[ORM\Index(name: 'idx_supplier_updated_by', columns: ['updated_by'])]
 #[Auditable]
 class Supplier implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    /**
     * RG-2.10 : seules les categories de ce type sont autorisees sur le
     * fournisseur (entite principale). Miroir de SupplierAddress (ERP-88).
     * S'appuie sur CategoryInterface::getCategoryTypeCode() (pas d'import du
     * module Catalog — regle ABSOLUE n°1).
     */
    private const string REQUIRED_CATEGORY_TYPE_CODE = 'FOURNISSEUR';
    /** RG-2.07 : code du type de reglement imposant une banque. */
    private const string PAYMENT_TYPE_VIREMENT = 'VIREMENT';
    /** RG-2.08 : code du type de reglement imposant au moins un RIB. */
    private const string PAYMENT_TYPE_LCR = 'LCR';
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:read'])]
    private ?int $id = null;
    // === Formulaire principal ===
    #[ORM\Column(length: 180)]
    #[Assert\NotBlank(message: 'Le nom du fournisseur est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(min: 2, max: 180, minMessage: 'Le nom du fournisseur doit comporter au moins {{ limit }} caractères.', maxMessage: 'Le nom du fournisseur ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:main'])]
    private ?string $companyName = null;
    // RG : au moins une categorie (Count min 1), de type FOURNISSEUR (RG-2.10,
    // verifiee au Processor/Validator a ERP-89). M2M vers Category via le contrat
    // CategoryInterface (resolve_target_entities -> Category). Embarquee en LISTE
    // ET DETAIL (coherence M1/ERP-62) ; maillon (c) : le contexte inclut
    // 'category:read' pour exposer id/code/name.
    /** @var Collection<int, CategoryInterface> */
    #[ORM\ManyToMany(targetEntity: CategoryInterface::class)]
    #[ORM\JoinTable(name: 'supplier_category')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'category_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Assert\Count(min: 1, minMessage: 'Au moins une catégorie est obligatoire.')]
    #[Groups(['supplier:read', 'supplier:write:main'])]
    private Collection $categories;
    // === Onglet Information ===
    #[ORM\Column(type: 'text', nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $description = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Ce champ ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $competitors = null;
    #[ORM\Column(type: 'date_immutable', nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?DateTimeImmutable $foundedAt = null;
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'L\'effectif doit être un nombre positif ou nul.')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?int $employeesCount = null;
    #[ORM\Column(type: 'decimal', precision: 15, scale: 2, nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $revenueAmount = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le nom du dirigeant ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $directorName = null;
    #[ORM\Column(type: 'decimal', precision: 15, scale: 2, nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $profitAmount = null;
    // NEW vs Client : Volume previsionnel (entier).
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'Le volume prévisionnel doit être un nombre positif ou nul.')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?int $volumeForecast = null;
    // === Onglet Comptabilite ===
    // Lecture conditionnee via le groupe `supplier:read:accounting` (ajoute au
    // contexte par le SupplierReadGroupContextBuilder si l'user a accounting.view,
    // ERP-87 — un Provider ne peut pas influencer les groupes de serialisation).
    // Ecriture via `supplier:write:accounting` (le Processor exige accounting.manage).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le SIREN ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $siren = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de compte ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $accountNumber = null;
    #[ORM\ManyToOne(targetEntity: TvaMode::class)]
    #[ORM\JoinColumn(name: 'tva_mode_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?TvaMode $tvaMode = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de TVA ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $nTva = null;
    #[ORM\ManyToOne(targetEntity: PaymentDelay::class)]
    #[ORM\JoinColumn(name: 'payment_delay_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?PaymentDelay $paymentDelay = null;
    #[ORM\ManyToOne(targetEntity: PaymentType::class)]
    #[ORM\JoinColumn(name: 'payment_type_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?PaymentType $paymentType = null;
    #[ORM\ManyToOne(targetEntity: Bank::class)]
    #[ORM\JoinColumn(name: 'bank_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?Bank $bank = null;
    // === Sous-collections — EMBARQUEES dans le DETAIL (RETEX M1 §2) ===
    // Maillon (a) : le read-group est porte par le GETTER (getContacts / getAddresses
    // / getRibs) — sans #[Groups], jamais serialisees. Edition via sous-ressources
    // POST/PATCH/DELETE (ERP-88).
    /** @var Collection<int, SupplierContact> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierContact::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $contacts;
    /** @var Collection<int, SupplierAddress> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierAddress::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $addresses;
    /** @var Collection<int, SupplierRib> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierRib::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $ribs;
    // === Archive / Soft delete ===
    // Groupe d'ECRITURE uniquement sur la propriete (denormalisation PATCH archive).
    // Le groupe de LECTURE est declare sur le getter isArchived() avec
    // SerializedName('isArchived') : sans cela, Symfony strip le prefixe "is" et
    // exposerait la cle JSON "archived" — en pratique la cle est totalement
    // DROPPEE (piege n°3 du M1). Pattern corrige : Groups + SerializedName sur le getter.
    #[ORM\Column(name: 'is_archived', options: ['default' => false])]
    #[Groups(['supplier:write:archive'])]
    private bool $isArchived = false;
    #[ORM\Column(type: 'datetime_immutable', nullable: true)]
    #[Groups(['supplier:read'])]
    private ?DateTimeImmutable $archivedAt = null;
    // Soft delete technique (HP M3) : non expose en lecture/ecriture au M2.
    #[ORM\Column(type: 'datetime_immutable', nullable: true)]
    private ?DateTimeImmutable $deletedAt = null;
    public function __construct()
    {
        $this->categories = new ArrayCollection();
        $this->contacts   = new ArrayCollection();
        $this->addresses  = new ArrayCollection();
        $this->ribs       = new ArrayCollection();
    }
    /**
     * RG-2.10 : toute categorie posee sur le fournisseur doit etre de type
     * FOURNISSEUR -> sinon 422 avec violation sur le champ `categories`
     * (propertyPath aligne ERP-101, message FR ERP-107). Miroir de
     * SupplierAddress::validateCategoryType (ERP-88). S'appuie sur
     * CategoryInterface::getCategoryTypeCode() (pas d'import du module Catalog —
     * regle ABSOLUE n°1). Joue avant la base via la validation API Platform, sur
     * POST (categories ∈ supplier:write:main) comme sur PATCH.
     */
    #[Assert\Callback]
    public function validateCategoryType(ExecutionContextInterface $context): void
    {
        foreach ($this->categories as $category) {
            if ($category instanceof CategoryInterface
                && self::REQUIRED_CATEGORY_TYPE_CODE !== $category->getCategoryTypeCode()) {
                $context->buildViolation('Type de catégorie non autorisé (FOURNISSEUR attendu).')
                    ->atPath('categories')
                    ->addViolation()
                ;
                return;
            }
        }
    }
    /**
     * RG-2.07 / RG-2.08 : coherence du type de reglement comptable. Decision
     * figee ERP-89 : ces RG inter-champs passent par une contrainte d'entite
     * (Assert\Callback + ->atPath()) et NON par le SupplierProcessor, afin que
     * chaque 422 porte un propertyPath exploitable par extractApiViolations
     * (mapping inline sous le champ, pas un toast — convention ERP-101).
     *  - RG-2.07 : paymentType = VIREMENT impose une banque -> violation sur `bank`.
     *  - RG-2.08 : paymentType = LCR impose au moins un RIB -> violation sur `ribs`
     *    (le 409 sur DELETE du dernier RIB en LCR est porte par ERP-88).
     *
     * Ces champs vivant dans le groupe d'ecriture comptable (absent du POST, qui
     * n'expose que supplier:write:main), la contrainte ne mord en pratique que
     * sur le PATCH de l'onglet Comptabilite.
     */
    #[Assert\Callback]
    public function validatePaymentTypeConsistency(ExecutionContextInterface $context): void
    {
        $paymentCode = $this->paymentType?->getCode();
        if (self::PAYMENT_TYPE_VIREMENT === $paymentCode && null === $this->bank) {
            $context->buildViolation('La banque est obligatoire pour le type de règlement Virement.')
                ->atPath('bank')
                ->addViolation()
            ;
        }
        if (self::PAYMENT_TYPE_LCR === $paymentCode && $this->ribs->isEmpty()) {
            $context->buildViolation('Au moins un RIB est obligatoire pour le type de règlement LCR.')
                ->atPath('ribs')
                ->addViolation()
            ;
        }
    }
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getCompanyName(): ?string
    {
        return $this->companyName;
    }
    public function setCompanyName(string $companyName): static
    {
        $this->companyName = $companyName;
        return $this;
    }
    /** @return Collection<int, CategoryInterface> */
    public function getCategories(): Collection
    {
        return $this->categories;
    }
    public function addCategory(CategoryInterface $category): static
    {
        if (!$this->categories->contains($category)) {
            $this->categories->add($category);
        }
        return $this;
    }
    public function removeCategory(CategoryInterface $category): static
    {
        $this->categories->removeElement($category);
        return $this;
    }
    public function getDescription(): ?string
    {
        return $this->description;
    }
    public function setDescription(?string $description): static
    {
        $this->description = $description;
        return $this;
    }
    public function getCompetitors(): ?string
    {
        return $this->competitors;
    }
    public function setCompetitors(?string $competitors): static
    {
        $this->competitors = $competitors;
        return $this;
    }
    public function getFoundedAt(): ?DateTimeImmutable
    {
        return $this->foundedAt;
    }
    public function setFoundedAt(?DateTimeImmutable $foundedAt): static
    {
        $this->foundedAt = $foundedAt;
        return $this;
    }
    public function getEmployeesCount(): ?int
    {
        return $this->employeesCount;
    }
    public function setEmployeesCount(?int $employeesCount): static
    {
        $this->employeesCount = $employeesCount;
        return $this;
    }
    public function getRevenueAmount(): ?string
    {
        return $this->revenueAmount;
    }
    public function setRevenueAmount(?string $revenueAmount): static
    {
        $this->revenueAmount = $revenueAmount;
        return $this;
    }
    public function getDirectorName(): ?string
    {
        return $this->directorName;
    }
    public function setDirectorName(?string $directorName): static
    {
        $this->directorName = $directorName;
        return $this;
    }
    public function getProfitAmount(): ?string
    {
        return $this->profitAmount;
    }
    public function setProfitAmount(?string $profitAmount): static
    {
        $this->profitAmount = $profitAmount;
        return $this;
    }
    public function getVolumeForecast(): ?int
    {
        return $this->volumeForecast;
    }
    public function setVolumeForecast(?int $volumeForecast): static
    {
        $this->volumeForecast = $volumeForecast;
        return $this;
    }
    public function getSiren(): ?string
    {
        return $this->siren;
    }
    public function setSiren(?string $siren): static
    {
        $this->siren = $siren;
        return $this;
    }
    public function getAccountNumber(): ?string
    {
        return $this->accountNumber;
    }
    public function setAccountNumber(?string $accountNumber): static
    {
        $this->accountNumber = $accountNumber;
        return $this;
    }
    public function getTvaMode(): ?TvaMode
    {
        return $this->tvaMode;
    }
    public function setTvaMode(?TvaMode $tvaMode): static
    {
        $this->tvaMode = $tvaMode;
        return $this;
    }
    public function getNTva(): ?string
    {
        return $this->nTva;
    }
    public function setNTva(?string $nTva): static
    {
        $this->nTva = $nTva;
        return $this;
    }
    public function getPaymentDelay(): ?PaymentDelay
    {
        return $this->paymentDelay;
    }
    public function setPaymentDelay(?PaymentDelay $paymentDelay): static
    {
        $this->paymentDelay = $paymentDelay;
        return $this;
    }
    public function getPaymentType(): ?PaymentType
    {
        return $this->paymentType;
    }
    public function setPaymentType(?PaymentType $paymentType): static
    {
        $this->paymentType = $paymentType;
        return $this;
    }
    public function getBank(): ?Bank
    {
        return $this->bank;
    }
    public function setBank(?Bank $bank): static
    {
        $this->bank = $bank;
        return $this;
    }
    /** @return Collection<int, SupplierContact> */
    #[Groups(['supplier:item:read'])]
    public function getContacts(): Collection
    {
        return $this->contacts;
    }
    public function addContact(SupplierContact $contact): static
    {
        if (!$this->contacts->contains($contact)) {
            $this->contacts->add($contact);
            $contact->setSupplier($this);
        }
        return $this;
    }
    public function removeContact(SupplierContact $contact): static
    {
        if ($this->contacts->removeElement($contact) && $contact->getSupplier() === $this) {
            $contact->setSupplier(null);
        }
        return $this;
    }
    /** @return Collection<int, SupplierAddress> */
    #[Groups(['supplier:item:read'])]
    public function getAddresses(): Collection
    {
        return $this->addresses;
    }
    public function addAddress(SupplierAddress $address): static
    {
        if (!$this->addresses->contains($address)) {
            $this->addresses->add($address);
            $address->setSupplier($this);
        }
        return $this;
    }
    public function removeAddress(SupplierAddress $address): static
    {
        if ($this->addresses->removeElement($address) && $address->getSupplier() === $this) {
            $address->setSupplier(null);
        }
        return $this;
    }
    /**
     * Sites distincts rattaches a au moins une adresse du fournisseur (RG-2.06).
     * Le fournisseur ne porte pas de sites en propre : ils vivent sur les
     * adresses. Agrege en lecture seule pour la colonne « Site(s) » du Repertoire
     * (badges colores) — expose en LISTE via le groupe supplier:read (les adresses
     * completes restent reservees au detail, supplier:item:read). Site n'a pas de
     * champ `code` : libelle = `name`, prefixe = `postalCode` (§ 2.4 / § 4.0.ter).
     *
     * Fetch-join obligatoire (addresses.sites) cote repository pour eviter le N+1
     * a la serialisation de la liste (cf. DoctrineSupplierRepository, § 2.12).
     *
     * @return list<SiteInterface>
     */
    #[Groups(['supplier:read'])]
    public function getSites(): array
    {
        $sites = [];
        foreach ($this->addresses as $address) {
            foreach ($address->getSites() as $site) {
                // Deduplication par identite d'objet : un meme site peut etre
                // rattache a plusieurs adresses du fournisseur.
                $sites[spl_object_id($site)] = $site;
            }
        }
        return array_values($sites);
    }
    // Embed gate sur le groupe COMPTABLE (et non supplier:item:read comme contacts/
    // adresses) : supplier:read:accounting n'est ajoute au contexte que si l'user a
    // accounting.view (SupplierReadGroupContextBuilder, ERP-87). Resultat : la cle `ribs` est
    // TOTALEMENT ABSENTE du detail pour un user sans accounting.view (ex. Commerciale),
    // au meme titre que les scalaires comptables — evite la fuite IBAN/BIC (piege n°4 M1).
    /** @return Collection<int, SupplierRib> */
    #[Groups(['supplier:read:accounting'])]
    public function getRibs(): Collection
    {
        return $this->ribs;
    }
    public function addRib(SupplierRib $rib): static
    {
        if (!$this->ribs->contains($rib)) {
            $this->ribs->add($rib);
            $rib->setSupplier($this);
        }
        return $this;
    }
    public function removeRib(SupplierRib $rib): static
    {
        if ($this->ribs->removeElement($rib) && $rib->getSupplier() === $this) {
            $rib->setSupplier(null);
        }
        return $this;
    }
    // Groupe de lecture + nom serialise explicite : sans SerializedName, Symfony
    // exposerait la cle "archived" (strip du prefixe "is" sur les getters) et
    // droppait silencieusement la cle du JSON (piege n°3 du M1).
    #[Groups(['supplier:read'])]
    #[SerializedName('isArchived')]
    public function isArchived(): bool
    {
        return $this->isArchived;
    }
    public function setIsArchived(bool $isArchived): static
    {
        $this->isArchived = $isArchived;
        return $this;
    }
    public function getArchivedAt(): ?DateTimeImmutable
    {
        return $this->archivedAt;
    }
    public function setArchivedAt(?DateTimeImmutable $archivedAt): static
    {
        $this->archivedAt = $archivedAt;
        return $this;
    }
    public function getDeletedAt(): ?DateTimeImmutable
    {
        return $this->deletedAt;
    }
    public function setDeletedAt(?DateTimeImmutable $deletedAt): static
    {
        $this->deletedAt = $deletedAt;
        return $this;
    }
 }
@@ -1,437 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierAddressProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierAddressRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
 use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\Common\Collections\ArrayCollection;
 use Doctrine\Common\Collections\Collection;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Serializer\Attribute\SerializedName;
 use Symfony\Component\Validator\Constraints as Assert;
 use Symfony\Component\Validator\Context\ExecutionContextInterface;
 /**
 * Adresse d'un fournisseur (1:n) — onglet Adresse. Le type d'adresse est un enum
 * exclusif PROSPECT | DEPART | RENDU (radio cote front — RG-2.09), qui remplace
 * les 3 booleens prospect/livraison/facturation du Client (M1) ; pas d'email de
 * facturation au M2. Ajoute deux champs specifiques fournisseur : `bennes`
 * (entier nullable) et `triageProvider` (prestataire de triage, booleen).
 *
 * Relations M2M :
 *  - sites : SiteInterface (module Sites) via resolve_target_entities — au moins
 *    un site obligatoire (RG-2.06, Assert\Count). Site n'a pas de `code`.
 *  - contacts : SupplierContact (meme module).
 *  - categories : CategoryInterface (module Catalog) via resolve_target_entities —
 *    type FOURNISSEUR attendu (RG-2.10, Assert\Callback validateCategoryType).
 *
 * Embarquee sous `supplier.addresses` au detail (groupe supplier:item:read,
 * maillon (a)).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) :
 *  - POST /api/suppliers/{supplierId}/addresses : creation rattachee au
 *    fournisseur parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.manage.
 *  - PATCH / DELETE /api/supplier_addresses/{id} : security
 *    commercial.suppliers.manage.
 *  - GET /api/supplier_addresses/{id} : lecture unitaire (security view) — la
 *    lecture courante reste via le parent. Pas de GET collection autonome.
 * Tout passe par le SupplierAddressProcessor (rattachement parent). Les regles
 * RG-2.05/2.06/2.09/2.10 sont portees par les contraintes de l'entite (jouees
 * avant le processor).
 *
 * Audite (#[Auditable]) + Timestampable / Blamable.
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            // site:read + category:read : embarquent les Site / Category lies
            // (maillon (c)) plutot que des IRI nus dans le retour.
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/addresses',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierAddress ... WHERE supplier = :id)
            // et casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierAddressProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
            denormalizationContext: ['groups' => ['supplier:write:addresses']],
            processor: SupplierAddressProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
            denormalizationContext: ['groups' => ['supplier:write:addresses']],
            processor: SupplierAddressProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.manage')",
            processor: SupplierAddressProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierAddressRepository::class)]
 #[ORM\Table(name: 'supplier_address')]
 #[ORM\Index(name: 'idx_supplier_address_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierAddress implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    /**
     * Valeurs autorisees de address_type (RG-2.09). Miroir applicatif du CHECK BDD
     * chk_supplier_address_type : alimente l'Assert\Choice (422 propre rattachee
     * au champ avant la base) et reste la source des options cote front.
     */
    public const array ADDRESS_TYPES = ['PROSPECT', 'DEPART', 'RENDU'];
    /**
     * RG-2.10 : seules les categories de ce type sont autorisees sur une adresse
     * fournisseur. S'appuie sur CategoryInterface::getCategoryTypeCode() (pas
     * d'import du module Catalog — regle ABSOLUE n°1).
     */
    private const string REQUIRED_CATEGORY_TYPE_CODE = 'FOURNISSEUR';
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:item:read'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'addresses')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    // RG-2.09 : enum exclusif. La valeur est bornee par Assert\Choice (longueur de
    // fait <= 8), d'ou la whitelist du miroir Assert\Length == ORM length (ERP-107,
    // EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le type d\'adresse est obligatoire.', normalizer: 'trim')]
    #[Assert\Choice(choices: self::ADDRESS_TYPES, message: 'Le type d\'adresse doit être Prospect, Départ ou Rendu.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $addressType = null;
    #[ORM\Column(length: 80, options: ['default' => 'France'])]
    #[Assert\Length(max: 80, maxMessage: 'Le pays ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private string $country = 'France';
    // RG-2.05 : code postal a 4 ou 5 chiffres (pas de controle CP/ville serveur).
    // Le Regex borne deja la longueur (<= 5) : pas de Length redondant (whitelist).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le code postal est obligatoire.', normalizer: 'trim')]
    #[Assert\Regex(pattern: '/^[0-9]{4,5}$/', message: 'Le code postal doit comporter 4 ou 5 chiffres.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $postalCode = null;
    #[ORM\Column(length: 120)]
    #[Assert\NotBlank(message: 'La ville est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 120, maxMessage: 'La ville ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $city = null;
    #[ORM\Column(length: 255)]
    #[Assert\NotBlank(message: 'La rue est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 255, maxMessage: 'La rue ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $street = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Le complément d\'adresse ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $streetComplement = null;
    // Specifique fournisseur : nombre de bennes sur le site.
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'Le nombre de bennes doit être un nombre positif ou nul.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?int $bennes = null;
    // Specifique fournisseur : prestataire de triage sur cette adresse. Groupe
    // d'ECRITURE uniquement sur la propriete ; le groupe de LECTURE est porte par
    // le getter isTriageProvider() avec SerializedName('triageProvider') — sinon
    // Symfony strip le prefixe "is" et droppe la cle (piege n°3 du M1).
    #[ORM\Column(name: 'triage_provider', options: ['default' => false])]
    #[Groups(['supplier:write:addresses'])]
    private bool $triageProvider = false;
    // Ordre d'affichage de l'adresse (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    // RG-2.06 : au moins un site rattache a chaque adresse.
    /** @var Collection<int, SiteInterface> */
    #[ORM\ManyToMany(targetEntity: SiteInterface::class)]
    #[ORM\JoinTable(name: 'supplier_address_site')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'site_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Assert\Count(min: 1, minMessage: 'Au moins un site est obligatoire.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $sites;
    /** @var Collection<int, SupplierContact> */
    #[ORM\ManyToMany(targetEntity: SupplierContact::class)]
    #[ORM\JoinTable(name: 'supplier_address_contact')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'supplier_contact_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $contacts;
    // RG-2.10 : categories d'adresse de type FOURNISSEUR (controle au Processor).
    /** @var Collection<int, CategoryInterface> */
    #[ORM\ManyToMany(targetEntity: CategoryInterface::class)]
    #[ORM\JoinTable(name: 'supplier_address_category')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'category_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $categories;
    public function __construct()
    {
        $this->sites      = new ArrayCollection();
        $this->contacts   = new ArrayCollection();
        $this->categories = new ArrayCollection();
    }
    /**
     * RG-2.10 : toute categorie posee sur une adresse fournisseur doit etre de
     * type FOURNISSEUR -> sinon 422 avec violation sur le champ `categories`
     * (propertyPath aligne ERP-101, message FR ERP-107). S'appuie sur
     * CategoryInterface::getCategoryTypeCode() (pas d'import du module Catalog —
     * regle ABSOLUE n°1). Joue avant la base via la validation API Platform.
     */
    #[Assert\Callback]
    public function validateCategoryType(ExecutionContextInterface $context): void
    {
        foreach ($this->categories as $category) {
            if ($category instanceof CategoryInterface
                && self::REQUIRED_CATEGORY_TYPE_CODE !== $category->getCategoryTypeCode()) {
                $context->buildViolation('Type de catégorie non autorisé (FOURNISSEUR attendu).')
                    ->atPath('categories')
                    ->addViolation()
                ;
                return;
            }
        }
    }
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getAddressType(): ?string
    {
        return $this->addressType;
    }
    public function setAddressType(?string $addressType): static
    {
        $this->addressType = $addressType;
        return $this;
    }
    public function getCountry(): string
    {
        return $this->country;
    }
    public function setCountry(string $country): static
    {
        $this->country = $country;
        return $this;
    }
    public function getPostalCode(): ?string
    {
        return $this->postalCode;
    }
    public function setPostalCode(?string $postalCode): static
    {
        $this->postalCode = $postalCode;
        return $this;
    }
    public function getCity(): ?string
    {
        return $this->city;
    }
    public function setCity(?string $city): static
    {
        $this->city = $city;
        return $this;
    }
    public function getStreet(): ?string
    {
        return $this->street;
    }
    public function setStreet(?string $street): static
    {
        $this->street = $street;
        return $this;
    }
    public function getStreetComplement(): ?string
    {
        return $this->streetComplement;
    }
    public function setStreetComplement(?string $streetComplement): static
    {
        $this->streetComplement = $streetComplement;
        return $this;
    }
    public function getBennes(): ?int
    {
        return $this->bennes;
    }
    public function setBennes(?int $bennes): static
    {
        $this->bennes = $bennes;
        return $this;
    }
    // Groupe de lecture + nom serialise explicite (cf. note sur la propriete) :
    // sans SerializedName, Symfony exposerait la cle "triage" (strip du prefixe
    // "is") et, le groupe etant sur la propriete `triageProvider`, droppait
    // silencieusement la cle du JSON.
    #[Groups(['supplier:item:read'])]
    #[SerializedName('triageProvider')]
    public function isTriageProvider(): bool
    {
        return $this->triageProvider;
    }
    public function setTriageProvider(bool $triageProvider): static
    {
        $this->triageProvider = $triageProvider;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
    /** @return Collection<int, SiteInterface> */
    public function getSites(): Collection
    {
        return $this->sites;
    }
    public function addSite(SiteInterface $site): static
    {
        if (!$this->sites->contains($site)) {
            $this->sites->add($site);
        }
        return $this;
    }
    public function removeSite(SiteInterface $site): static
    {
        $this->sites->removeElement($site);
        return $this;
    }
    /** @return Collection<int, SupplierContact> */
    public function getContacts(): Collection
    {
        return $this->contacts;
    }
    public function addContact(SupplierContact $contact): static
    {
        if (!$this->contacts->contains($contact)) {
            $this->contacts->add($contact);
        }
        return $this;
    }
    public function removeContact(SupplierContact $contact): static
    {
        $this->contacts->removeElement($contact);
        return $this;
    }
    /** @return Collection<int, CategoryInterface> */
    public function getCategories(): Collection
    {
        return $this->categories;
    }
    public function addCategory(CategoryInterface $category): static
    {
        if (!$this->categories->contains($category)) {
            $this->categories->add($category);
        }
        return $this;
    }
    public function removeCategory(CategoryInterface $category): static
    {
        $this->categories->removeElement($category);
        return $this;
    }
 }
@@ -1,238 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierContactProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierContactRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Validator\Constraints as Assert;
 /**
 * Contact d'un fournisseur (1:n) — onglet Contacts. Au moins firstName OU
 * lastName doit etre renseigne (RG-2.04) : contrainte portee par un CHECK BDD
 * (chk_supplier_contact_name) et validee au Processor (ERP-88) ; l'entite reste
 * permissive (les deux champs sont nullable).
 *
 * Embarque sous `supplier.contacts` au detail (groupe supplier:item:read,
 * maillon (a) du contrat de serialisation).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) :
 *  - POST /api/suppliers/{supplierId}/contacts : creation rattachee au
 *    fournisseur parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.manage.
 *  - PATCH / DELETE /api/supplier_contacts/{id} : security
 *    commercial.suppliers.manage. Le DELETE est physique et libre (pas de garde
 *    « dernier contact » au M2 — RG-2.13 front-driven, la collection peut rester
 *    vide cote back).
 *  - GET /api/supplier_contacts/{id} : lecture unitaire (security view) — la
 *    lecture courante reste via le parent (le fournisseur embarque ses contacts).
 *    Pas de GET collection autonome.
 * Tout passe par le SupplierContactProcessor (normalisation RG-2.12, RG-2.04).
 *
 * Audite (#[Auditable]) + Timestampable / Blamable (pattern Shared standard).
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['supplier:item:read']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/contacts',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierContact ... WHERE supplier = :id)
            // et casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierContactProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read']],
            denormalizationContext: ['groups' => ['supplier:write:contacts']],
            processor: SupplierContactProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read']],
            denormalizationContext: ['groups' => ['supplier:write:contacts']],
            processor: SupplierContactProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.manage')",
            processor: SupplierContactProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierContactRepository::class)]
 #[ORM\Table(name: 'supplier_contact')]
 #[ORM\Index(name: 'idx_supplier_contact_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierContact implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:item:read'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'contacts')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    // RG-2.04 : firstName OU lastName obligatoire (CHECK BDD + Processor). Les
    // deux restent nullable au niveau ORM.
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le prénom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $firstName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $lastName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'La fonction ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $jobTitle = null;
    // RG : pas de validation de format telephone (saisie libre), mais une
    // Assert\Length calee sur la colonne VARCHAR(20) evite l'erreur Postgres
    // (500 non rattachee au champ) au profit d'une 422 propre (ERP-107).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $phonePrimary = null;
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone secondaire ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $phoneSecondary = null;
    #[ORM\Column(length: 180, nullable: true)]
    #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
    #[Assert\Length(max: 180, maxMessage: 'L\'email ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $email = null;
    // Ordre d'affichage du contact (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getFirstName(): ?string
    {
        return $this->firstName;
    }
    public function setFirstName(?string $firstName): static
    {
        $this->firstName = $firstName;
        return $this;
    }
    public function getLastName(): ?string
    {
        return $this->lastName;
    }
    public function setLastName(?string $lastName): static
    {
        $this->lastName = $lastName;
        return $this;
    }
    public function getJobTitle(): ?string
    {
        return $this->jobTitle;
    }
    public function setJobTitle(?string $jobTitle): static
    {
        $this->jobTitle = $jobTitle;
        return $this;
    }
    public function getPhonePrimary(): ?string
    {
        return $this->phonePrimary;
    }
    public function setPhonePrimary(?string $phonePrimary): static
    {
        $this->phonePrimary = $phonePrimary;
        return $this;
    }
    public function getPhoneSecondary(): ?string
    {
        return $this->phoneSecondary;
    }
    public function setPhoneSecondary(?string $phoneSecondary): static
    {
        $this->phoneSecondary = $phoneSecondary;
        return $this;
    }
    public function getEmail(): ?string
    {
        return $this->email;
    }
    public function setEmail(?string $email): static
    {
        $this->email = $email;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
 }
@@ -1,188 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierRibProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRibRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Validator\Constraints as Assert;
 /**
 * Coordonnees bancaires d'un fournisseur (1:n) — onglet Comptabilite. Au moins un
 * RIB est obligatoire si le type de reglement est LCR (RG-2.08, verifie au
 * Processor : refus du DELETE du dernier RIB sous LCR, ERP-88).
 *
 * Embarque sous `supplier.ribs` UNIQUEMENT si l'user a accounting.view : le
 * read-group est `supplier:read:accounting`, retire du contexte par le
 * SupplierProvider sinon (gating par omission de cle — evite la fuite IBAN/BIC,
 * piege n°4 du M1). Aucun #[AuditIgnore] sur iban/bic : l'audit etant admin-only,
 * la tracabilite RIB est conservee (decision M1 reportee, § 2.7).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) — gating comptable renforce :
 *  - POST /api/suppliers/{supplierId}/ribs : creation rattachee au fournisseur
 *    parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.accounting.manage.
 *  - PATCH / DELETE /api/supplier_ribs/{id} : security
 *    commercial.suppliers.accounting.manage. Le DELETE refuse la suppression du
 *    dernier RIB sous LCR (RG-2.08, 409).
 *  - GET /api/supplier_ribs/{id} : lecture unitaire, security
 *    commercial.suppliers.accounting.view (donnees bancaires sensibles). Pas de
 *    GET collection autonome.
 * Tout passe par le SupplierRibProcessor (RG-2.08 sur DELETE).
 *
 * Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony (pas de controle
 * banque reelle). Audite (#[Auditable]) + Timestampable / Blamable.
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.accounting.view')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/ribs',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierRib ... WHERE supplier = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierRibProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
            denormalizationContext: ['groups' => ['supplier:write:accounting']],
            processor: SupplierRibProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
            denormalizationContext: ['groups' => ['supplier:write:accounting']],
            processor: SupplierRibProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.accounting.manage')",
            processor: SupplierRibProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierRibRepository::class)]
 #[ORM\Table(name: 'supplier_rib')]
 #[ORM\Index(name: 'idx_supplier_rib_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierRib implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:read:accounting'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'ribs')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    #[ORM\Column(length: 120)]
    #[Assert\NotBlank(message: 'Le libellé du RIB est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 120, maxMessage: 'Le libellé ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $label = null;
    // Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
    // redondant calee sur la colonne (auto-exempte du miroir ERP-107).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
    #[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $bic = null;
    #[ORM\Column(length: 34)]
    #[Assert\NotBlank(message: 'L\'IBAN est obligatoire.', normalizer: 'trim')]
    #[Assert\Iban(message: 'L\'IBAN n\'est pas valide.')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $iban = null;
    // Ordre d'affichage du RIB (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getLabel(): ?string
    {
        return $this->label;
    }
    public function setLabel(string $label): static
    {
        $this->label = $label;
        return $this;
    }
    public function getBic(): ?string
    {
        return $this->bic;
    }
    public function setBic(string $bic): static
    {
        $this->bic = $bic;
        return $this;
    }
    public function getIban(): ?string
    {
        return $this->iban;
    }
    public function setIban(string $iban): static
    {
        $this->iban = $iban;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
 }
@@ -17,8 +17,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 * re-seede en dev/test par CommercialReferentialFixtures.
 *
 * Lecture seule au M1 (HP-M2-2) : seules GetCollection et Get sont exposees
- * (ERP-56), sous la permission commercial.clients.view (elargie aux roles
+ * (ERP-56), sous la permission commercial.clients.view ; aucune ecriture
 * fournisseurs au M2 via commercial.suppliers.view, ERP-90) ; aucune ecriture
 * declaree -> POST/PATCH/DELETE renvoient 405.
 *
 * Referentiel statique : pas de Timestampable/Blamable (whiteliste dans
@@ -29,7 +28,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['tva_mode:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC
            // (ordre des selecteurs comptables) — provider Doctrine par defaut.
@@ -40,11 +39,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            security: "is_granted('commercial.clients.view')",
            normalizationContext: ['groups' => ['tva_mode:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+    security: "is_granted('commercial.clients.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrineTvaModeRepository::class)]
 #[ORM\Table(name: 'tva_mode')]
@@ -1,14 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 interface SupplierAddressRepositoryInterface
 {
    public function findById(int $id): ?SupplierAddress;
    public function save(SupplierAddress $address): void;
 }
@@ -1,14 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 interface SupplierContactRepositoryInterface
 {
    public function findById(int $id): ?SupplierContact;
    public function save(SupplierContact $contact): void;
 }
@@ -1,80 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Doctrine\ORM\QueryBuilder;
 interface SupplierRepositoryInterface
 {
    public function findById(int $id): ?Supplier;
    public function save(Supplier $supplier): void;
    /**
     * Construit un QueryBuilder de liste pour le repertoire fournisseurs.
     * - Exclut toujours les fournisseurs soft-deletes (deleted_at IS NOT NULL, RG-2.17).
     * - Archivage (RG-2.17) :
     *     - $archivedOnly = true  -> uniquement les archives (is_archived = true) ;
     *     - sinon $includeArchived = true -> actifs + archives (echappatoire) ;
     *     - sinon (defaut) -> uniquement les actifs (is_archived = false).
     *   $archivedOnly a la priorite sur $includeArchived.
     * - Tri par defaut : companyName ASC (RG-2.17).
     * - $search : recherche fuzzy insensible a la casse sur companyName + les
     *   contacts lies (firstName / lastName / email) via sous-requete (D1,
     *   refonte-contact §4.1). Metacaracteres LIKE echappes. Ignore si null/vide.
     * - $categoryCodes : restreint aux fournisseurs possedant au moins une
     *   categorie dont le code est dans la liste (OR). Liste vide = pas de filtre.
     * - $siteIds : restreint aux fournisseurs ayant au moins une adresse rattachee
     *   a l'un des sites donnes (OR — RG-2.06). Liste vide = pas de filtre.
     *
     * Filtrage centralise ICI (et non dans le provider/controller) pour que la
     * liste paginee (SupplierProvider) et l'export (SupplierExportController)
     * partagent strictement la meme logique de selection.
     *
     * Contrat = SELECTION uniquement (filtres + tri). Aucun fetch-join to-many :
     * l'hydratation des collections affichees est deleguee a
     * {@see self::hydrateListCollections()} pour ne pas imposer le cout d'un
     * produit cartesien aux chemins non pagines (cf. M1/ERP-100).
     *
     * @param list<string> $categoryCodes
     * @param list<int>    $siteIds
     */
    public function createListQueryBuilder(
        bool $includeArchived = false,
        ?string $search = null,
        array $categoryCodes = [],
        array $siteIds = [],
        bool $archivedOnly = false,
    ): QueryBuilder;
    /**
     * Hydrate en lot les collections affichees par le repertoire (categories,
     * adresses et leurs sites) sur un jeu de fournisseurs DEJA charges, via
     * l'identity map Doctrine (memes instances). A appeler apres une selection
     * bornee (page courante ou jeu d'export) pour eviter le N+1 a la
     * serialisation, sans imposer de fetch-join au QueryBuilder de selection
     * (anti N+1, § 2.12).
     *
     * Charge les categories et les adresses/sites en DEUX requetes distinctes
     * (et non un triple fetch-join) pour ne pas multiplier categories x adresses
     * x sites en un seul produit cartesien.
     *
     * @param list<Supplier> $suppliers
     */
    public function hydrateListCollections(array $suppliers): void;
    /**
     * Hydrate en lot la collection `contacts` sur un jeu de fournisseurs DEJA
     * charges (memes instances via l'identity map). Reservee a l'export XLSX
     * (§ 4.6) qui a besoin du contact principal : la LISTE paginee n'embarque
     * pas les contacts (§ 2.12), d'ou une methode dediee plutot qu'une passe
     * supplementaire dans {@see self::hydrateListCollections()} — on n'impose pas
     * le cout du chargement des contacts au chemin liste.
     *
     * @param list<Supplier> $suppliers
     */
    public function hydrateContacts(array $suppliers): void;
 }
@@ -1,14 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierRib;
 interface SupplierRibRepositoryInterface
 {
    public function findById(int $id): ?SupplierRib;
    public function save(SupplierRib $rib): void;
 }
@@ -1,75 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\Serializer;
 use ApiPlatform\State\SerializerContextBuilderInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\AsDecorator;
 use Symfony\Component\DependencyInjection\Attribute\AutowireDecorated;
 use Symfony\Component\HttpFoundation\Request;
 /**
 * Decore le context builder de serialisation d'API Platform pour ajouter
 * DYNAMIQUEMENT le groupe de lecture `supplier:read:accounting` sur les
 * ressources Supplier, uniquement si l'utilisateur courant a la permission
 * `commercial.suppliers.accounting.view` (cf. spec-back M2 § 2.9 / § 4.1 /
 * § 4.2). Jumeau de ClientReadGroupContextBuilder (M1).
 *
 * Pourquoi un context builder et pas le Provider : un Provider retourne des
 * donnees mais ne peut pas influencer les groupes de serialisation. Le contexte
 * de normalisation est construit ici, en amont du serializer — c'est le point
 * d'extension idiomatique d'API Platform pour conditionner un groupe selon
 * l'utilisateur. Realise l'intention « gating du groupe accounting » de la spec
 * (le groupe n'est jamais pose par defaut sur l'operation : il est AJOUTE ici si
 * la permission est presente — resultat identique au « retrait » decrit en spec).
 *
 * S'applique aux operations de LECTURE (normalization) sur Supplier : liste ET
 * detail. Sans la permission, les champs comptables (siren, accountNumber,
 * tvaMode, nTva, paymentDelay, paymentType, bank) ET les RIB embarques (groupe
 * supplier:read:accounting porte par getRibs()) ne sont jamais serialises — la
 * cle est totalement absente du JSON (gating par omission, parade bug #4 M1).
 *
 * Priorite de decoration -10 : on s'empile APRES ClientReadGroupContextBuilder
 * (priorite par defaut 0) sur le meme service `api_platform.serializer.context_builder`.
 * Les deux decorateurs passent la main pour toute ressource autre que la leur :
 * l'ordre de chainage n'a donc aucun effet fonctionnel, la priorite explicite ne
 * sert qu'a lever l'ambiguite de deux decorateurs sur un meme service.
 */
 #[AsDecorator(decorates: 'api_platform.serializer.context_builder', priority: -10)]
 final readonly class SupplierReadGroupContextBuilder implements SerializerContextBuilderInterface
 {
    public function __construct(
        #[AutowireDecorated]
        private SerializerContextBuilderInterface $decorated,
        private Security $security,
    ) {}
    public function createFromRequest(Request $request, bool $normalization, ?array $extractedAttributes = null): array
    {
        $context = $this->decorated->createFromRequest($request, $normalization, $extractedAttributes);
        // Uniquement en lecture, sur la ressource Supplier, avec la permission.
        if (!$normalization) {
            return $context;
        }
        if (Supplier::class !== ($context['resource_class'] ?? null)) {
            return $context;
        }
        if (!$this->security->isGranted('commercial.suppliers.accounting.view')) {
            return $context;
        }
        $groups = $context['groups'] ?? [];
        if (!in_array('supplier:read:accounting', $groups, true)) {
            $groups[] = 'supplier:read:accounting';
        }
        $context['groups'] = $groups;
        return $context;
    }
 }
@@ -12,7 +12,6 @@ use App\Module\Commercial\Domain\Entity\Client;
 use App\Module\Commercial\Domain\Entity\ClientAddress;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource Adresse d'un client (M1, § 4.5).
@@ -76,14 +75,9 @@ final class ClientAddressProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
+        if ($client instanceof Client) {
-        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
+            $address->setClient($client);
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $address->setClient($client);
    }
    /**
@@ -14,7 +14,6 @@ use App\Module\Commercial\Domain\Entity\ClientContact;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
@@ -89,14 +88,9 @@ final class ClientContactProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
+        if ($client instanceof Client) {
-        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
+            $contact->setClient($client);
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $contact->setClient($client);
    }
    /**
@@ -8,7 +8,6 @@ use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\ClientFieldNormalizer;
 use App\Module\Commercial\Application\Validator\ClientAccountingCompletenessValidator;
 use App\Module\Commercial\Application\Validator\ClientInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Client;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
@@ -30,7 +29,7 @@ use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Processor d'ecriture du repertoire clients (M1). Cf. spec-back M1 § 2.8 /
- * § 2.9 / § 4.3 / § 4.4 + RG-1.03 a RG-1.28 (RG-1.01/1.02 supprimees : contact inline retire).
+ * § 2.9 / § 4.3 / § 4.4 + RG-1.01 a RG-1.28.
 *
 * Sequence (POST / PATCH) :
 *  1. Autorisation additionnelle par groupe d'onglet. La security d'operation
@@ -42,7 +41,7 @@ use Symfony\Component\Validator\ConstraintViolationList;
 *     - champ isArchived dans le payload -> exige archive (RG-1.22, 403) et
 *       interdit toute autre modification dans la meme requete (RG-1.22, 422).
 *  2. Normalisation serveur (RG-1.18 a 1.21) via ClientFieldNormalizer.
- *  3. Regles metier : RG-1.03 (distributor/broker
+ *  3. Regles metier : RG-1.01 (prenom/nom), RG-1.03 (distributor/broker
 *     exclusifs + type de categorie), RG-1.12 (Virement -> banque),
 *     RG-1.13 (LCR -> >= 1 RIB), RG-1.04 (completude Information exigee sur POST
 *     et tout PATCH pour le role Commerciale).
@@ -61,7 +60,8 @@ final class ClientProcessor implements ProcessorInterface
 {
    /** Champs de l'onglet principal (groupe client:write:main). */
    private const array MAIN_FIELDS = [
-        'companyName', 'distributor', 'broker', 'triageService', 'categories',
+        'companyName', 'firstName', 'lastName', 'phonePrimary', 'phoneSecondary',
        'email', 'distributor', 'broker', 'triageService', 'categories',
    ];
    /** Champs de l'onglet Information (groupe client:write:information). */
@@ -76,14 +76,6 @@ final class ClientProcessor implements ProcessorInterface
        'paymentType', 'bank',
    ];
    /**
     * Champs comptables obligatoires a la validation complete de l'onglet
     * (spec-front § Onglet Comptabilite). bank est exclu : conditionnel (RG-1.12).
     */
    private const array ACCOUNTING_REQUIRED_FIELDS = [
        'siren', 'accountNumber', 'tvaMode', 'nTva', 'paymentDelay', 'paymentType',
    ];
    /** Champ d'archivage (groupe client:write:archive). */
    private const string ARCHIVE_FIELD = 'isArchived';
@@ -109,7 +101,6 @@ final class ClientProcessor implements ProcessorInterface
        private readonly ProcessorInterface $persistProcessor,
        private readonly ClientFieldNormalizer $normalizer,
        private readonly ClientInformationCompletenessValidator $informationValidator,
        private readonly ClientAccountingCompletenessValidator $accountingValidator,
        private readonly Security $security,
        private readonly RequestStack $requestStack,
        private readonly EntityManagerInterface $em,
@@ -133,9 +124,9 @@ final class ClientProcessor implements ProcessorInterface
        // valeurs normalisees des deux cotes (l'etat persiste l'a deja ete).
        $this->guardManage($data);
        $this->validateMainContact($data);
        $this->validateDistributorBroker($data);
        $this->validateAccountingConsistency($data);
        $this->validateAccountingCompleteness($data);
        $this->validateInformationCompleteness($data);
        try {
@@ -283,6 +274,11 @@ final class ClientProcessor implements ProcessorInterface
    {
        $newValues = [
            'companyName'    => $data->getCompanyName(),
            'firstName'      => $data->getFirstName(),
            'lastName'       => $data->getLastName(),
            'phonePrimary'   => $data->getPhonePrimary(),
            'phoneSecondary' => $data->getPhoneSecondary(),
            'email'          => $data->getEmail(),
            'distributor'    => $data->getDistributor(),
            'broker'         => $data->getBroker(),
            'triageService'  => $data->isTriageService(),
@@ -424,17 +420,39 @@ final class ClientProcessor implements ProcessorInterface
    }
    /**
-     * Normalisation serveur du formulaire principal (RG-1.18). Seul companyName
+     * Normalisation serveur (RG-1.18 a 1.21). Les setters non-nullables
-     * subsiste cote Client depuis la suppression du contact inline (les champs de
+     * (companyName, email, phonePrimary) ne sont touches que si une valeur est
-     * contact — noms, telephones, email — sont normalises par ClientContactProcessor).
+     * presente, pour ne jamais ecraser l'existant lors d'un PATCH partiel.
     * Le setter non-nullable n'est touche que si une valeur est presente, pour ne
     * jamais ecraser l'existant lors d'un PATCH partiel.
     */
    private function normalize(Client $data): void
    {
        if (null !== $data->getCompanyName()) {
            $data->setCompanyName((string) $this->normalizer->normalizeCompanyName($data->getCompanyName()));
        }
        if (null !== $data->getEmail()) {
            $data->setEmail((string) $this->normalizer->normalizeEmail($data->getEmail()));
        }
        if (null !== $data->getPhonePrimary()) {
            $data->setPhonePrimary((string) $this->normalizer->normalizePhone($data->getPhonePrimary()));
        }
        $data->setFirstName($this->normalizer->normalizePersonName($data->getFirstName()));
        $data->setLastName($this->normalizer->normalizePersonName($data->getLastName()));
        $data->setPhoneSecondary($this->normalizer->normalizePhone($data->getPhoneSecondary()));
    }
    /**
     * RG-1.01 : au moins le prenom OU le nom du contact principal.
     */
    private function validateMainContact(Client $data): void
    {
        if (null === $data->getFirstName() && null === $data->getLastName()) {
            $this->throwViolation(
                'firstName',
                'Le prénom ou le nom du contact principal est obligatoire.',
                $data,
            );
        }
    }
    /**
@@ -497,29 +515,6 @@ final class ClientProcessor implements ProcessorInterface
        }
    }
    /**
     * spec-front § Onglet Comptabilite : a la validation COMPLETE de l'onglet
     * (les six champs obligatoires presents dans le payload — le front les envoie
     * toujours ensemble), chacun doit etre renseigne, sinon 422 par champ. On ne
     * declenche pas sur un PATCH ciblant un sous-ensemble de champs comptables :
     * ce n'est pas une validation d'onglet (edition ponctuelle preservee). bank /
     * RIB restent geres par validateAccountingConsistency (RG-1.12 / RG-1.13).
     *
     * Colonnes nullable en base + validateur contextuel (meme parti que RG-1.04) :
     * un Assert\NotBlank sur l'entite casserait le POST de l'onglet principal, qui
     * n'envoie aucun champ comptable.
     */
    private function validateAccountingCompleteness(Client $data): void
    {
        // Declenche uniquement si TOUS les champs requis sont presents dans le
        // payload (= soumission d'onglet, pas un PATCH partiel cible).
        if ([] !== array_diff(self::ACCOUNTING_REQUIRED_FIELDS, $this->payloadKeys())) {
            return;
        }
        $this->accountingValidator->validate($data);
    }
    /**
     * RG-1.04 (durcie ERP-74) : si l'utilisateur porte le role metier
     * Commerciale, TOUS les champs de l'onglet Information sont obligatoires sur
@@ -12,7 +12,6 @@ use App\Module\Commercial\Domain\Entity\ClientRib;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource RIB d'un client (M1, § 4.5).
@@ -78,14 +77,9 @@ final class ClientRibProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
+        if ($client instanceof Client) {
-        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
+            $rib->setClient($client);
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $rib->setClient($client);
    }
    /**
@@ -1,90 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\DeleteOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource Adresse d'un fournisseur (M2,
 * spec-back § 4.5). Jumeau du ClientAddressProcessor (M1), recentre sur le
 * perimetre ERP-88.
 *
 * Sequence :
 *  - POST / PATCH : rattachement au fournisseur parent. Aucune normalisation
 *    specifique (pas d'email de facturation au M2). Les regles de l'onglet
 *    Adresse sont garanties en amont par des contraintes sur l'entite, jouees
 *    par API Platform avant ce processor : RG-2.05 (code postal, Assert\Regex),
 *    RG-2.06 (>= 1 site, Assert\Count), RG-2.09 (type d'adresse, Assert\Choice +
 *    CHECK BDD), RG-2.10 (categorie de type FOURNISSEUR, Assert\Callback
 *    SupplierAddress::validateCategoryType).
 *  - DELETE : aucune regle metier specifique (suppression physique directe).
 *
 * La security de l'operation (commercial.suppliers.manage) est appliquee par API
 * Platform en amont, de meme que la validation Symfony des contraintes d'attribut.
 *
 * @implements ProcessorInterface<SupplierAddress, null|SupplierAddress>
 */
 final class SupplierAddressProcessor implements ProcessorInterface
 {
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        #[Autowire(service: 'api_platform.doctrine.orm.state.remove_processor')]
        private readonly ProcessorInterface $removeProcessor,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof SupplierAddress) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        if ($operation instanceof DeleteOperationInterface) {
            return $this->removeProcessor->process($data, $operation, $uriVariables, $context);
        }
        $this->linkParent($data, $uriVariables);
        return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
    }
    /**
     * Rattache l'adresse au fournisseur parent de la sous-ressource POST
     * (/suppliers/{supplierId}/addresses) : la relation n'est pas peuplee
     * automatiquement par le Link sur une ecriture. Sur PATCH, no-op.
     */
    private function linkParent(SupplierAddress $address, array $uriVariables): void
    {
        if (null !== $address->getSupplier()) {
            return;
        }
        $supplierId = $uriVariables['supplierId'] ?? null;
        if (null === $supplierId) {
            return;
        }
        $supplier = $supplierId instanceof Supplier
            ? $supplierId
            : $this->em->getRepository(Supplier::class)->find($supplierId);
        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte supplier_id NOT NULL).
        if (!$supplier instanceof Supplier) {
            throw new NotFoundHttpException('Fournisseur introuvable.');
        }
        $address->setSupplier($supplier);
    }
 }
@@ -1,135 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\DeleteOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\SupplierFieldNormalizer;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Processor d'ecriture de la sous-ressource Contact d'un fournisseur (M2,
 * spec-back § 4.5). Jumeau du ClientContactProcessor (M1), recentre sur le
 * perimetre ERP-88.
 *
 * Sequence :
 *  - POST / PATCH : rattachement au fournisseur parent, normalisation serveur
 *    (RG-2.12 : prenom/nom Title Case, telephones reduits aux chiffres, email
 *    lowercase) via le SupplierFieldNormalizer partage, puis validation RG-2.04
 *    (au moins prenom OU nom) avant persistance.
 *  - DELETE : aucune garde « dernier contact » au M2 — contrairement au M1, la
 *    collection peut rester vide cote back (RG-2.13 front-driven, spec § 4.5).
 *    Suppression physique directe.
 *
 * La security de l'operation (commercial.suppliers.manage) est appliquee par API
 * Platform en amont, de meme que la validation Symfony des contraintes d'attribut
 * (Assert\Email, Assert\Length...).
 *
 * @implements ProcessorInterface<SupplierContact, null|SupplierContact>
 */
 final class SupplierContactProcessor implements ProcessorInterface
 {
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        #[Autowire(service: 'api_platform.doctrine.orm.state.remove_processor')]
        private readonly ProcessorInterface $removeProcessor,
        private readonly SupplierFieldNormalizer $normalizer,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof SupplierContact) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        if ($operation instanceof DeleteOperationInterface) {
            return $this->removeProcessor->process($data, $operation, $uriVariables, $context);
        }
        $this->linkParent($data, $uriVariables);
        $this->normalize($data);
        $this->validateName($data);
        return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
    }
    /**
     * Rattache le contact au fournisseur parent de la sous-ressource POST
     * (/suppliers/{supplierId}/contacts). La relation n'est pas peuplee
     * automatiquement par le Link sur une operation d'ecriture : on resout le
     * parent depuis l'uri variable. Sur PATCH (entite existante), le fournisseur
     * est deja present -> no-op.
     */
    private function linkParent(SupplierContact $contact, array $uriVariables): void
    {
        if (null !== $contact->getSupplier()) {
            return;
        }
        $supplierId = $uriVariables['supplierId'] ?? null;
        if (null === $supplierId) {
            return;
        }
        $supplier = $supplierId instanceof Supplier
            ? $supplierId
            : $this->em->getRepository(Supplier::class)->find($supplierId);
        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte supplier_id NOT NULL).
        if (!$supplier instanceof Supplier) {
            throw new NotFoundHttpException('Fournisseur introuvable.');
        }
        $contact->setSupplier($supplier);
    }
    /**
     * Normalisation serveur (RG-2.12). Toutes les methodes du normalizer sont
     * null-safe : une chaine vide apres trim devient null.
     */
    private function normalize(SupplierContact $contact): void
    {
        $contact->setFirstName($this->normalizer->normalizePersonName($contact->getFirstName()));
        $contact->setLastName($this->normalizer->normalizePersonName($contact->getLastName()));
        $contact->setPhonePrimary($this->normalizer->normalizePhone($contact->getPhonePrimary()));
        $contact->setPhoneSecondary($this->normalizer->normalizePhone($contact->getPhoneSecondary()));
        $contact->setEmail($this->normalizer->normalizeEmail($contact->getEmail()));
    }
    /**
     * RG-2.04 : au moins le prenom OU le nom est obligatoire (double garde avec le
     * CHECK BDD chk_supplier_contact_name — leve une 422 propre rattachee au champ
     * `firstName` plutot qu'une 500 SQL). Joue apres normalisation, donc les
     * chaines vides sont deja ramenees a null.
     */
    private function validateName(SupplierContact $contact): void
    {
        if (null === $contact->getFirstName() && null === $contact->getLastName()) {
            $violations = new ConstraintViolationList();
            $violations->add(new ConstraintViolation(
                'Le prénom ou le nom du contact est obligatoire.',
                null,
                [],
                $contact,
                'firstName',
                null,
            ));
            throw new ValidationException($violations);
        }
    }
 }
@@ -1,527 +0,0 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Commercial\Application\Service\SupplierFieldNormalizer;
 use App\Module\Commercial\Application\Validator\SupplierInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
 use App\Shared\Domain\Security\BusinessRoles;
 use DateTimeImmutable;
 use Doctrine\DBAL\Exception\UniqueConstraintViolationException;
 use Doctrine\ORM\EntityManagerInterface;
 use Doctrine\ORM\PersistentCollection;
 use JsonException;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpFoundation\RequestStack;
 use Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\UnprocessableEntityHttpException;
 /**
 * Processor d'ecriture du repertoire fournisseurs (M2). Cf. spec-back M2 § 4.3 /
 * § 4.4 + RG-2.11 / RG-2.12 / RG-2.14 / RG-2.15 / RG-2.16. Jumeau du
 * ClientProcessor (M1), recentre sur le perimetre ERP-87.
 *
 * Sequence (POST / PATCH) :
 *  1. Autorisation additionnelle par groupe d'onglet (mode strict RG-2.16). La
 *     security d'operation du PATCH est elargie a `manage` OU `accounting.manage`
 *     pour laisser entrer le role Compta ; ce processor re-gate alors finement :
 *     - champ comptable modifie dans le payload -> exige accounting.manage (403) ;
 *     - champ main/information modifie -> exige manage (guardManage, 403) :
 *       empeche Compta d'editer un autre onglet que la Comptabilite (§ 2.9) ;
 *     - champ isArchived dans le payload -> exige archive (RG-2.14, 403) et
 *       interdit toute autre modification dans la meme requete (RG-2.14, 422).
 *  2. Normalisation serveur (RG-2.12) via SupplierFieldNormalizer.
 *  3. Pose / retrait de archivedAt (RG-2.14 true=now, RG-2.15 false=null).
 *  4. Persistance via le persist_processor Doctrine, avec traduction des
 *     collisions d'unicite en 409 (RG-2.11 doublon de nom ; RG-2.15 conflit de
 *     restauration).
 *
 * Validators metier (ERP-89). Decision figee : ce processor ne porte QUE
 * RG-2.03 (completude Information exigee pour le role Commerciale — detection du
 * role cote back, non exprimable en contrainte d'entite). Les RG inter-champs
 * RG-2.07 (Virement -> banque), RG-2.08 (LCR -> >= 1 RIB) et RG-2.10 (categorie
 * de type FOURNISSEUR) sont portees par des Assert\Callback + ->atPath() sur
 * l'entite Supplier (jouees par API Platform AVANT ce processor), pour que
 * chaque 422 porte un propertyPath consommable par extractApiViolations
 * (mapping inline, pas un toast — convention ERP-101).
 *
 * Note : la validation Symfony (Assert\NotBlank, Assert\Count sur categories,
 * les Callback RG-2.07/2.08/2.10...) est jouee par API Platform AVANT ce
 * processor ; on n'y traite donc que les regles non exprimables en simples
 * contraintes d'entite (RG-2.03, qui depend du role de l'utilisateur courant).
 *
 * @implements ProcessorInterface<Supplier, Supplier>
 */
 final class SupplierProcessor implements ProcessorInterface
 {
    /** Champs de l'onglet principal (groupe supplier:write:main). */
    private const array MAIN_FIELDS = [
        'companyName', 'categories',
    ];
    /** Champs de l'onglet Information (groupe supplier:write:information). */
    private const array INFORMATION_FIELDS = [
        'description', 'competitors', 'foundedAt', 'employeesCount',
        'revenueAmount', 'directorName', 'profitAmount', 'volumeForecast',
    ];
    /** Champs de l'onglet Comptabilite (groupe supplier:write:accounting). */
    private const array ACCOUNTING_FIELDS = [
        'siren', 'accountNumber', 'tvaMode', 'nTva', 'paymentDelay',
        'paymentType', 'bank',
    ];
    /** Champ d'archivage (groupe supplier:write:archive). */
    private const string ARCHIVE_FIELD = 'isArchived';
    private const string PERM_MANAGE            = 'commercial.suppliers.manage';
    private const string PERM_ACCOUNTING_MANAGE = 'commercial.suppliers.accounting.manage';
    private const string PERM_ARCHIVE           = 'commercial.suppliers.archive';
    /**
     * Memoisation du dernier corps de requete decode, clos par le contenu brut.
     * payloadKeys() est appele plusieurs fois par requete (writablePayloadKeys,
     * categoriesChanged...) : on evite de rejouer json_decode a chaque appel. La
     * cle etant le contenu lui-meme et le calcul une fonction pure de ce contenu,
     * aucune fuite n'est possible entre requetes sur ce service partage (un meme
     * corps redonne les memes cles).
     */
    private ?string $decodedContent = null;
    /** @var list<string> Cles de premier niveau correspondant au corps memoise. */
    private array $decodedPayloadKeys = [];
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        private readonly SupplierFieldNormalizer $normalizer,
        private readonly SupplierInformationCompletenessValidator $informationValidator,
        private readonly Security $security,
        private readonly RequestStack $requestStack,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof Supplier) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        $writableKeys = $this->writablePayloadKeys();
        $isArchiveRequest = $this->guardArchive($data, $writableKeys);
        $this->guardAccounting($data);
        $this->normalize($data);
        // guardManage apres normalize : la comparaison « change vs etat
        // persiste » des champs texte (companyName...) se fait sur des valeurs
        // normalisees des deux cotes (l'etat persiste l'a deja ete).
        $this->guardManage($data);
        $this->validateInformationCompleteness($data);
        try {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        } catch (UniqueConstraintViolationException $e) {
            // Le seul index unique partiel est uq_supplier_company_name_active
            // (LOWER(company_name) parmi non-archives/non-deletes — § 2.6).
            if ($isArchiveRequest && false === $data->isArchived()) {
                // RG-2.15 : restauration en conflit avec un homonyme actif.
                throw new ConflictHttpException(
                    'Restauration impossible : un autre fournisseur a pris le nom entre-temps.',
                    $e,
                );
            }
            // RG-2.11 : doublon de nom de societe.
            throw new ConflictHttpException(
                sprintf('Un fournisseur nommé "%s" existe déjà.', (string) $data->getCompanyName()),
                $e,
            );
        }
    }
    /**
     * RG-2.14 / RG-2.15 : si le payload bascule reellement isArchived, exige la
     * permission archive (403), interdit toute autre modification (422) et
     * pose/retire archivedAt. Retourne true si la requete est une requete
     * d'archivage.
     *
     * Le gating est restreint a la mise a jour d'un fournisseur existant ET au
     * seul cas ou isArchived change vraiment : un POST (entite non encore geree
     * par l'ORM) ou un PATCH « representation complete » renvoyant isArchived
     * inchange ne doit declencher ni 403 ni 422 parasite.
     *
     * @param list<string> $writableKeys cles ecrivables du payload (hors @* et champs inconnus)
     */
    private function guardArchive(Supplier $data, array $writableKeys): bool
    {
        // POST / entite non geree : l'archivage est une action de mise a jour.
        if (!$this->em->contains($data)) {
            return false;
        }
        // isArchived inchange par rapport a l'etat persiste : pas une requete
        // d'archivage (cas du PATCH representation complete).
        if (!$this->fieldChanged($data, 'isArchived', $data->isArchived())) {
            return false;
        }
        if (!$this->security->isGranted(self::PERM_ARCHIVE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                self::ARCHIVE_FIELD,
                self::PERM_ARCHIVE,
            ));
        }
        // RG-2.14 : une requete d'archivage ne modifie aucun autre champ ecrivable.
        if ([] !== array_diff($writableKeys, [self::ARCHIVE_FIELD])) {
            throw new UnprocessableEntityHttpException(
                'Une requête d\'archivage ne peut modifier aucun autre champ que "isArchived".',
            );
        }
        // RG-2.14 (true -> now) / RG-2.15 (false -> null).
        $data->setArchivedAt($data->isArchived() ? new DateTimeImmutable() : null);
        return true;
    }
    /**
     * RG-2.16 : la modification effective d'un champ comptable exige
     * accounting.manage, sinon 403 sur l'ensemble du payload (mode strict, pas
     * de filtrage silencieux). On ne gate que si un champ change reellement par
     * rapport a l'etat persiste : un POST/PATCH renvoyant des champs comptables
     * inchanges (ou null en creation) ne declenche pas de 403 parasite. Le
     * message precise le premier champ fautif.
     */
    private function guardAccounting(Supplier $data): void
    {
        $changed = $this->changedAccountingFields($data);
        if ([] === $changed) {
            return;
        }
        if (!$this->security->isGranted(self::PERM_ACCOUNTING_MANAGE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                $changed[0],
                self::PERM_ACCOUNTING_MANAGE,
            ));
        }
    }
    /**
     * § 2.9 / RG-2.16 : la modification effective d'un champ « metier » (onglets
     * principal ou Information) exige `commercial.suppliers.manage`. Sans cette
     * permission -> 403 sur l'ensemble du payload (mode strict, miroir de
     * guardAccounting). C'est ce qui empeche le role Compta — qui entre dans le
     * PATCH via `accounting.manage` (security d'operation elargie) — d'editer
     * autre chose que l'onglet Comptabilite.
     *
     * Ne s'applique qu'aux mises a jour (entite geree) : la creation (POST) est
     * deja gardee par la security d'operation `manage`, donc inutile de la
     * re-gater ici (et un POST par un porteur de `manage` passerait de toute
     * facon).
     */
    private function guardManage(Supplier $data): void
    {
        if (!$this->em->contains($data)) {
            return;
        }
        $changed = $this->changedBusinessFields($data);
        if ([] === $changed) {
            return;
        }
        if (!$this->security->isGranted(self::PERM_MANAGE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                $changed[0],
                self::PERM_MANAGE,
            ));
        }
    }
    /**
     * RG-2.03 : si l'utilisateur porte le role metier Commerciale, TOUS les
     * champs de l'onglet Information sont obligatoires sur POST comme sur TOUT
     * PATCH — independamment des champs reellement envoyes. Garantit qu'un
     * fournisseur cree/edite par une Commerciale ne reste jamais avec un onglet
     * Information incomplet. Pour les autres roles, ces champs restent optionnels.
     *
     * Consequence (cf. spec § 7, miroir RG-1.04) : le POST n'exposant que
     * supplier:write:main, une Commerciale obtient 422 sur tout POST tant que
     * l'Information n'est pas complete -> la completude se fait via les PATCH
     * supplier:write:information.
     */
    private function validateInformationCompleteness(Supplier $data): void
    {
        if ($this->currentUserIsCommerciale()) {
            $this->informationValidator->validate($data);
        }
    }
    /**
     * Detection du role metier Commerciale cote back (jamais front), via le
     * contrat BusinessRoleAwareInterface (pas d'import de User — regle ABSOLUE
     * n°1). Identique au ClientProcessor (M1).
     */
    private function currentUserIsCommerciale(): bool
    {
        $user = $this->security->getUser();
        return $user instanceof BusinessRoleAwareInterface
            && $user->hasBusinessRole(BusinessRoles::COMMERCIALE);
    }
    /**
     * Champs « metier » (onglets principal + Information, hors comptabilite et
     * archivage) dont la valeur courante differe de l'etat persiste. Memes
     * regles de comparaison que changedAccountingFields (scalaires par valeur).
     *
     * Cas particulier `categories` (M2M) : non trace par getOriginalEntityData,
     * compare par valeur via le snapshot de la PersistentCollection (cf.
     * categoriesChanged) — la simple presence dans le payload ne suffit pas, sous
     * peine de 403 parasite sur un PATCH representation complete reincluant des
     * categories inchangees.
     *
     * @return list<string>
     */
    private function changedBusinessFields(Supplier $data): array
    {
        $newValues = [
            'companyName'    => $data->getCompanyName(),
            'description'    => $data->getDescription(),
            'competitors'    => $data->getCompetitors(),
            'foundedAt'      => $data->getFoundedAt(),
            'employeesCount' => $data->getEmployeesCount(),
            'revenueAmount'  => $data->getRevenueAmount(),
            'directorName'   => $data->getDirectorName(),
            'profitAmount'   => $data->getProfitAmount(),
            'volumeForecast' => $data->getVolumeForecast(),
        ];
        $changed = [];
        foreach ($newValues as $field => $newValue) {
            if ($this->fieldChanged($data, $field, $newValue)) {
                $changed[] = $field;
            }
        }
        if ($this->categoriesChanged($data)) {
            $changed[] = 'categories';
        }
        return $changed;
    }
    /**
     * Vrai si l'ensemble des categories (M2M) differe reellement de l'etat
     * persiste. La collection n'etant pas tracee par getOriginalEntityData, on
     * compare par identifiants (independamment de l'ordre) le snapshot de la
     * PersistentCollection (etat charge depuis la base) a l'etat courant (apres
     * application du payload). Symetrique de changedAccountingFields : seul un
     * changement effectif compte, pas la simple presence dans le payload.
     *
     * - POST / entite non geree : fournir des categories est un acte metier
     *   (branche defensive, guardManage ne s'execute de toute facon que sur
     *   entite geree).
     * - categories absent du payload (PATCH partiel) : aucun changement.
     */
    private function categoriesChanged(Supplier $data): bool
    {
        if (!$this->em->contains($data)) {
            return true;
        }
        if (!in_array('categories', $this->payloadKeys(), true)) {
            return false;
        }
        $collection = $data->getCategories();
        // Hors PersistentCollection (cas limite hors flux PATCH reel) : faute
        // d'etat persiste comparable, on se rabat sur la presence payload.
        if (!$collection instanceof PersistentCollection) {
            return true;
        }
        return $this->categoryIdSet($collection->toArray())
            !== $this->categoryIdSet($collection->getSnapshot());
    }
    /**
     * Ensemble trie des identifiants d'une liste de categories — pour une
     * comparaison par valeur independante de l'ordre.
     *
     * @param array<int, object> $categories
     *
     * @return list<mixed>
     */
    private function categoryIdSet(array $categories): array
    {
        $ids = array_map(
            static fn (object $category): mixed => method_exists($category, 'getId')
                ? $category->getId()
                : spl_object_id($category),
            array_values($categories),
        );
        sort($ids);
        return $ids;
    }
    /**
     * Champs comptables dont la valeur courante differe de l'etat persiste. Les
     * relations (tvaMode, paymentDelay, paymentType, bank) sont comparees par
     * identite d'objet : l'identity map Doctrine renvoie la meme instance tant
     * que la reference est inchangee.
     *
     * @return list<string>
     */
    private function changedAccountingFields(Supplier $data): array
    {
        $changed = [];
        foreach (self::ACCOUNTING_FIELDS as $field) {
            $newValue = match ($field) {
                'siren'         => $data->getSiren(),
                'accountNumber' => $data->getAccountNumber(),
                'tvaMode'       => $data->getTvaMode(),
                'nTva'          => $data->getNTva(),
                'paymentDelay'  => $data->getPaymentDelay(),
                'paymentType'   => $data->getPaymentType(),
                'bank'          => $data->getBank(),
            };
            if ($this->fieldChanged($data, $field, $newValue)) {
                $changed[] = $field;
            }
        }
        return $changed;
    }
    /**
     * Vrai si la valeur courante d'un champ differe de l'etat persiste. Pour une
     * entite non geree (creation/POST), l'etat persiste est vide : toute valeur
     * non-null est alors un changement.
     */
    private function fieldChanged(Supplier $data, string $field, mixed $newValue): bool
    {
        $original = $this->originalData($data);
        return $newValue !== ($original[$field] ?? null);
    }
    /**
     * Snapshot des valeurs persistees de l'entite (telles que chargees, avant
     * application du payload). Vide pour une entite non geree (POST).
     *
     * @return array<string, mixed>
     */
    private function originalData(Supplier $data): array
    {
        if (!$this->em->contains($data)) {
            return [];
        }
        return $this->em->getUnitOfWork()->getOriginalEntityData($data);
    }
    /**
     * Normalisation serveur du formulaire principal (RG-2.12). Seul companyName
     * subsiste cote Supplier (le contact inline a ete retire en V1 — les champs
     * de contact sont normalises par SupplierContactProcessor, ERP-88). Le setter
     * non-nullable n'est touche que si une valeur est presente, pour ne jamais
     * ecraser l'existant lors d'un PATCH partiel.
     */
    private function normalize(Supplier $data): void
    {
        if (null !== $data->getCompanyName()) {
            $data->setCompanyName((string) $this->normalizer->normalizeCompanyName($data->getCompanyName()));
        }
    }
    /**
     * Cles ecrivables effectivement presentes dans le payload : on retire les
     * cles JSON-LD (@id, @context, @var...) et tout champ non rattache a un
     * groupe d'ecriture connu. C'est la base du 422 d'archivage (RG-2.14) —
     * sans elles, un PATCH « representation complete » porteur de @id ferait
     * croire a une modification multi-onglets.
     *
     * @return list<string>
     */
    private function writablePayloadKeys(): array
    {
        $writable = array_merge(
            self::MAIN_FIELDS,
            self::INFORMATION_FIELDS,
            self::ACCOUNTING_FIELDS,
            [self::ARCHIVE_FIELD],
        );
        return array_values(array_intersect($this->payloadKeys(), $writable));
    }
    /**
     * Cles de premier niveau effectivement envoyees par le client (payload JSON
     * brut), filtrage compris. Pour un PATCH merge-patch+json, ce sont les seuls
     * champs modifies.
     *
     * @return list<string>
     */
    private function payloadKeys(): array
    {
        $request = $this->requestStack->getCurrentRequest();
        if (null === $request) {
            return [];
        }
        $content = $request->getContent();
        // Cache hit : meme corps brut que le dernier decodage -> memes cles.
        if ($content === $this->decodedContent) {
            return $this->decodedPayloadKeys;
        }
        $this->decodedContent     = $content;
        $this->decodedPayloadKeys = $this->extractPayloadKeys($content);
        return $this->decodedPayloadKeys;
    }
    /**
     * Decode le corps brut et en extrait les cles de premier niveau (chaines).
     * Corps vide ou JSON invalide -> aucune cle.
     *
     * @return list<string>
     */
    private function extractPayloadKeys(string $content): array
    {
        if ('' === $content) {
            return [];
        }
        try {
            $decoded = json_decode($content, true, 512, JSON_THROW_ON_ERROR);
        } catch (JsonException) {
            return [];
        }
        return is_array($decoded) ? array_values(array_filter(array_keys($decoded), 'is_string')) : [];
    }
 }
--- a/Show More
+++ b/Show More
`@@ -1,2 +1,2 @@`
	`parameters:`	`parameters:`
	`app.version: '0.1.83'`	`app.version: '0.1.72'`