feat(catalog) : M7 — écran Modification d'un stockage /admin/storages/{id}/edit (ERP-218)

- Route /admin/storages/{id}/edit, gate catalog.storages.manage, détail via useStorage (GET /api/storages/{id})
- Formulaire factorisé create/edit dans useStorageForm : prefill + bouton « Enregistrer » → PATCH /api/storages/{id} (RG-7.08)
- Mêmes champs/validations que l'ajout (RG-7.01→7.06), erreurs 422 inline par champ
- 409 doublon (site, type, numéro, exclut le courant côté back) → inline sous Numéro + toast
- Pas d'onglets (HP-M7-06) ; libellés i18n edit.* + toast.updateSuccess
- Tests Vitest useStorageForm mode édition (prefill + PATCH + 409)

config/sidebar.php

@@ -144,6 +144,16 @@ return [
                 'module'     => 'catalog',
                 'permission' => 'catalog.products.view',
             ],
+            // Stockage (M7, ERP-210). Admin-only : gate par `catalog.storages.view`
+            // et son module owner `catalog`. Reutilise le referentiel StorageType
+            // du M6. Place juste sous le Catalogue produits (items Catalog groupes).
+            [
+                'label'      => 'sidebar.catalog.storages',
+                'to'         => '/admin/storages',
+                'icon'       => 'mdi:warehouse',
+                'module'     => 'catalog',
+                'permission' => 'catalog.storages.view',
+            ],
             [
                 'label'      => 'sidebar.core.roles',
                 'to'         => '/admin/roles',
@@ -172,16 +182,6 @@ return [
                 'module'     => 'catalog',
                 'permission' => 'catalog.categories.view',
             ],
-            // Stockage (M7, ERP-210). Admin-only : gate par `catalog.storages.view`
-            // et son module owner `catalog`. Reutilise le referentiel StorageType
-            // du M6. Place pres des autres items Catalog (produits, categories).
-            [
-                'label'      => 'sidebar.catalog.storages',
-                'to'         => '/admin/storages',
-                'icon'       => 'mdi:warehouse',
-                'module'     => 'catalog',
-                'permission' => 'catalog.storages.view',
-            ],
             [
                 'label'      => 'sidebar.core.audit_log',
                 'to'         => '/admin/audit-log',

config/version.yaml

@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.1.158'
+    app.version: '0.1.162'

frontend/i18n/locales/fr.json

@@ -54,7 +54,7 @@
         "catalog": {
             "categories": "Gestion des catégories",
             "products": "Catalogue produits",
-            "storages": "Gestion des stockages"
+            "storages": "Catalogue stockages"
         }
     },
     "dashboard": {
@@ -820,6 +820,7 @@
             "sites_site": "Site",
             "catalog_category": "Catégorie",
             "catalog_product": "Produit",
+            "catalog_storage": "Stockage",
             "commercial_client": "Client",
             "commercial_clientaddress": "Adresse client",
             "commercial_clientcontact": "Contact client",
@@ -1090,6 +1091,55 @@
                 "createSuccess": "Produit créé avec succès",
                 "updateSuccess": "Produit mis à jour avec succès"
             }
+        },
+        "storages": {
+            "title": "Gestion des stockages",
+            "add": "Ajouter",
+            "export": "Exporter",
+            "empty": "Aucun stockage pour l'instant.",
+            "column": {
+                "name": "Nom",
+                "site": "Site"
+            },
+            "state": {
+                "RECEPTION": "Réception",
+                "PRODUCTION": "Production",
+                "TRIAGE": "Triage"
+            },
+            "filters": {
+                "title": "Filtres",
+                "search": "Recherche",
+                "type": "Type de stockage",
+                "typeAll": "Tous les types",
+                "state": "État",
+                "stateAll": "Tous les états",
+                "site": "Sites",
+                "apply": "Voir les résultats",
+                "reset": "Réinitialiser"
+            },
+            "form": {
+                "title": "Ajouter un stockage",
+                "back": "Retour à la liste",
+                "submit": "Valider",
+                "site": "Site",
+                "storageType": "Type de stockage",
+                "numero": "Numéro",
+                "states": "État du type de stockage",
+                "duplicateNumero": "Un stockage avec ce site, ce type et ce numéro existe déjà."
+            },
+            "edit": {
+                "title": "Modifier le stockage",
+                "back": "Retour à la liste",
+                "save": "Enregistrer",
+                "loading": "Chargement du stockage…",
+                "notFound": "Stockage introuvable."
+            },
+            "toast": {
+                "error": "Une erreur est survenue. Réessayez.",
+                "exportError": "L'export du répertoire stockage a échoué. Réessayez.",
+                "createSuccess": "Stockage créé avec succès",
+                "updateSuccess": "Stockage mis à jour avec succès"
+            }
         }
     }
 }

frontend/modules/catalog/composables/__tests__/useStorageForm.spec.ts

@@ -0,0 +1,249 @@
+import { describe, it, expect, vi, beforeEach } from 'vitest'
+import { useFormErrors } from '~/shared/composables/useFormErrors'
+import { useStorageForm } from '../useStorageForm'
+
+// Stubs des auto-imports Nuxt consommes par le composable + ses dependances.
+const mockGet = vi.hoisted(() => vi.fn())
+const mockPost = vi.hoisted(() => vi.fn())
+const mockPatch = vi.hoisted(() => vi.fn())
+const mockToastSuccess = vi.hoisted(() => vi.fn())
+const mockToastError = vi.hoisted(() => vi.fn())
+
+vi.stubGlobal('useApi', () => ({
+    get: mockGet,
+    post: mockPost,
+    put: vi.fn(),
+    patch: mockPatch,
+    delete: vi.fn(),
+}))
+vi.stubGlobal('useToast', () => ({
+    success: mockToastSuccess,
+    error: mockToastError,
+}))
+// useFormErrors est un auto-import Nuxt : on expose l'implementation reelle
+// (elle consomme useToast/useI18n deja stubbes) pour tester l'integration 422/409.
+vi.stubGlobal('useFormErrors', useFormErrors)
+vi.stubGlobal('useI18n', () => ({
+    t: (key: string, params?: Record<string, unknown>) =>
+        params ? `${key}::${JSON.stringify(params)}` : key,
+}))
+
+/** Referentiel PLAT des types de stockage (renvoye tel quel, sans filtre site). */
+const STORAGE_TYPES = {
+    member: [
+        { '@id': '/api/storage_types/9', label: 'Cellule' },
+        { '@id': '/api/storage_types/5', label: 'Tas' },
+    ],
+}
+
+describe('useStorageForm', () => {
+    beforeEach(() => {
+        mockGet.mockReset()
+        mockPost.mockReset()
+        mockPatch.mockReset()
+        mockToastSuccess.mockReset()
+        mockToastError.mockReset()
+
+        // Routage des GET par url (referentiels). Le type de stockage est un
+        // referentiel plat : meme reponse quelle que soit la requete.
+        mockGet.mockImplementation((url: string) => {
+            if (url === '/sites') {
+                return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault' }] })
+            }
+            if (url === '/storage_types') {
+                return Promise.resolve(STORAGE_TYPES)
+            }
+            return Promise.resolve({ member: [] })
+        })
+    })
+
+    describe('referentiel plat — pas de cascade Site->Type (RG-7.03 non portee back)', () => {
+        it('loadReferentials charge les sites et TOUS les types, sans filtre site', async () => {
+            const { siteOptions, storageTypeOptions, loadReferentials } = useStorageForm()
+            await loadReferentials()
+
+            const storageCall = mockGet.mock.calls.find(c => c[0] === '/storage_types')
+            expect(storageCall).toBeDefined()
+            // Aucun filtre siteId envoye (referentiel plat).
+            expect(storageCall?.[1]).not.toHaveProperty('siteId[]')
+
+            expect(siteOptions.value.map(o => o.value)).toEqual(['/api/sites/1'])
+            expect(storageTypeOptions.value.map(o => o.value)).toEqual([
+                '/api/storage_types/9',
+                '/api/storage_types/5',
+            ])
+        })
+
+        it('changer de site ne recharge pas les types ni ne purge la selection', async () => {
+            const { form, setSite, setStorageType, loadReferentials } = useStorageForm()
+            await loadReferentials()
+            const callsBefore = mockGet.mock.calls.filter(c => c[0] === '/storage_types').length
+
+            setStorageType('/api/storage_types/9')
+            setSite('/api/sites/1')
+
+            expect(form.siteIri).toBe('/api/sites/1')
+            // Selection conservee : pas de cascade ni de purge par site.
+            expect(form.storageTypeIri).toBe('/api/storage_types/9')
+            const callsAfter = mockGet.mock.calls.filter(c => c[0] === '/storage_types').length
+            expect(callsAfter).toBe(callsBefore)
+        })
+    })
+
+    describe('submit — POST /storages', () => {
+        function fillValidForm(form: ReturnType<typeof useStorageForm>['form']): void {
+            form.siteIri = '/api/sites/1'
+            form.storageTypeIri = '/api/storage_types/9'
+            form.numero = '12'
+            form.states = ['RECEPTION', 'PRODUCTION']
+        }
+
+        it('poste le payload (relations en IRI) et retourne true au succes', async () => {
+            mockPost.mockResolvedValueOnce({ id: 42 })
+            const { form, submit } = useStorageForm()
+            fillValidForm(form)
+
+            const ok = await submit()
+
+            expect(ok).toBe(true)
+            expect(mockPost).toHaveBeenCalledWith(
+                '/storages',
+                {
+                    numero: '12',
+                    states: ['RECEPTION', 'PRODUCTION'],
+                    site: '/api/sites/1',
+                    storageType: '/api/storage_types/9',
+                },
+                expect.objectContaining({ toast: false }),
+            )
+            expect(mockToastSuccess).toHaveBeenCalled()
+        })
+
+        it('omet `site` / `storageType` du payload quand la relation n\'est pas choisie', async () => {
+            // Envoyer null casserait la denormalisation back (IRI attendu) et
+            // court-circuiterait les autres violations -> on omet la cle.
+            mockPost.mockResolvedValueOnce({ id: 43 })
+            const { form, submit } = useStorageForm()
+            fillValidForm(form)
+            form.siteIri = null
+            form.storageTypeIri = null
+
+            await submit()
+
+            const payload = mockPost.mock.calls[0][1]
+            expect(payload).not.toHaveProperty('site')
+            expect(payload).not.toHaveProperty('storageType')
+            // numero envoye en chaine vide si non saisi (NotBlank cote back).
+            expect(payload).toHaveProperty('numero')
+        })
+
+        it('mappe un 409 doublon (site, type, numero) sur errors.numero + toast explicite', async () => {
+            mockPost.mockRejectedValueOnce({ response: { status: 409, _data: {} } })
+            const { form, errors, submit } = useStorageForm()
+            fillValidForm(form)
+
+            const ok = await submit()
+
+            expect(ok).toBe(false)
+            expect(errors.numero).toBe('admin.storages.form.duplicateNumero')
+            expect(mockToastError).toHaveBeenCalled()
+        })
+
+        it('mappe une 422 inline par champ (errors.numero) sans toast', async () => {
+            mockPost.mockRejectedValueOnce({
+                response: {
+                    status: 422,
+                    _data: { violations: [{ propertyPath: 'numero', message: 'Le numéro du stockage est obligatoire.' }] },
+                },
+            })
+            const { form, errors, submit } = useStorageForm()
+            fillValidForm(form)
+            form.numero = null
+
+            const ok = await submit()
+
+            expect(ok).toBe(false)
+            expect(errors.numero).toBe('Le numéro du stockage est obligatoire.')
+            expect(mockToastError).not.toHaveBeenCalled()
+        })
+
+        it('mappe une 422 sur site / storageType / states (NotNull / Count)', async () => {
+            mockPost.mockRejectedValueOnce({
+                response: {
+                    status: 422,
+                    _data: { violations: [
+                        { propertyPath: 'site', message: 'Le site est obligatoire.' },
+                        { propertyPath: 'storageType', message: 'Le type de stockage est obligatoire.' },
+                        { propertyPath: 'states', message: 'Sélectionnez au moins un état.' },
+                    ] },
+                },
+            })
+            const { form, errors, submit } = useStorageForm()
+            fillValidForm(form)
+
+            await submit()
+
+            expect(errors.site).toBe('Le site est obligatoire.')
+            expect(errors.storageType).toBe('Le type de stockage est obligatoire.')
+            expect(errors.states).toBe('Sélectionnez au moins un état.')
+        })
+    })
+
+    describe('RG-7.08 — mode edition (prefill + PATCH)', () => {
+        // Stockage charge (memes cles que la reponse reelle § 4.0.bis : @id sur les relations).
+        const STORAGE = {
+            id: 42,
+            numero: '12',
+            states: ['RECEPTION', 'PRODUCTION'],
+            displayName: 'Cellule 12',
+            site: { '@id': '/api/sites/1', id: 1, name: 'Chatellerault', code: '86' },
+            storageType: { '@id': '/api/storage_types/9', id: 9, code: 'CELLULE', label: 'Cellule' },
+            createdAt: '', updatedAt: '',
+        }
+
+        it('pre-remplit le formulaire depuis le stockage (relations en IRI)', () => {
+            const { form, storageId, prefill } = useStorageForm()
+            prefill(STORAGE)
+
+            expect(storageId.value).toBe(42)
+            expect(form.siteIri).toBe('/api/sites/1')
+            expect(form.storageTypeIri).toBe('/api/storage_types/9')
+            expect(form.numero).toBe('12')
+            expect(form.states).toEqual(['RECEPTION', 'PRODUCTION'])
+        })
+
+        it('soumet un PATCH /storages/{id} apres prefill (RG-7.08)', async () => {
+            mockPatch.mockResolvedValueOnce({ ...STORAGE })
+            const { prefill, submit } = useStorageForm()
+            prefill(STORAGE)
+
+            const ok = await submit()
+
+            expect(ok).toBe(true)
+            expect(mockPost).not.toHaveBeenCalled()
+            expect(mockPatch).toHaveBeenCalledWith(
+                '/storages/42',
+                {
+                    numero: '12',
+                    states: ['RECEPTION', 'PRODUCTION'],
+                    site: '/api/sites/1',
+                    storageType: '/api/storage_types/9',
+                },
+                expect.objectContaining({ toast: false }),
+            )
+            expect(mockToastSuccess).toHaveBeenCalled()
+        })
+
+        it('mappe un 409 doublon sur errors.numero aussi en edition (exclut le courant cote back)', async () => {
+            mockPatch.mockRejectedValueOnce({ response: { status: 409, _data: {} } })
+            const { errors, prefill, submit } = useStorageForm()
+            prefill(STORAGE)
+
+            const ok = await submit()
+
+            expect(ok).toBe(false)
+            expect(errors.numero).toBe('admin.storages.form.duplicateNumero')
+            expect(mockToastError).toHaveBeenCalled()
+        })
+    })
+})

frontend/modules/catalog/composables/useStorage.ts

@@ -0,0 +1,41 @@
+import { ref } from 'vue'
+import type { Storage } from '~/modules/catalog/types/storage'
+
+/**
+ * Chargement d'un stockage unique (ecran « Modification stockage », M7 — ERP-218).
+ * Lit le detail via `GET /api/storages/{id}` — meme structure que la ligne de liste
+ * (site / storageType embarques + displayName, § 4.0.bis).
+ *
+ * L'en-tete `Accept: application/ld+json` est impose pour obtenir le payload Hydra
+ * complet (IRI `@id` des relations, necessaires au pre-remplissage des selects).
+ * Etat 100 % local a l'instance (refs) — aucune persistance URL.
+ */
+export function useStorage(id: number | string) {
+    const api = useApi()
+
+    const storage = ref<Storage | null>(null)
+    const loading = ref(false)
+    const error = ref(false)
+
+    /** Charge le detail du stockage. En cas d'echec : `error = true`, `storage = null`. */
+    async function load(): Promise<void> {
+        loading.value = true
+        error.value = false
+        try {
+            storage.value = await api.get<Storage>(
+                `/storages/${id}`,
+                {},
+                { headers: { Accept: 'application/ld+json' }, toast: false },
+            )
+        }
+        catch {
+            error.value = true
+            storage.value = null
+        }
+        finally {
+            loading.value = false
+        }
+    }
+
+    return { storage, loading, error, load }
+}

frontend/modules/catalog/composables/useStorageForm.ts

@@ -0,0 +1,172 @@
+/**
+ * Composable du formulaire de creation d'un stockage (M7 — ERP-217).
+ *
+ * Porte l'etat du formulaire principal (a plat, PAS d'onglets — HP-M7-06), les
+ * referentiels des selects et la soumission `POST /api/storages` avec mapping des
+ * erreurs 422/409 inline (useFormErrors, ERP-101). Reference : ecran « Ajouter un
+ * produit » (M6) / ecran Client.
+ *
+ * Referentiel des types de stockage : PLAT (RG-6.06 / decision back). Le concept
+ * type<->site a ete retire en M6 (jointure storage_type_site droppee, migration
+ * Version20260626100000) et `StorageType` n'a plus de relation Site ; le provider
+ * ignore tout filtre `?siteId[]`. La cascade Site->Type de RG-7.03 n'est donc PAS
+ * portee (decision produit du 30/06 : referentiel plat, fidele au back ; RG-7.03 a
+ * reclarifier cote spec). On charge donc TOUS les types une fois, Site et Type
+ * independants.
+ *
+ * Etat 100 % local a l'instance.
+ */
+import { reactive, ref } from 'vue'
+import {
+    useSiteOptions,
+    useStorageTypeOptions,
+} from '~/modules/catalog/composables/useProductOptions'
+import type { Storage } from '~/modules/catalog/types/storage'
+
+/** Etats d'un stockage (miroir de l'enum back Storage::STATE_*, RG-7.04). */
+export const STORAGE_STATES = ['RECEPTION', 'PRODUCTION', 'TRIAGE'] as const
+
+export function useStorageForm() {
+    const api = useApi()
+    const { t } = useI18n()
+    const toast = useToast()
+    const formErrors = useFormErrors()
+
+    const sites = useSiteOptions()
+    const storageTypes = useStorageTypeOptions()
+
+    // ── Etat du formulaire ───────────────────────────────────────────────────
+    // Les relations (site, storageType) sont stockees en IRI (envoyees telles
+    // quelles au POST) ; `states` porte les codes enum.
+    const form = reactive({
+        siteIri: null as string | null,
+        storageTypeIri: null as string | null,
+        numero: null as string | null,
+        states: [] as string[],
+    })
+
+    const submitting = ref(false)
+
+    // Id du stockage edite (null = creation). Pilote l'URL/methode du submit
+    // (RG-7.08 : « Modification » = meme formulaire/regles que « Ajouter »,
+    // bouton « Enregistrer » → PATCH).
+    const storageId = ref<number | null>(null)
+
+    /** Met a jour le site (select simple, RG-7.02). */
+    function setSite(iri: string | null): void {
+        form.siteIri = iri
+    }
+
+    /** Met a jour le type de stockage (select simple, referentiel plat). */
+    function setStorageType(iri: string | null): void {
+        form.storageTypeIri = iri
+    }
+
+    /** Met a jour les etats (multi-select, >= 1, RG-7.04). */
+    function setStates(states: string[]): void {
+        form.states = states
+    }
+
+    /**
+     * Charge les referentiels (sites + TOUS les types de stockage). Resilient :
+     * un referentiel en echec reste vide sans casser l'autre. Pas de cascade par
+     * site (referentiel plat, cf. docblock).
+     */
+    async function loadReferentials(): Promise<void> {
+        await Promise.allSettled([sites.load(), storageTypes.load()])
+    }
+
+    /**
+     * Pre-remplit le formulaire depuis un stockage charge (mode edition, RG-7.08).
+     * Les relations sont reprises via leur IRI `@id` (= valeur d'option des selects).
+     * Le referentiel de types est plat (charge par loadReferentials) : prefill se
+     * contente de mapper la selection courante (pas de cascade par site).
+     */
+    function prefill(storage: Storage): void {
+        storageId.value = storage.id
+        form.siteIri = storage.site?.['@id'] ?? null
+        form.storageTypeIri = storage.storageType?.['@id'] ?? null
+        form.numero = storage.numero
+        form.states = [...storage.states]
+    }
+
+    /**
+     * Soumet le formulaire. Retourne true au succes (la page redirige), false sinon.
+     * Creation → `POST /storages` ; edition (storageId non nul, RG-7.08) →
+     * `PATCH /storages/{id}` (mode merge-patch gere par useApi). 422 → mapping inline
+     * par champ (useFormErrors, `{ toast: false }`) ; 409 doublon du triplet (site,
+     * type, numero, RG-7.01 — le back exclut le stockage courant en PATCH) → erreur
+     * inline sur `numero` (propertyPath exploitable cote back) + toast explicite.
+     */
+    async function submit(): Promise<boolean> {
+        if (submitting.value) {
+            return false
+        }
+        submitting.value = true
+        formErrors.clearErrors()
+        const editing = storageId.value !== null
+        try {
+            const payload: Record<string, unknown> = {
+                // Chaine vide (jamais null) : le setter back setNumero attend un
+                // `string` non-nullable -> envoyer null leverait une erreur de type
+                // (denormalisation) qui court-circuiterait les autres violations.
+                // Avec '', la contrainte NotBlank renvoie un message propre par champ.
+                numero: form.numero ?? '',
+                states: form.states,
+            }
+            // `site` / `storageType` attendent un IRI (string) : envoyer null
+            // declencherait une erreur de denormalisation API Platform qui
+            // court-circuiterait TOUTES les autres violations. On omet la cle quand
+            // la relation n'est pas choisie -> la contrainte NotNull renvoie un
+            // message propre, et les autres champs sont valides dans la meme 422.
+            if (form.siteIri) {
+                payload.site = form.siteIri
+            }
+            if (form.storageTypeIri) {
+                payload.storageType = form.storageTypeIri
+            }
+
+            const options = { headers: { Accept: 'application/ld+json' }, toast: false }
+            if (editing) {
+                await api.patch(`/storages/${storageId.value}`, payload, options)
+                toast.success({ title: t('admin.storages.toast.updateSuccess') })
+            }
+            else {
+                await api.post('/storages', payload, options)
+                toast.success({ title: t('admin.storages.toast.createSuccess') })
+            }
+            return true
+        }
+        catch (error) {
+            const status = (error as { response?: { status?: number } })?.response?.status
+            if (status === 409) {
+                // Doublon (site, type, numero) RG-7.01 : inline sur `numero` + toast.
+                const message = t('admin.storages.form.duplicateNumero')
+                formErrors.setError('numero', message)
+                toast.error({ title: t('admin.storages.toast.error'), message })
+            }
+            else {
+                formErrors.handleApiError(error, { fallbackMessage: t('admin.storages.toast.error') })
+            }
+            return false
+        }
+        finally {
+            submitting.value = false
+        }
+    }
+
+    return {
+        form,
+        storageId,
+        errors: formErrors.errors,
+        submitting,
+        siteOptions: sites.options,
+        storageTypeOptions: storageTypes.options,
+        setSite,
+        setStorageType,
+        setStates,
+        loadReferentials,
+        prefill,
+        submit,
+    }
+}

frontend/modules/catalog/pages/__tests__/storagesIndex.spec.ts

@@ -0,0 +1,270 @@
+import { describe, it, expect, vi, beforeEach } from 'vitest'
+import { mount, flushPromises } from '@vue/test-utils'
+import { defineComponent, h, ref } from 'vue'
+
+// ── Auto-imports Nuxt stubbes globalement ───────────────────────────────────
+// La page ne les importe pas (auto-import) : on les expose en globals pour le
+// runtime de test (happy-dom). Meme philosophie que la spec Catalogue produit.
+const mockPush = vi.hoisted(() => vi.fn())
+const mockApiGet = vi.hoisted(() => vi.fn())
+const mockCan = vi.hoisted(() => vi.fn())
+const mockSetFilters = vi.hoisted(() => vi.fn())
+const mockFetch = vi.hoisted(() => vi.fn())
+const mockToastError = vi.hoisted(() => vi.fn())
+
+vi.stubGlobal('useI18n', () => ({ t: (key: string) => key }))
+vi.stubGlobal('useHead', () => undefined)
+vi.stubGlobal('useApi', () => ({ get: mockApiGet }))
+vi.stubGlobal('useRouter', () => ({ push: mockPush }))
+vi.stubGlobal('useToast', () => ({ error: mockToastError, success: vi.fn() }))
+vi.stubGlobal('usePermissions', () => ({ can: mockCan }))
+// usePaginatedList est l'auto-import pilotant la liste : on controle items +
+// setFilters + fetch. La ligne reproduit le contrat JSON reel (§ 4.0.bis) :
+// site et storageType embarques, displayName virtuel (RG-7.05).
+vi.stubGlobal('usePaginatedList', () => ({
+    items: ref<Array<Record<string, unknown>>>([
+        {
+            id: 42,
+            numero: '12',
+            states: ['RECEPTION', 'PRODUCTION'],
+            displayName: 'Cellule 12',
+            site: { '@id': '/api/sites/1', id: 1, name: 'Chatellerault', code: '86' },
+            storageType: { '@id': '/api/storage_types/9', id: 9, code: 'CELLULE', label: 'Cellule' },
+        },
+    ]),
+    totalItems: ref(1),
+    currentPage: ref(1),
+    itemsPerPage: ref(10),
+    itemsPerPageOptions: ref([10, 25, 50]),
+    fetch: mockFetch,
+    goToPage: vi.fn(),
+    setItemsPerPage: vi.fn(),
+    setFilters: mockSetFilters,
+}))
+
+// happy-dom n'implemente pas createObjectURL : on ajoute les methodes statiques
+// sur la classe URL existante (sans la remplacer — sinon `new URL()` casse).
+globalThis.URL.createObjectURL = vi.fn(() => 'blob:fake')
+globalThis.URL.revokeObjectURL = vi.fn()
+
+// Import APRES les stubs (la page resout les auto-imports au top-level du module).
+const StoragesIndex = (await import('../admin/storages/index.vue')).default
+
+// ── Stubs de composants ──────────────────────────────────────────────────────
+const ButtonStub = defineComponent({
+    props: { label: { type: String, default: '' }, disabled: { type: Boolean, default: false } },
+    emits: ['click'],
+    setup(props, { emit }) {
+        return () => h('button', { 'data-label': props.label, onClick: () => emit('click') }, props.label)
+    },
+})
+
+const DataTableStub = defineComponent({
+    props: { items: { type: Array, default: () => [] } },
+    emits: ['row-click', 'update:page', 'update:per-page'],
+    setup(props, { emit }) {
+        return () => h('div', { 'data-testid': 'datatable' },
+            (props.items as Array<Record<string, unknown>>).map(it =>
+                h('tr', {
+                    'data-row-id': it.id,
+                    'data-name': it.displayName,
+                    'data-site': it.siteLabel,
+                    'onClick': () => emit('row-click', it),
+                }),
+            ),
+        )
+    },
+})
+
+const DrawerStub = defineComponent({
+    props: { modelValue: { type: Boolean, default: false } },
+    setup(_, { slots }) {
+        return () => h('div', {}, [slots.header?.(), slots.default?.(), slots.footer?.()])
+    },
+})
+
+const SlotStub = defineComponent({ setup(_, { slots }) { return () => h('div', {}, slots.default?.()) } })
+
+const PageHeaderStub = defineComponent({
+    setup(_, { slots }) { return () => h('div', {}, [slots.default?.(), slots.actions?.()]) },
+})
+
+const CheckboxStub = defineComponent({
+    props: { id: { type: String, default: '' }, modelValue: { type: Boolean, default: false } },
+    emits: ['update:model-value'],
+    setup(props, { emit }) {
+        return () => h('input', {
+            'type': 'checkbox',
+            'data-id': props.id,
+            'onChange': (e: Event) => emit('update:model-value', (e.target as HTMLInputElement).checked),
+        })
+    },
+})
+
+const SelectStub = defineComponent({
+    props: {
+        modelValue: { type: [String, Number, null] as unknown as () => string | number | null, default: null },
+        options: { type: Array, default: () => [] },
+        emptyOptionLabel: { type: String, default: '' },
+    },
+    emits: ['update:model-value'],
+    setup(props, { emit }) {
+        return () => h('select', {
+            'data-empty-label': props.emptyOptionLabel,
+            'onChange': (e: Event) => emit('update:model-value', (e.target as HTMLSelectElement).value),
+        }, (props.options as Array<{ value: string | number, label: string }>).map(o =>
+            h('option', { value: o.value }, o.label),
+        ))
+    },
+})
+
+const InputTextStub = defineComponent({ setup() { return () => h('input') } })
+
+function mountPage() {
+    return mount(StoragesIndex, {
+        global: {
+            stubs: {
+                PageHeader: PageHeaderStub,
+                MalioButton: ButtonStub,
+                MalioDataTable: DataTableStub,
+                MalioDrawer: DrawerStub,
+                MalioAccordion: SlotStub,
+                MalioAccordionItem: SlotStub,
+                MalioInputText: InputTextStub,
+                MalioSelect: SelectStub,
+                MalioCheckbox: CheckboxStub,
+            },
+        },
+    })
+}
+
+describe('Répertoire stockage (page /admin/storages)', () => {
+    beforeEach(() => {
+        mockPush.mockReset()
+        mockApiGet.mockReset().mockImplementation((url: string) => {
+            if (url === '/storage_types') {
+                return Promise.resolve({ member: [{ '@id': '/api/storage_types/9', id: 9, label: 'Cellule' }] })
+            }
+            if (url === '/sites') {
+                return Promise.resolve({ member: [{ id: 1, name: 'Chatellerault' }] })
+            }
+            return Promise.resolve({ member: [] })
+        })
+        mockCan.mockReset().mockReturnValue(true)
+        mockSetFilters.mockReset()
+        mockFetch.mockReset()
+        mockToastError.mockReset()
+    })
+
+    it('charge la liste au montage', async () => {
+        mountPage()
+        await flushPromises()
+        expect(mockFetch).toHaveBeenCalled()
+    })
+
+    it('mappe les colonnes Nom / Site sur le JSON réel (§ 4.0.bis)', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+        const row = wrapper.find('tr[data-row-id="42"]')
+        // displayName = libelle type + numero (RG-7.05).
+        expect(row.attributes('data-name')).toBe('Cellule 12')
+        // Site formate « Nom (Code) », miroir de l'export back.
+        expect(row.attributes('data-site')).toBe('Chatellerault (86)')
+    })
+
+    it('affiche « + Ajouter » uniquement avec la permission manage', async () => {
+        mockCan.mockImplementation((perm: string) => perm === 'catalog.storages.manage')
+        const wrapper = mountPage()
+        await flushPromises()
+        expect(wrapper.find('[data-label="admin.storages.add"]').exists()).toBe(true)
+    })
+
+    it('masque « + Ajouter » sans la permission manage (view seul)', async () => {
+        mockCan.mockImplementation((perm: string) => perm === 'catalog.storages.view')
+        const wrapper = mountPage()
+        await flushPromises()
+        expect(wrapper.find('[data-label="admin.storages.add"]').exists()).toBe(false)
+    })
+
+    it('navigue vers l\'édition au clic sur une ligne', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+        await wrapper.find('tr[data-row-id="42"]').trigger('click')
+        expect(mockPush).toHaveBeenCalledWith('/admin/storages/42/edit')
+    })
+
+    it('navigue vers la création au clic sur « + Ajouter »', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+        await wrapper.find('[data-label="admin.storages.add"]').trigger('click')
+        expect(mockPush).toHaveBeenCalledWith('/admin/storages/new')
+    })
+
+    it('appelle l\'export XLSX sur /storages/export.xlsx en blob', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+        await wrapper.find('[data-label="admin.storages.export"]').trigger('click')
+        await flushPromises()
+        expect(mockApiGet).toHaveBeenCalledWith(
+            '/storages/export.xlsx',
+            expect.any(Object),
+            expect.objectContaining({ responseType: 'blob', toast: false }),
+        )
+    })
+
+    it('répercute les sites cochés dans setFilters (filtre multi, clé siteId[])', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+
+        await wrapper.find('input[data-id="filter-site-1"]').setValue(true)
+        await wrapper.find('[data-label="admin.storages.filters.apply"]').trigger('click')
+
+        expect(mockSetFilters).toHaveBeenLastCalledWith(
+            { 'siteId[]': ['1'] },
+            { replace: true },
+        )
+        // Etat 100 % local (regle n°6) : aucune navigation/query string declenchee.
+        expect(mockPush).not.toHaveBeenCalled()
+    })
+
+    it('répercute l\'état sélectionné dans setFilters (param state)', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+
+        await wrapper.find('select[data-empty-label="admin.storages.filters.stateAll"]').setValue('RECEPTION')
+        await wrapper.find('[data-label="admin.storages.filters.apply"]').trigger('click')
+
+        expect(mockSetFilters).toHaveBeenLastCalledWith(
+            { state: 'RECEPTION' },
+            { replace: true },
+        )
+    })
+
+    it('répercute le type sélectionné dans setFilters (param storageTypeId)', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+
+        await wrapper.find('select[data-empty-label="admin.storages.filters.typeAll"]').setValue('9')
+        await wrapper.find('[data-label="admin.storages.filters.apply"]').trigger('click')
+
+        expect(mockSetFilters).toHaveBeenLastCalledWith(
+            { storageTypeId: '9' },
+            { replace: true },
+        )
+    })
+
+    it('badge filtres actifs + Réinitialiser vide l\'état appliqué', async () => {
+        const wrapper = mountPage()
+        await flushPromises()
+
+        await wrapper.find('input[data-id="filter-site-1"]').setValue(true)
+        await wrapper.find('[data-label="admin.storages.filters.apply"]').trigger('click')
+
+        // Le libelle du bouton Filtrer porte le compteur (1 filtre actif).
+        expect(wrapper.find('[data-label="admin.storages.filters.title (1)"]').exists()).toBe(true)
+
+        // Réinitialiser → query propre (setFilters avec objet vide).
+        await wrapper.find('[data-label="admin.storages.filters.reset"]').trigger('click')
+        expect(mockSetFilters).toHaveBeenLastCalledWith({}, { replace: true })
+    })
+})

frontend/modules/catalog/pages/admin/storages/[id]/edit.vue

@@ -0,0 +1,150 @@
+<template>
+    <div>
+        <!-- En-tete : retour vers la liste + nom du stockage. -->
+        <div class="flex items-center gap-3 pt-11">
+            <MalioButtonIcon
+                icon="mdi:arrow-left-bold"
+                icon-size="24"
+                variant="ghost"
+                :title="t('admin.storages.edit.back')"
+                v-bind="{ ariaLabel: t('admin.storages.edit.back') }"
+                @click="goBack"
+            />
+            <h1 class="text-[30px] font-semibold text-m-primary">{{ headerTitle }}</h1>
+        </div>
+
+        <!-- Etats de chargement / introuvable. -->
+        <p v-if="loading" class="mt-12 text-center text-black/60">{{ t('admin.storages.edit.loading') }}</p>
+        <p v-else-if="error" class="mt-12 text-center text-m-danger">{{ t('admin.storages.edit.notFound') }}</p>
+
+        <template v-else-if="storage">
+            <!-- ── Formulaire principal pre-rempli (a plat, PAS d'onglets — HP-M7-06),
+                 memes champs/regles que l'ajout (RG-7.01→7.06). Bouton
+                 « Enregistrer » → PATCH (RG-7.08). -->
+            <div class="mt-[48px] grid grid-cols-3 xl:grid-cols-4 gap-x-[44px] gap-y-4">
+                <!-- Site : select simple obligatoire (RG-7.02). -->
+                <MalioSelect
+                    :model-value="form.siteIri"
+                    :options="siteOptions"
+                    :label="t('admin.storages.form.site')"
+                    empty-option-label=""
+                    :required="true"
+                    :error="errors.site"
+                    @update:model-value="(v: string | number | null) => setSite(v === null || v === '' ? null : String(v))"
+                />
+                <!-- Type de stockage : select simple obligatoire. Referentiel plat :
+                     tous les types (pas de cascade par site, RG-7.03 non portee back). -->
+                <MalioSelect
+                    :model-value="form.storageTypeIri"
+                    :options="storageTypeOptions"
+                    :label="t('admin.storages.form.storageType')"
+                    empty-option-label=""
+                    :required="true"
+                    :error="errors.storageType"
+                    @update:model-value="(v: string | number | null) => setStorageType(v === null || v === '' ? null : String(v))"
+                />
+                <!-- Numero : texte libre obligatoire (RG-7.01, normalise trim cote serveur). -->
+                <MalioInputText
+                    v-model="form.numero"
+                    :mask="FREE_TEXT_MASK"
+                    :label="t('admin.storages.form.numero')"
+                    :required="true"
+                    :error="errors.numero"
+                />
+                <!-- Etat du type de stockage : multi-select obligatoire (>= 1, RG-7.04). -->
+                <MalioSelectCheckbox
+                    :model-value="form.states"
+                    :options="stateOptions"
+                    :max-tags="3"
+                    :label="t('admin.storages.form.states')"
+                    :display-tag="true"
+                    :required="true"
+                    :error="errors.states"
+                    @update:model-value="(v: (string | number)[]) => setStates(v.map(String))"
+                />
+            </div>
+
+            <div class="mt-12 flex justify-center">
+                <MalioButton
+                    variant="primary"
+                    :label="t('admin.storages.edit.save')"
+                    :disabled="submitting"
+                    @click="onSubmit"
+                />
+            </div>
+
+            <!-- Onglets de la maquette : HORS perimetre HP-M7-06 (idem ajout). -->
+        </template>
+    </div>
+</template>
+
+<script setup lang="ts">
+import { computed, onMounted } from 'vue'
+import { useStorageForm, STORAGE_STATES } from '~/modules/catalog/composables/useStorageForm'
+import { useStorage } from '~/modules/catalog/composables/useStorage'
+import { FREE_TEXT_MASK } from '~/shared/utils/textSanitize'
+
+const { t } = useI18n()
+const route = useRoute()
+const router = useRouter()
+const { can } = usePermissions()
+
+const storageId = route.params.id as string
+
+// Gating de la route : la modification est reservee a `manage` (admin-only) ; sinon
+// retour a la liste (pas d'ecran de consultation au M7).
+if (!can('catalog.storages.manage')) {
+    await navigateTo('/admin/storages')
+}
+
+const { storage, loading, error, load } = useStorage(storageId)
+
+const {
+    form,
+    errors,
+    submitting,
+    siteOptions,
+    storageTypeOptions,
+    setSite,
+    setStorageType,
+    setStates,
+    loadReferentials,
+    prefill,
+    submit,
+} = useStorageForm()
+
+// Titre : libelle d'affichage du stockage (RG-7.05) sinon titre generique.
+const headerTitle = computed(() => storage.value?.displayName ?? t('admin.storages.edit.title'))
+
+useHead({ title: headerTitle })
+
+// Options de l'etat : libelles i18n (la valeur d'option = code enum).
+const stateOptions = computed(() =>
+    STORAGE_STATES.map(code => ({ value: code, label: t(`admin.storages.state.${code}`) })),
+)
+
+/** Retour vers la liste des stockages (fleche d'en-tete). */
+function goBack(): void {
+    router.push('/admin/storages')
+}
+
+/** Soumet la modification (PATCH) ; au succes, retour a la liste. */
+async function onSubmit(): Promise<void> {
+    const ok = await submit()
+    if (ok) {
+        router.push('/admin/storages')
+    }
+}
+
+onMounted(async () => {
+    // Referentiels (selects) + detail du stockage charges en parallele.
+    await Promise.all([
+        loadReferentials().catch(() => {}),
+        load(),
+    ])
+    // Pre-remplissage une fois le stockage charge (echec de chargement => message).
+    if (storage.value) {
+        prefill(storage.value)
+    }
+})
+</script>

frontend/modules/catalog/pages/admin/storages/index.vue

@@ -0,0 +1,386 @@
+<template>
+    <div>
+        <PageHeader>
+            {{ t('admin.storages.title') }}
+            <template #actions>
+                <!-- gap-8 = 32px d'espacement entre Filtrer et Ajouter (meme
+                     design que le Catalogue produit / les repertoires M1→M5). -->
+                <div class="flex items-center gap-8">
+                    <!-- Bouton Filtrer a GAUCHE d'Ajouter. Le compteur reflete les filtres actifs. -->
+                    <MalioButton
+                        v-if="canView"
+                        variant="tertiary"
+                        :label="filterButtonLabel"
+                        icon-name="mdi:tune"
+                        icon-position="left"
+                        icon-size="24"
+                        @click="openFilters"
+                    />
+                    <MalioButton
+                        v-if="canManage"
+                        variant="secondary"
+                        :label="t('admin.storages.add')"
+                        icon-name="mdi:add-bold"
+                        icon-position="left"
+                        @click="goToCreate"
+                    />
+                </div>
+            </template>
+        </PageHeader>
+
+        <!-- Datatable branchee sur usePaginatedList : pagination serveur, tri
+             site.code / storageType.label / numero ASC par defaut (cote back,
+             § 4.1). Colonnes Nom (displayName, RG-7.05) / Site (spec § 4.0). -->
+        <MalioDataTable
+            :columns="columns"
+            :items="rows"
+            :total-items="totalItems"
+            :page="currentPage"
+            :per-page="itemsPerPage"
+            :per-page-options="itemsPerPageOptions"
+            row-clickable
+            :empty-message="t('admin.storages.empty')"
+            @row-click="onRowClick"
+            @update:page="goToPage"
+            @update:per-page="setItemsPerPage"
+        />
+
+        <div class="flex justify-center mt-4">
+            <MalioButton
+                v-if="canView"
+                variant="primary"
+                :label="t('admin.storages.export')"
+                :disabled="exporting"
+                @click="exportXlsx"
+            />
+        </div>
+
+        <!-- Drawer de filtres : etat BROUILLON, applique uniquement au clic sur
+             « Voir les résultats ». Meme pattern que le Catalogue produit.
+             Etat 100 % local, jamais dans l'URL (regle ABSOLUE n°6). -->
+        <MalioDrawer
+            v-model="filterDrawerOpen"
+            drawer-class="max-w-[450px]"
+            body-class="p-0"
+            footer-class="justify-between border-t border-black p-6"
+        >
+            <template #header>
+                <h2 class="text-[24px] font-bold uppercase">{{ t('admin.storages.filters.title') }}</h2>
+            </template>
+
+            <MalioAccordion>
+                <!-- Recherche : numero (param `search`, partiel insensible a la casse). -->
+                <MalioAccordionItem :title="t('admin.storages.filters.search')" value="search">
+                    <MalioInputText
+                        v-model="draftSearch"
+                        icon-name="mdi:magnify"
+                    />
+                </MalioAccordionItem>
+
+                <!-- Type de stockage : select simple (param `storageTypeId`). -->
+                <MalioAccordionItem :title="t('admin.storages.filters.type')" value="type">
+                    <MalioSelect
+                        :model-value="draftStorageTypeId"
+                        :options="storageTypeOptions"
+                        :empty-option-label="t('admin.storages.filters.typeAll')"
+                        @update:model-value="(v: string | number | null) => draftStorageTypeId = v === null || v === '' ? null : Number(v)"
+                    />
+                </MalioAccordionItem>
+
+                <!-- Etat : select simple (param `state`, enum RECEPTION / PRODUCTION / TRIAGE). -->
+                <MalioAccordionItem :title="t('admin.storages.filters.state')" value="state">
+                    <MalioSelect
+                        :model-value="draftState"
+                        :options="stateOptions"
+                        :empty-option-label="t('admin.storages.filters.stateAll')"
+                        @update:model-value="(v: string | number | null) => draftState = v === null || v === '' ? null : String(v)"
+                    />
+                </MalioAccordionItem>
+
+                <!-- Site(s) : cases a cocher (multi, param `siteId[]`). Un stockage
+                     remonte s'il est rattache a AU MOINS UN des sites coches (OR). -->
+                <MalioAccordionItem :title="t('admin.storages.filters.site')" value="site">
+                    <div class="flex flex-col">
+                        <MalioCheckbox
+                            v-for="opt in siteOptions"
+                            :id="`filter-site-${opt.value}`"
+                            :key="opt.value"
+                            :label="opt.label"
+                            :model-value="draftSiteIds.includes(opt.value)"
+                            @update:model-value="(val: boolean) => toggleSite(opt.value, val)"
+                        />
+                    </div>
+                </MalioAccordionItem>
+            </MalioAccordion>
+
+            <template #footer>
+                <MalioButton
+                    variant="tertiary"
+                    :label="t('admin.storages.filters.reset')"
+                    button-class="w-m-btn-action"
+                    @click="resetFilters"
+                />
+                <MalioButton
+                    variant="primary"
+                    :label="t('admin.storages.filters.apply')"
+                    button-class="w-[170px]"
+                    @click="applyFilters"
+                />
+            </template>
+        </MalioDrawer>
+    </div>
+</template>
+
+<script setup lang="ts">
+import { computed, onMounted, ref } from 'vue'
+import type { Storage } from '~/modules/catalog/types/storage'
+
+interface FilterOption {
+    value: number
+    label: string
+}
+
+const { t } = useI18n()
+const api = useApi()
+const router = useRouter()
+const toast = useToast()
+const { can } = usePermissions()
+
+useHead({ title: t('admin.storages.title') })
+
+// Repertoire stockage admin-only (spec § 5) : « + Ajouter » reserve a `manage`.
+// « Filtrer » / « Exporter » suivent `view` (gate page-level). L'item sidebar est
+// deja masque cote back pour les roles sans `view` (RBAC § 5.2, ERP-219).
+const canManage = computed(() => can('catalog.storages.manage'))
+const canView = computed(() => can('catalog.storages.view'))
+
+// Pagination serveur via le composable partage. Le StorageProvider applique deja
+// le tri (site.code, storageType.label, numero ASC, § 4.1) — pas de defaultSort
+// cote front tant qu'aucun OrderFilter n'est expose.
+const {
+    items: storages,
+    totalItems,
+    currentPage,
+    itemsPerPage,
+    itemsPerPageOptions,
+    fetch: loadStorages,
+    goToPage,
+    setItemsPerPage,
+    setFilters,
+} = usePaginatedList<Storage>({ url: '/storages' })
+
+// Mappe les stockages en objets « plats » pour MalioDataTable (items typees
+// Record<string, unknown>[]) : un objet litteral porte une signature d'index
+// implicite, contrairement a l'interface Storage. Meme pattern que le Catalogue.
+const rows = computed(() => storages.value.map(storage => ({
+    id: storage.id,
+    displayName: storage.displayName,
+    siteLabel: formatSite(storage.site),
+})))
+
+const columns = [
+    { key: 'displayName', label: t('admin.storages.column.name') },
+    { key: 'siteLabel', label: t('admin.storages.column.site') },
+]
+
+/**
+ * Libelle du site « Nom (Code) » (ex. « Chatellerault (86) »), miroir de
+ * l'export back (StorageExportController::formatSite). Le code peut etre absent :
+ * on retombe alors sur le seul nom.
+ */
+function formatSite(site: Storage['site']): string {
+    if (!site) {
+        return ''
+    }
+    return site.code ? `${site.name} (${site.code})` : site.name
+}
+
+/** Clic sur une ligne → ecran d'edition /admin/storages/{id}/edit (pas de consultation au M7). */
+function onRowClick(item: Record<string, unknown>): void {
+    router.push(`/admin/storages/${item.id}/edit`)
+}
+
+function goToCreate(): void {
+    router.push('/admin/storages/new')
+}
+
+// ── Referentiels des filtres ─────────────────────────────────────────────────
+// Charges une fois (pagination desactivee, referentiels bornes) : tous les types
+// de stockage et tous les sites.
+const storageTypeOptions = ref<FilterOption[]>([])
+const siteOptions = ref<FilterOption[]>([])
+
+// Etats stockage (miroir de l'enum back Storage::STATE_*). Le libelle est resolu
+// par i18n. Select simple cote filtre (`?state=` n'accepte qu'une valeur).
+const STORAGE_STATES = ['RECEPTION', 'PRODUCTION', 'TRIAGE'] as const
+
+const stateOptions = computed(() =>
+    STORAGE_STATES.map(code => ({ value: code, label: t(`admin.storages.state.${code}`) })),
+)
+
+interface HydraMember { '@id': string, id: number, name?: string, label?: string }
+
+/** Recupere une collection complete (pagination desactivee) en Hydra. */
+async function fetchAll<T extends HydraMember>(
+    url: string,
+    query: Record<string, string> = {},
+): Promise<T[]> {
+    const res = await api.get<{ member?: T[] }>(
+        url,
+        { pagination: 'false', ...query },
+        { headers: { Accept: 'application/ld+json' }, toast: false },
+    )
+    return res.member ?? []
+}
+
+/**
+ * Charge les referentiels des filtres en parallele et de maniere resiliente :
+ * un referentiel en echec (403/500) reste vide sans casser l'autre.
+ */
+async function loadFilterReferentials(): Promise<void> {
+    await Promise.allSettled([
+        fetchAll('/storage_types')
+            .then((types) => { storageTypeOptions.value = types.map(s => ({ value: s.id, label: s.label ?? '' })) }),
+        fetchAll('/sites')
+            .then((sitesList) => { siteOptions.value = sitesList.map(s => ({ value: s.id, label: s.name ?? '' })) }),
+    ])
+}
+
+// ── Filtres (drawer) ─────────────────────────────────────────────────────────
+// Deux niveaux d'etat (pattern Catalogue produit / repertoires M1→M5) :
+//  - APPLIED : pilote la liste/l'export + le compteur du bouton. Modifie
+//    uniquement au clic « Voir les résultats » / « Réinitialiser ».
+//  - DRAFT : edite librement dans le drawer ; recopie vers applied a la validation.
+const filterDrawerOpen = ref(false)
+
+const draftSearch = ref('')
+const draftStorageTypeId = ref<number | null>(null)
+const draftState = ref<string | null>(null)
+const draftSiteIds = ref<number[]>([])
+
+const appliedSearch = ref('')
+const appliedStorageTypeId = ref<number | null>(null)
+const appliedState = ref<string | null>(null)
+const appliedSiteIds = ref<number[]>([])
+
+const activeFilterCount = computed(() => {
+    let count = 0
+    if (appliedSearch.value.trim() !== '') count++
+    if (appliedStorageTypeId.value !== null) count++
+    if (appliedState.value !== null) count++
+    if (appliedSiteIds.value.length > 0) count++
+    return count
+})
+
+const filterButtonLabel = computed(() => {
+    const base = t('admin.storages.filters.title')
+    return activeFilterCount.value > 0 ? `${base} (${activeFilterCount.value})` : base
+})
+
+// Recopie l'etat applique vers le brouillon puis ouvre le drawer : la reouverture
+// reflete les filtres actifs.
+function openFilters(): void {
+    draftSearch.value = appliedSearch.value
+    draftStorageTypeId.value = appliedStorageTypeId.value
+    draftState.value = appliedState.value
+    draftSiteIds.value = [...appliedSiteIds.value]
+    filterDrawerOpen.value = true
+}
+
+/** Coche / decoche un site dans le brouillon (filtre multi). */
+function toggleSite(id: number, selected: boolean): void {
+    draftSiteIds.value = selected
+        ? [...draftSiteIds.value, id]
+        : draftSiteIds.value.filter(s => s !== id)
+}
+
+/**
+ * Construit le payload de filtres serveur a partir de l'etat applique. Cle
+ * `siteId[]` pour que PHP la parse en tableau (OR cote back). Les filtres vides
+ * sont omis pour une query propre.
+ */
+function buildFilterPayload(): Record<string, string | string[]> {
+    const payload: Record<string, string | string[]> = {}
+    if (appliedSearch.value.trim() !== '') payload.search = appliedSearch.value.trim()
+    if (appliedStorageTypeId.value !== null) payload.storageTypeId = String(appliedStorageTypeId.value)
+    if (appliedState.value !== null) payload.state = appliedState.value
+    if (appliedSiteIds.value.length > 0) payload['siteId[]'] = appliedSiteIds.value.map(String)
+    return payload
+}
+
+// « Voir les résultats » : recopie brouillon → applied, pousse les filtres
+// (retombe en page 1 via usePaginatedList) et ferme le drawer.
+function applyFilters(): void {
+    appliedSearch.value = draftSearch.value.trim()
+    appliedStorageTypeId.value = draftStorageTypeId.value
+    appliedState.value = draftState.value
+    appliedSiteIds.value = [...draftSiteIds.value]
+
+    setFilters(buildFilterPayload(), { replace: true })
+    filterDrawerOpen.value = false
+}
+
+// « Réinitialiser » : vide brouillon ET applied, recharge la liste complete.
+// Le drawer reste ouvert pour montrer le formulaire vide.
+function resetFilters(): void {
+    draftSearch.value = ''
+    draftStorageTypeId.value = null
+    draftState.value = null
+    draftSiteIds.value = []
+
+    appliedSearch.value = ''
+    appliedStorageTypeId.value = null
+    appliedState.value = null
+    appliedSiteIds.value = []
+
+    setFilters({}, { replace: true })
+}
+
+// ── Export XLSX ──────────────────────────────────────────────────────────────
+// Memes filtres que la vue : l'export reflete exactement ce que l'utilisateur voit.
+const exporting = ref(false)
+
+async function exportXlsx(): Promise<void> {
+    if (exporting.value) {
+        return
+    }
+    exporting.value = true
+    try {
+        // useApi type ses options en JSON ; l'export renvoie un binaire, donc on
+        // force responseType:'blob' (transmis tel quel a ofetch au runtime). Cast
+        // contenu faute d'overload blob sur le client partage (meme pattern Catalogue).
+        const blob = await api.get<Blob>('/storages/export.xlsx', buildFilterPayload(), {
+            responseType: 'blob',
+            toast: false,
+        } as unknown as Parameters<typeof api.get>[2])
+
+        triggerDownload(blob, 'repertoire-stockage.xlsx')
+    }
+    catch {
+        toast.error({
+            title: t('admin.storages.toast.error'),
+            message: t('admin.storages.toast.exportError'),
+        })
+    }
+    finally {
+        exporting.value = false
+    }
+}
+
+/** Declenche le telechargement d'un blob via un lien temporaire. */
+function triggerDownload(blob: Blob, filename: string): void {
+    const url = URL.createObjectURL(blob)
+    const link = document.createElement('a')
+    link.href = url
+    link.download = filename
+    document.body.appendChild(link)
+    link.click()
+    link.remove()
+    URL.revokeObjectURL(url)
+}
+
+onMounted(() => {
+    loadStorages()
+    loadFilterReferentials()
+})
+</script>

frontend/modules/catalog/pages/admin/storages/new.vue

@@ -0,0 +1,127 @@
+<template>
+    <div>
+        <!-- En-tete : retour vers la liste + titre. -->
+        <div class="flex items-center gap-3 pt-11">
+            <MalioButtonIcon
+                icon="mdi:arrow-left-bold"
+                icon-size="24"
+                variant="ghost"
+                :title="t('admin.storages.form.back')"
+                v-bind="{ ariaLabel: t('admin.storages.form.back') }"
+                @click="goBack"
+            />
+            <h1 class="text-[30px] font-semibold text-m-primary">{{ t('admin.storages.form.title') }}</h1>
+        </div>
+
+        <!-- ── Formulaire principal de creation (a plat, PAS d'onglets — HP-M7-06)
+             Bouton « Valider » TOUJOURS actif (ERP-101) : la validation
+             autoritaire est serveur, les erreurs 422 reviennent inline. -->
+        <div class="mt-[48px] grid grid-cols-3 xl:grid-cols-4 gap-x-[44px] gap-y-4">
+            <!-- Site : select simple obligatoire (RG-7.02). -->
+            <MalioSelect
+                :model-value="form.siteIri"
+                :options="siteOptions"
+                :label="t('admin.storages.form.site')"
+                empty-option-label=""
+                :required="true"
+                :error="errors.site"
+                @update:model-value="(v: string | number | null) => setSite(v === null || v === '' ? null : String(v))"
+            />
+            <!-- Type de stockage : select simple obligatoire. Referentiel plat :
+                 tous les types (pas de cascade par site, RG-7.03 non portee back). -->
+            <MalioSelect
+                :model-value="form.storageTypeIri"
+                :options="storageTypeOptions"
+                :label="t('admin.storages.form.storageType')"
+                empty-option-label=""
+                :required="true"
+                :error="errors.storageType"
+                @update:model-value="(v: string | number | null) => setStorageType(v === null || v === '' ? null : String(v))"
+            />
+            <!-- Numero : texte libre obligatoire (RG-7.01, normalise trim cote serveur). -->
+            <MalioInputText
+                v-model="form.numero"
+                :mask="FREE_TEXT_MASK"
+                :label="t('admin.storages.form.numero')"
+                :required="true"
+                :error="errors.numero"
+            />
+            <!-- Etat du type de stockage : multi-select obligatoire (>= 1, RG-7.04). -->
+            <MalioSelectCheckbox
+                :model-value="form.states"
+                :options="stateOptions"
+                :max-tags="3"
+                :label="t('admin.storages.form.states')"
+                :display-tag="true"
+                :required="true"
+                :error="errors.states"
+                @update:model-value="(v: (string | number)[]) => setStates(v.map(String))"
+            />
+        </div>
+
+        <div class="mt-12 flex justify-center">
+            <MalioButton
+                variant="primary"
+                :label="t('admin.storages.form.submit')"
+                :disabled="submitting"
+                @click="onSubmit"
+            />
+        </div>
+
+        <!-- Onglets de la maquette (Clients / Règles / Etiquette / Comptabilité) :
+             HORS perimetre HP-M7-06 — aucune barre d'onglets a l'ajout. -->
+    </div>
+</template>
+
+<script setup lang="ts">
+import { computed, onMounted } from 'vue'
+import { useStorageForm, STORAGE_STATES } from '~/modules/catalog/composables/useStorageForm'
+import { FREE_TEXT_MASK } from '~/shared/utils/textSanitize'
+
+const { t } = useI18n()
+const router = useRouter()
+const { can } = usePermissions()
+
+useHead({ title: t('admin.storages.form.title') })
+
+// Gating de la route : la creation est reservee a `manage` (repertoire admin-only).
+if (!can('catalog.storages.manage')) {
+    await navigateTo('/admin/storages')
+}
+
+const {
+    form,
+    errors,
+    submitting,
+    siteOptions,
+    storageTypeOptions,
+    setSite,
+    setStorageType,
+    setStates,
+    loadReferentials,
+    submit,
+} = useStorageForm()
+
+// Options de l'etat : libelles i18n (la valeur d'option = code enum).
+const stateOptions = computed(() =>
+    STORAGE_STATES.map(code => ({ value: code, label: t(`admin.storages.state.${code}`) })),
+)
+
+/** Retour vers la liste des stockages (fleche d'en-tete). */
+function goBack(): void {
+    router.push('/admin/storages')
+}
+
+/** Soumet la creation ; au succes, retour a la liste. */
+async function onSubmit(): Promise<void> {
+    const ok = await submit()
+    if (ok) {
+        router.push('/admin/storages')
+    }
+}
+
+onMounted(() => {
+    // Echec du chargement des referentiels non bloquant : les selects restent vides.
+    loadReferentials().catch(() => {})
+})
+</script>

frontend/modules/catalog/types/storage.ts

@@ -0,0 +1,50 @@
+/**
+ * Types front du module Catalog (M7 — Repertoire stockage).
+ *
+ * Contrats API consommes :
+ *   - GET /api/storages             → HydraCollection<Storage>
+ *   - GET /api/storages/{id}        → Storage
+ *   - GET /api/storages/export.xlsx → binaire XLSX (export complet, filtres actifs)
+ *
+ * Notes (cf. spec-back § 4.0.bis, contrat JSON capture en ERP-215) :
+ *   - `site` et `storageType` sont embarques (objets bornes, pas IRI) — embed
+ *     autorise (ne viole pas la regle n°13, ensembles bornes).
+ *   - `displayName` = libelle du type + numero (RG-7.05), expose en lecture seule.
+ *   - `states` est un tableau de chaines (RECEPTION / PRODUCTION / TRIAGE, RG-7.04).
+ *   - `skip_null_values` actif cote back : ne pas presumer la presence des nulls.
+ */
+
+/** Site embarque dans un stockage (groupe `site:read`, sous-ensemble utile au front). */
+export interface StorageSite {
+    /** IRI Hydra, ex. `/api/sites/1` — utilise pour pre-selectionner le select en edition. */
+    '@id': string
+    id: number
+    name: string
+    code: string | null
+}
+
+/** Type de stockage embarque dans un stockage (referentiel borne, groupe `storage_type:read`). */
+export interface StorageStorageType {
+    /** IRI Hydra, ex. `/api/storage_types/9` — utilise pour pre-selectionner le select en edition. */
+    '@id': string
+    id: number
+    code: string
+    label: string
+}
+
+/**
+ * Stockage metier — tel qu'il est lu depuis l'API. L'entite porte le pattern
+ * Timestampable+Blamable (cf. spec-back § 2.8).
+ */
+export interface Storage {
+    id: number
+    numero: string
+    /** Etats : sous-ensemble non vide de RECEPTION / PRODUCTION / TRIAGE (RG-7.04). */
+    states: string[]
+    /** Libelle d'affichage = libelle du type + numero (RG-7.05). */
+    displayName: string
+    site: StorageSite | null
+    storageType: StorageStorageType | null
+    createdAt: string
+    updatedAt: string
+}

infra/dev/Dockerfile

@@ -52,12 +52,19 @@ RUN apt-get update && apt-get install -y \
             xsl
 
 
-# Installation de node
-RUN wget -qO-  "https://nodejs.org/dist/v${DOCKER_NODE_VERSION}/node-v${DOCKER_NODE_VERSION}-linux-x64.tar.xz" | tar xJC /tmp/ && \
-    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-x64/bin /usr/ && \
-    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-x64/include /usr/ && \
-    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-x64/lib /usr/ && \
-    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-x64/share /usr/ && \
+# Installation de node — architecture detectee a la volee
+# (x64 sur Intel/amd64, arm64 sur Apple Silicon) pour que le build passe sur les deux.
+RUN NODE_ARCH="$(dpkg --print-architecture)" && \
+    case "$NODE_ARCH" in \
+        amd64) NODE_ARCH="x64" ;; \
+        arm64) NODE_ARCH="arm64" ;; \
+        *) echo "Architecture Node non supportee : $NODE_ARCH" && exit 1 ;; \
+    esac && \
+    wget -qO- "https://nodejs.org/dist/v${DOCKER_NODE_VERSION}/node-v${DOCKER_NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" | tar xJC /tmp/ && \
+    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-${NODE_ARCH}/bin /usr/ && \
+    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-${NODE_ARCH}/include /usr/ && \
+    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-${NODE_ARCH}/lib /usr/ && \
+    cp -r /tmp/node-v${DOCKER_NODE_VERSION}-linux-${NODE_ARCH}/share /usr/ && \
     npm install --global yarn
 
 # installation/activation d'extensions php

makefile

@@ -74,7 +74,7 @@ help:
 	@printf "\n  Plus de details : \033[4mREADME.md\033[0m, \033[4mCLAUDE.md\033[0m\n\n"
 
 env-init:
-	@cp --update=none $(ENV_DEFAULT) $(ENV_LOCAL)
+	@test -f $(ENV_LOCAL) || cp $(ENV_DEFAULT) $(ENV_LOCAL)
 
 # Lance le container
 start: env-init
@@ -234,6 +234,7 @@ test-db-setup:
 	$(SYMFONY_CONSOLE) --env=test dbal:run-sql "CREATE UNIQUE INDEX IF NOT EXISTS uq_provider_company_name_active ON provider (LOWER(company_name)) WHERE is_archived = FALSE AND deleted_at IS NULL"
 	$(SYMFONY_CONSOLE) --env=test dbal:run-sql "CREATE UNIQUE INDEX IF NOT EXISTS uq_carrier_name_active ON carrier (LOWER(name)) WHERE is_archived = FALSE AND deleted_at IS NULL"
 	$(SYMFONY_CONSOLE) --env=test dbal:run-sql "CREATE UNIQUE INDEX IF NOT EXISTS uq_product_code_active ON product (code) WHERE deleted_at IS NULL"
+	$(SYMFONY_CONSOLE) --env=test dbal:run-sql "CREATE UNIQUE INDEX IF NOT EXISTS uq_storage_site_type_numero_active ON storage (site_id, storage_type_id, numero) WHERE deleted_at IS NULL"
 
 fixtures:
 	$(SYMFONY_CONSOLE) --no-interaction doctrine:fixtures:load

src/Module/Catalog/Application/Filter/StorageListFilters.php

@@ -0,0 +1,131 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Application\Filter;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+
+use function in_array;
+use function is_array;
+use function is_int;
+use function is_string;
+
+/**
+ * Filtres de liste des stockages : SOURCE UNIQUE de verite du parsing des parametres
+ * de requete (?search sur numero, ?siteId[], ?storageTypeId, ?state). Partagee par le
+ * StorageProvider (liste paginee) et le StorageExportController (export XLSX) pour
+ * garantir que l'export reflete EXACTEMENT ce que l'utilisateur voit a l'ecran.
+ *
+ * Sans cette factorisation, les deux endpoints parsaient les memes filtres avec des
+ * regles subtilement differentes (numero litteral « 0 » coerce a null cote export,
+ * id non positif accepte cote liste mais ignore cote export, parametre tableau
+ * jetant un 400 cote export) : autant de divergences liste/export. Une seule
+ * implementation -> zero drift, chaque nouveau filtre se branche en un seul endroit.
+ */
+final readonly class StorageListFilters
+{
+    /** Etats valides du filtre ?state= (enum borne, RG-7.04). */
+    private const array VALID_STATES = [
+        Storage::STATE_RECEPTION,
+        Storage::STATE_PRODUCTION,
+        Storage::STATE_TRIAGE,
+    ];
+
+    /**
+     * @param list<int> $siteIds
+     */
+    private function __construct(
+        public ?string $search,
+        public array $siteIds,
+        public ?int $storageTypeId,
+        public ?string $state,
+    ) {}
+
+    /**
+     * Construit les filtres depuis une source brute : le `$context['filters']`
+     * d'API Platform cote provider, ou `$request->query->all()` cote controller
+     * d'export. Tolere scalaire ou tableau, ignore les entrees invalides — jamais
+     * d'exception sur une saisie malformee (ex: `?search[]=x`).
+     *
+     * @param array<string, mixed> $query
+     */
+    public static function fromQuery(array $query): self
+    {
+        return new self(
+            self::readSearch($query['search'] ?? null),
+            self::readSiteIds($query['siteId'] ?? null),
+            self::readPositiveInt($query['storageTypeId'] ?? null),
+            self::readState($query['state'] ?? null),
+        );
+    }
+
+    /**
+     * Recherche partielle sur numero : valeur trimmee, ou null si absente / vide.
+     * La chaine « 0 » est un numero valide (VARCHAR) et N'EST PAS coercee a null.
+     */
+    private static function readSearch(mixed $raw): ?string
+    {
+        if (!is_string($raw)) {
+            return null;
+        }
+
+        $raw = trim($raw);
+
+        return '' === $raw ? null : $raw;
+    }
+
+    /**
+     * Liste d'identifiants de sites (OR). Tolere une valeur scalaire unique
+     * (`?siteId=1`) ou un tableau (`?siteId[]=1&siteId[]=2`), dedup, ordre stable.
+     *
+     * @return list<int>
+     */
+    private static function readSiteIds(mixed $raw): array
+    {
+        if (null === $raw) {
+            return [];
+        }
+
+        $values = is_array($raw) ? $raw : [$raw];
+
+        $ids = [];
+        foreach ($values as $value) {
+            $id = self::readPositiveInt($value);
+            if (null !== $id) {
+                $ids[] = $id;
+            }
+        }
+
+        return array_values(array_unique($ids));
+    }
+
+    /**
+     * Identifiant entier STRICTEMENT POSITIF (un id metier l'est toujours) ou null.
+     * Un 0 ou un negatif est traite comme « pas de filtre », jamais comme un id
+     * impossible (qui renverrait une liste vide cote provider mais tout cote export).
+     */
+    private static function readPositiveInt(mixed $raw): ?int
+    {
+        if (is_int($raw)) {
+            return $raw > 0 ? $raw : null;
+        }
+
+        return is_string($raw) && ctype_digit($raw) && (int) $raw > 0 ? (int) $raw : null;
+    }
+
+    /**
+     * Filtre ?state= : normalise en majuscules, n'accepte qu'une valeur de l'enum
+     * borne {RECEPTION, PRODUCTION, TRIAGE} ; toute autre valeur est ignoree (null).
+     */
+    private static function readState(mixed $raw): ?string
+    {
+        if (!is_string($raw) || '' === trim($raw)) {
+            return null;
+        }
+
+        $state = mb_strtoupper(trim($raw), 'UTF-8');
+
+        return in_array($state, self::VALID_STATES, true) ? $state : null;
+    }
+}

src/Module/Catalog/Application/Service/StorageFieldNormalizer.php

@@ -0,0 +1,35 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Application\Service;
+
+/**
+ * Normalisation serveur des champs texte d'un Storage, appliquee par le
+ * StorageProcessor AVANT l'unicite metier et la persistance (RG-7.06). Jumeau du
+ * ProductFieldNormalizer (M6), recentre sur l'unique champ texte du stockage.
+ *
+ * - numero : trim simple, SANS changement de casse (HP-M7-05 : pas d'UPPER par
+ *   defaut, contrairement au code produit). Le numero est saisi tel quel et sert
+ *   l'unicite metier (site, type, numero) parmi les actifs (RG-7.01).
+ *
+ * La methode est null-safe et trim l'entree ; une chaine vide apres trim devient
+ * null (c'est l'Assert\NotBlank de l'entite qui rejette le vide, pas le normalizer).
+ */
+final class StorageFieldNormalizer
+{
+    /**
+     * Numero de stockage trimme (RG-7.06), sans changement de casse (HP-M7-05).
+     * Conserve null tel quel ; une chaine vide apres trim devient null.
+     */
+    public function normalizeNumero(?string $value): ?string
+    {
+        if (null === $value) {
+            return null;
+        }
+
+        $value = trim($value);
+
+        return '' === $value ? null : $value;
+    }
+}

src/Module/Catalog/Domain/Entity/Storage.php

@@ -0,0 +1,270 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Domain\Entity;
+
+use ApiPlatform\Metadata\ApiResource;
+use ApiPlatform\Metadata\Get;
+use ApiPlatform\Metadata\GetCollection;
+use ApiPlatform\Metadata\Patch;
+use ApiPlatform\Metadata\Post;
+use App\Module\Catalog\Infrastructure\ApiPlatform\State\Processor\StorageProcessor;
+use App\Module\Catalog\Infrastructure\ApiPlatform\State\Provider\StorageProvider;
+use App\Module\Catalog\Infrastructure\Doctrine\DoctrineStorageRepository;
+use App\Module\Sites\Domain\Entity\Site;
+use App\Shared\Domain\Attribute\Auditable;
+use App\Shared\Domain\Contract\BlamableInterface;
+use App\Shared\Domain\Contract\TimestampableInterface;
+use App\Shared\Domain\Trait\TimestampableBlamableTrait;
+use DateTimeImmutable;
+use Doctrine\ORM\Mapping as ORM;
+use Symfony\Component\Serializer\Attribute\Groups;
+use Symfony\Component\Validator\Constraints as Assert;
+
+/**
+ * Emplacement de stockage (M7 Catalog) — entite racine du module Stockage, jumelle
+ * de Product (M6) cote pattern (#[Auditable], TimestampableBlamable, soft-delete,
+ * etats multi-valeur JSONB) et cote contrat de serialisation (RETEX M1 — spec § 4.0).
+ *
+ * Un stockage = 1 site + 1 type de stockage (referentiel storage_type du M6) + 1
+ * numero. Le couple (site, type, numero) est unique parmi les stockages ACTIFS
+ * (RG-7.01, index partiel uq_storage_site_type_numero_active possede par la
+ * migration). Les etats (RECEPTION / PRODUCTION / TRIAGE) sont multi-valeur, au
+ * moins un (RG-7.04, CHECK chk_storage_states_not_empty).
+ *
+ * Contrat de serialisation :
+ *  - LISTE / DETAIL (storage:read + site:read + storage_type:read + default:read) :
+ *    numero, states, displayName (RG-7.05), site et storageType embarques (ensembles
+ *    bornes -> embed autorise, ne viole pas la regle n°13), createdAt/updatedAt
+ *    (via default:read). L'ecriture passe par storage:write (site, storageType,
+ *    numero, states).
+ *
+ * Soft-delete prepare via `deletedAt` (non expose, § 2.8) : pas de Delete dans les
+ * operations ; la liste exclut les stockages supprimes (Provider, ERP-213). Un
+ * numero redevient disponible apres soft-delete (index partiel sur les actifs).
+ *
+ * NB : `Site` appartient au module Sites, consomme en relation ORM partagee (§ 2.1)
+ * — on reutilise son read-group `site:read`, sans logique inter-module. `StorageType`
+ * est dans le meme module Catalog.
+ *
+ * @see StorageProvider   Lecture (liste paginee filtree soft-delete + item) — ERP-213.
+ * @see StorageProcessor  Ecriture (normalisation, unicite metier RG-7.01) — ERP-213.
+ */
+#[ApiResource(
+    operations: [
+        new GetCollection(
+            security: "is_granted('catalog.storages.view')",
+            normalizationContext: ['groups' => ['storage:read', 'site:read', 'storage_type:read', 'default:read']],
+            provider: StorageProvider::class,
+        ),
+        new Get(
+            security: "is_granted('catalog.storages.view')",
+            normalizationContext: ['groups' => ['storage:read', 'site:read', 'storage_type:read', 'default:read']],
+            provider: StorageProvider::class,
+        ),
+        new Post(
+            security: "is_granted('catalog.storages.manage')",
+            normalizationContext: ['groups' => ['storage:read', 'site:read', 'storage_type:read', 'default:read']],
+            denormalizationContext: ['groups' => ['storage:write']],
+            // Convertit les erreurs de denormalisation (type invalide / null sur une
+            // relation : site, storageType) en violations 422 portant un propertyPath,
+            // au lieu d'un 400 qui court-circuite la validation (cf. Product — mapping
+            // inline useFormErrors, ERP-101).
+            collectDenormalizationErrors: true,
+            processor: StorageProcessor::class,
+        ),
+        new Patch(
+            security: "is_granted('catalog.storages.manage')",
+            normalizationContext: ['groups' => ['storage:read', 'site:read', 'storage_type:read', 'default:read']],
+            denormalizationContext: ['groups' => ['storage:write']],
+            collectDenormalizationErrors: true,
+            provider: StorageProvider::class,
+            processor: StorageProcessor::class,
+        ),
+        // Pas de Delete au M7 (§ 2.8) ; soft-delete prepare non expose.
+    ],
+)]
+#[ORM\Entity(repositoryClass: DoctrineStorageRepository::class)]
+#[ORM\Table(name: 'storage')]
+// Index nommes pour matcher la migration (cf. Product). L'index unique partiel
+// `uq_storage_site_type_numero_active` ((site, type, numero) WHERE deleted_at IS
+// NULL — unicite metier parmi les actifs, RG-7.01) reste possede par la seule
+// migration : Doctrine ORM ne sait pas exprimer un index partiel via attribut.
+#[ORM\Index(name: 'idx_storage_site', columns: ['site_id'])]
+#[ORM\Index(name: 'idx_storage_storage_type', columns: ['storage_type_id'])]
+#[ORM\Index(name: 'idx_storage_deleted_at', columns: ['deleted_at'])]
+#[ORM\Index(name: 'idx_storage_created_by', columns: ['created_by'])]
+#[ORM\Index(name: 'idx_storage_updated_by', columns: ['updated_by'])]
+#[Auditable]
+class Storage implements TimestampableInterface, BlamableInterface
+{
+    // === Timestampable + Blamable ===
+    // Les 4 colonnes (created_at, updated_at, created_by, updated_by) + leurs
+    // getters/setters viennent du Trait Shared, remplies automatiquement par le
+    // TimestampableBlamableSubscriber au prePersist / preUpdate.
+    use TimestampableBlamableTrait;
+
+    /** Etats du stockage (RG-7.04) — valeurs autorisees de la colonne JSONB `states`. */
+    public const string STATE_RECEPTION  = 'RECEPTION';
+    public const string STATE_PRODUCTION = 'PRODUCTION';
+    public const string STATE_TRIAGE     = 'TRIAGE';
+
+    #[ORM\Id]
+    #[ORM\GeneratedValue]
+    #[ORM\Column]
+    #[Groups(['storage:read'])]
+    private ?int $id = null;
+
+    // Site du stockage (obligatoire). FK ON DELETE RESTRICT : un site reference par
+    // un stockage ne peut etre supprime. Composante de l'unicite metier (RG-7.01).
+    #[ORM\ManyToOne(targetEntity: Site::class)]
+    #[ORM\JoinColumn(name: 'site_id', referencedColumnName: 'id', nullable: false, onDelete: 'RESTRICT')]
+    #[Assert\NotNull(message: 'Le site est obligatoire.')]
+    #[Groups(['storage:read', 'storage:write'])]
+    private ?Site $site = null;
+
+    // Type de stockage (obligatoire, referentiel plat M6). FK ON DELETE RESTRICT :
+    // un type reference par un stockage ne peut etre supprime. Composante de
+    // l'unicite metier (RG-7.01).
+    #[ORM\ManyToOne(targetEntity: StorageType::class)]
+    #[ORM\JoinColumn(name: 'storage_type_id', referencedColumnName: 'id', nullable: false, onDelete: 'RESTRICT')]
+    #[Assert\NotNull(message: 'Le type de stockage est obligatoire.')]
+    #[Groups(['storage:read', 'storage:write'])]
+    private ?StorageType $storageType = null;
+
+    // Numero du stockage, saisi. Unique par (site, type) parmi les actifs (RG-7.01).
+    // Normalise serveur (trim) par le StorageProcessor (ERP-213).
+    #[ORM\Column(length: 50)]
+    #[Assert\NotBlank(message: 'Le numéro du stockage est obligatoire.', normalizer: 'trim')]
+    #[Assert\Length(max: 50, maxMessage: 'Le numéro du stockage ne peut pas dépasser {{ limit }} caractères.', normalizer: 'trim')]
+    #[Groups(['storage:read', 'storage:write'])]
+    private ?string $numero = null;
+
+    /**
+     * Etats du stockage (multi-select), sous-ensemble non vide de
+     * {RECEPTION, PRODUCTION, TRIAGE} (RG-7.04). Stocke en JSONB (tableau de
+     * chaines), non-vacuite garantie aussi par le CHECK chk_storage_states_not_empty.
+     *
+     * Validation des valeurs via Assert\Choice(multiple: true) plutot que
+     * Assert\All([Choice]) : equivalent fonctionnel, et seul Choice est gere par le
+     * garde-fou EntityConstraintsHaveFrenchMessageTest (cf. Product::states).
+     *
+     * @var list<string>
+     */
+    // jsonb (pas json) : aligne le mapping ORM sur la colonne JSONB creee par la
+    // migration (CHECK chk_storage_states_not_empty via jsonb_array_length). Sans
+    // `options: ['jsonb' => true]`, schema:update tente un ALTER states TYPE JSON
+    // qui casse le CHECK et fait echouer make test-db-setup (cf. Product::states).
+    #[ORM\Column(type: 'json', options: ['jsonb' => true])]
+    #[Assert\Count(min: 1, minMessage: 'Sélectionnez au moins un état.')]
+    #[Assert\Unique(message: 'Chaque état ne peut être sélectionné qu\'une seule fois.')]
+    #[Assert\Choice(
+        choices: [self::STATE_RECEPTION, self::STATE_PRODUCTION, self::STATE_TRIAGE],
+        multiple: true,
+        message: 'État de stockage invalide.',
+        multipleMessage: 'État de stockage invalide.',
+    )]
+    #[Groups(['storage:read', 'storage:write'])]
+    private array $states = [];
+
+    /**
+     * Soft-delete technique : null = actif, valeur = supprime logiquement le {date}.
+     * Non expose (§ 2.8, aucun groupe) : prepare pour une future suppression. La
+     * liste exclut par defaut les stockages supprimes (Provider, ERP-213) et le
+     * numero redevient disponible (index partiel sur les actifs, RG-7.01).
+     */
+    #[ORM\Column(name: 'deleted_at', type: 'datetime_immutable', nullable: true)]
+    private ?DateTimeImmutable $deletedAt = null;
+
+    public function getId(): ?int
+    {
+        return $this->id;
+    }
+
+    public function getSite(): ?Site
+    {
+        return $this->site;
+    }
+
+    public function setSite(?Site $site): static
+    {
+        $this->site = $site;
+
+        return $this;
+    }
+
+    public function getStorageType(): ?StorageType
+    {
+        return $this->storageType;
+    }
+
+    public function setStorageType(?StorageType $storageType): static
+    {
+        $this->storageType = $storageType;
+
+        return $this;
+    }
+
+    public function getNumero(): ?string
+    {
+        return $this->numero;
+    }
+
+    public function setNumero(string $numero): static
+    {
+        $this->numero = $numero;
+
+        return $this;
+    }
+
+    /**
+     * @return list<string>
+     */
+    public function getStates(): array
+    {
+        return $this->states;
+    }
+
+    /**
+     * @param list<string> $states
+     */
+    public function setStates(array $states): static
+    {
+        // `array_values` reseque toujours un tableau SEQUENTIEL : une saisie cliente
+        // malformee (objet JSON `{"x":"RECEPTION"}` denormalise en tableau associatif)
+        // ne peut plus etre persistee comme un objet JSONB, ce qui ferait echouer le
+        // CHECK chk_storage_states_not_empty (jsonb_array_length sur non-tableau) en
+        // 500. Les doublons eventuels restent rejetes en 422 par Assert\Unique.
+        $this->states = array_values($states);
+
+        return $this;
+    }
+
+    public function getDeletedAt(): ?DateTimeImmutable
+    {
+        return $this->deletedAt;
+    }
+
+    public function setDeletedAt(?DateTimeImmutable $deletedAt): static
+    {
+        $this->deletedAt = $deletedAt;
+
+        return $this;
+    }
+
+    /**
+     * RG-7.05 : libelle d'affichage = libelle du type de stockage suivi du numero
+     * (ex. « Cellule 12 »). Getter virtuel non persiste, expose en lecture
+     * (storage:read). Null-safe : `storageType` et `numero` sont garantis non nuls a
+     * la lecture (NOT NULL en base), le `?? ''` couvre un objet en cours de
+     * construction sans casser la serialisation.
+     */
+    #[Groups(['storage:read'])]
+    public function getDisplayName(): string
+    {
+        $label = $this->storageType?->getLabel() ?? '';
+
+        return trim($label.' '.($this->numero ?? ''));
+    }
+}

src/Module/Catalog/Domain/Repository/StorageRepositoryInterface.php

@@ -0,0 +1,48 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Domain\Repository;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+use Doctrine\ORM\QueryBuilder;
+
+interface StorageRepositoryInterface
+{
+    public function findById(int $id): ?Storage;
+
+    public function save(Storage $storage): void;
+
+    /**
+     * Vrai si un stockage actif (deleted_at IS NULL) porte deja le triplet
+     * (site, storageType, numero). `$excludeId` exclut un stockage precis du test
+     * (cas PATCH). Garantit l'unicite metier parmi les actifs (RG-7.01, index
+     * partiel uq_storage_site_type_numero_active). Un numero redevient disponible
+     * apres soft-delete (le test ignore les supprimes).
+     */
+    public function existsActiveBySiteTypeNumero(
+        int $siteId,
+        int $storageTypeId,
+        string $numero,
+        ?int $excludeId = null,
+    ): bool;
+
+    /**
+     * QueryBuilder de la liste stockages (consomme par le StorageProvider) : exclut
+     * par defaut les soft-deleted (RG-7.07), trie par site.code ASC, storageType.label
+     * ASC, numero ASC (defaut spec § 4.1) et applique les filtres optionnels :
+     *  - `$search`        : recherche partielle case-insensitive sur `numero`.
+     *  - `$siteIds`       : stockage rattache a AU MOINS UN des sites passes.
+     *  - `$storageTypeId` : restreint a un type de stockage precis (par id).
+     *  - `$state`         : appartenance a la colonne JSONB `states` (RECEPTION|PRODUCTION|TRIAGE).
+     *
+     * @param list<int> $siteIds
+     */
+    public function createListQueryBuilder(
+        bool $includeDeleted = false,
+        ?string $search = null,
+        array $siteIds = [],
+        ?int $storageTypeId = null,
+        ?string $state = null,
+    ): QueryBuilder;
+}

src/Module/Catalog/Infrastructure/ApiPlatform/State/Processor/StorageProcessor.php

@@ -0,0 +1,112 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Infrastructure\ApiPlatform\State\Processor;
+
+use ApiPlatform\Metadata\Operation;
+use ApiPlatform\State\ProcessorInterface;
+use App\Module\Catalog\Application\Service\StorageFieldNormalizer;
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Repository\StorageRepositoryInterface;
+use Doctrine\DBAL\Exception\UniqueConstraintViolationException;
+use Symfony\Component\DependencyInjection\Attribute\Autowire;
+use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
+use Throwable;
+
+use function sprintf;
+
+/**
+ * Processor d'ecriture du stockage (M7, POST / PATCH). Cf. spec-back M7 § 4.3 /
+ * § 4.4 + RG-7.01 / RG-7.06. Jumeau du ProductProcessor (normalisation serveur +
+ * 409 doublon).
+ *
+ * Sequence (POST / PATCH) :
+ *  1. Normalisation serveur (RG-7.06) via StorageFieldNormalizer : numero trim
+ *     (pas d'UPPER — HP-M7-05). Jouee AVANT l'unicite et la persistance ; la
+ *     validation (NotNull site/type, NotBlank/Length numero, Count/Choice states
+ *     RG-7.04) a deja joue cote API Platform sur la saisie brute.
+ *  2. RG-7.01 : unicite metier du triplet (site, storageType, numero) parmi les
+ *     actifs. Pre-check deterministe (excluant le stockage courant en PATCH) -> 409 ;
+ *     l'index partiel uq_storage_site_type_numero_active reste le filet anti-race
+ *     au flush.
+ *  3. Persistance via le persist_processor Doctrine ORM.
+ *
+ * RG-7.03 (« le type doit etre disponible sur le site choisi ») n'est PAS portee :
+ * le concept type<->site a ete retire du modele en M6 (StorageType rendu plat,
+ * jointure storage_type_site droppee — migration Version20260626100000). C'est
+ * desormais l'entite Storage (1 site + 1 type) qui materialise cette disponibilite ;
+ * il n'existe plus de referentiel a interroger. A reclarifier cote spec (signale).
+ *
+ * Mode strict PATCH (RETEX M1) : la security d'operation exige `catalog.storages.manage`
+ * pour TOUS les champs ecrivables (un seul niveau de permission au M7 — admin-only).
+ * Aucun champ « hors-permission » a re-gater finement ici : le 403 global est porte
+ * par la security d'operation.
+ *
+ * @implements ProcessorInterface<Storage, Storage>
+ */
+final class StorageProcessor implements ProcessorInterface
+{
+    public function __construct(
+        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
+        private readonly ProcessorInterface $persistProcessor,
+        private readonly StorageFieldNormalizer $normalizer,
+        #[Autowire(service: 'App\Module\Catalog\Infrastructure\Doctrine\DoctrineStorageRepository')]
+        private readonly StorageRepositoryInterface $repository,
+    ) {}
+
+    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
+    {
+        if (!$data instanceof Storage) {
+            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
+        }
+
+        // 1. RG-7.06 : normalisation serveur (numero trim, pas d'UPPER).
+        $this->normalize($data);
+
+        // 2. RG-7.01 : unicite metier (site, storageType, numero) parmi les actifs
+        // (exclut le stockage courant en PATCH). Pre-check explicite -> 409
+        // deterministe. Le NotNull site/type + NotBlank numero ont deja joue.
+        $siteId = $data->getSite()?->getId();
+        $typeId = $data->getStorageType()?->getId();
+        $numero = (string) $data->getNumero();
+        if (null !== $siteId && null !== $typeId && '' !== $numero
+            && $this->repository->existsActiveBySiteTypeNumero($siteId, $typeId, $numero, $data->getId())) {
+            throw $this->duplicateConflict($numero);
+        }
+
+        // 3. Persistance, avec filet anti-race sur l'index partiel.
+        try {
+            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
+        } catch (UniqueConstraintViolationException $e) {
+            // Insertion concurrente du meme triplet entre le pre-check et le flush
+            // (collision sur uq_storage_site_type_numero_active).
+            throw $this->duplicateConflict($numero, $e);
+        }
+    }
+
+    /**
+     * Normalisation serveur du stockage (RG-7.06). Le setter n'est touche que si une
+     * valeur est presente, pour ne jamais ecraser l'existant lors d'un PATCH partiel.
+     * Le cast (string) est sur : NotBlank a deja rejete le vide en amont.
+     */
+    private function normalize(Storage $data): void
+    {
+        if (null !== $data->getNumero()) {
+            $data->setNumero((string) $this->normalizer->normalizeNumero($data->getNumero()));
+        }
+    }
+
+    /**
+     * RG-7.01 : 409 sur doublon (site, type, numero). Le front mappe ce conflit sur
+     * le champ `numero` (setError('numero', ...) + toast — convention useFormErrors
+     * ERP-101) : le propertyPath exploitable est `numero`.
+     */
+    private function duplicateConflict(string $numero, ?Throwable $previous = null): ConflictHttpException
+    {
+        return new ConflictHttpException(
+            sprintf('Un stockage portant le numéro « %s » existe déjà pour ce site et ce type de stockage.', $numero),
+            $previous,
+        );
+    }
+}

src/Module/Catalog/Infrastructure/ApiPlatform/State/Provider/StorageProvider.php

@@ -0,0 +1,93 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Infrastructure\ApiPlatform\State\Provider;
+
+use ApiPlatform\Doctrine\Orm\Paginator;
+use ApiPlatform\Metadata\CollectionOperationInterface;
+use ApiPlatform\Metadata\Operation;
+use ApiPlatform\State\Pagination\Pagination;
+use ApiPlatform\State\ProviderInterface;
+use App\Module\Catalog\Application\Filter\StorageListFilters;
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Repository\StorageRepositoryInterface;
+use Doctrine\ORM\Tools\Pagination\Paginator as DoctrinePaginator;
+use Symfony\Component\DependencyInjection\Attribute\Autowire;
+
+use function is_int;
+use function is_string;
+
+/**
+ * Provider Storage (lecture, ERP-213) :
+ *  - LISTE : exclut par defaut les stockages soft-deleted (RG-7.07), trie par
+ *    site.code ASC, storageType.label ASC, numero ASC (defaut spec § 4.1), applique
+ *    les filtres (?search sur numero, ?siteId[], ?storageTypeId, ?state — parses par
+ *    {@see StorageListFilters}, source partagee avec l'export) et renvoie une
+ *    collection PAGINEE Hydra (regle ABSOLUE n°13 : jamais d'array brut sur une
+ *    operation de collection — on enveloppe le QueryBuilder dans le Paginator ORM).
+ *    Echappatoire ?pagination=false respectee (alimentation d'un select).
+ *  - ITEM : recharge le stockage puis renvoie null (404) s'il est soft-deleted — le
+ *    soft-delete n'est jamais expose (§ 2.8), aucun flag includeDeleted.
+ *
+ * @implements ProviderInterface<Storage>
+ */
+final class StorageProvider implements ProviderInterface
+{
+    public function __construct(
+        #[Autowire(service: 'App\Module\Catalog\Infrastructure\Doctrine\DoctrineStorageRepository')]
+        private readonly StorageRepositoryInterface $repository,
+        private readonly Pagination $pagination,
+    ) {}
+
+    public function provide(Operation $operation, array $uriVariables = [], array $context = []): iterable|Paginator|Storage|null
+    {
+        if ($operation instanceof CollectionOperationInterface) {
+            // Filtres parses par la source partagee avec l'export (parite garantie).
+            $filters = StorageListFilters::fromQuery($context['filters'] ?? []);
+
+            // includeDeleted toujours false : le soft-delete n'est pas expose (§ 2.8).
+            $qb = $this->repository->createListQueryBuilder(
+                false,
+                $filters->search,
+                $filters->siteIds,
+                $filters->storageTypeId,
+                $filters->state,
+            );
+
+            // Echappatoire ?pagination=false : collection complete sans Paginator.
+            if (!$this->pagination->isEnabled($operation, $context)) {
+                return $qb->getQuery()->getResult();
+            }
+
+            // Branche paginee standard : offset/limit via Pagination, enveloppe dans le
+            // Paginator ORM. Les jointures site/storageType sont to-ONE (ManyToOne) :
+            // pas de duplication de lignes, le comptage reste exact.
+            $limit  = $this->pagination->getLimit($operation, $context);
+            $page   = max(1, $this->pagination->getPage($context));
+            $offset = ($page - 1) * $limit;
+
+            $qb->setFirstResult($offset)->setMaxResults($limit);
+
+            return new Paginator(new DoctrinePaginator($qb->getQuery()));
+        }
+
+        // Get unitaire : recharger l'entite, puis appliquer le filtre soft-delete.
+        $id = $uriVariables['id'] ?? null;
+        if (!is_int($id) && !(is_string($id) && ctype_digit($id))) {
+            return null;
+        }
+
+        $storage = $this->repository->findById((int) $id);
+        if (null === $storage) {
+            return null;
+        }
+
+        // § 2.8 : un stockage soft-deleted n'est jamais expose (404).
+        if (null !== $storage->getDeletedAt()) {
+            return null;
+        }
+
+        return $storage;
+    }
+}

src/Module/Catalog/Infrastructure/Controller/StorageExportController.php

@@ -0,0 +1,202 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Infrastructure\Controller;
+
+use App\Module\Catalog\Application\Filter\StorageListFilters;
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Repository\StorageRepositoryInterface;
+use App\Module\Sites\Domain\Entity\Site;
+use App\Shared\Domain\Contract\SpreadsheetExporterInterface;
+use DateTimeImmutable;
+use Doctrine\ORM\EntityManagerInterface;
+use Symfony\Component\DependencyInjection\Attribute\Autowire;
+use Symfony\Component\HttpFoundation\Request;
+use Symfony\Component\HttpFoundation\Response;
+use Symfony\Component\HttpKernel\Attribute\AsController;
+use Symfony\Component\Routing\Attribute\Route;
+use Symfony\Component\Security\Http\Attribute\IsGranted;
+
+use function in_array;
+
+/**
+ * Export XLSX de la liste des stockages (M7, spec-back § 4.5). Jumeau du
+ * ProductExportController (M6) — reference en prose volontairement (pas de {@see}
+ * inter-module).
+ *
+ * Controller Symfony custom (et non operation API Platform) car il produit un
+ * binaire de fichier, pas une representation Hydra. `priority: 1` est OBLIGATOIRE
+ * sur la route : sans cela API Platform capterait `/api/storages/export.xlsx`
+ * comme l'item `GET /api/storages/{id}.{_format}` (id="export", _format="xlsx")
+ * — cf. CLAUDE.md « controller custom sous /api ». Etant un controller (et non un
+ * #[ApiResource]), il n'est PAS scanne par CollectionsArePaginatedTest : aucune
+ * entree EXCLUDED necessaire (comme ProductExportController).
+ *
+ * Separation des responsabilites :
+ *  - le COMMENT (generation du fichier) est delegue au service Shared
+ *    {@see SpreadsheetExporterInterface} — generique, reutilisable, sans metier ;
+ *  - le QUOI vit ICI : selection des stockages (MEMES filtres que
+ *    `GET /api/storages` via le StorageProvider, deleguee a
+ *    {@see StorageRepositoryInterface::createListQueryBuilder()} — l'export reflete
+ *    exactement ce que l'utilisateur voit a l'ecran) et mapping metier des colonnes.
+ *    Les stockages soft-deleted (RG-7.07) sont toujours exclus, comme en liste (le
+ *    soft-delete n'est jamais expose, § 2.8).
+ */
+#[AsController]
+final class StorageExportController
+{
+    /**
+     * Libelles FR des etats (RG-7.04) pour la colonne « États ». L'ordre des cles
+     * fixe l'ordre d'affichage (Réception, Production, Triage) independamment de
+     * l'ordre de stockage en base.
+     */
+    private const array STATE_LABELS = [
+        Storage::STATE_RECEPTION  => 'Réception',
+        Storage::STATE_PRODUCTION => 'Production',
+        Storage::STATE_TRIAGE     => 'Triage',
+    ];
+
+    /**
+     * Taille du lot avant `EntityManager::clear()` pendant le streaming des lignes :
+     * borne la memoire (identity map) sur un gros export sans tout materialiser.
+     */
+    private const int EXPORT_BATCH_SIZE = 200;
+
+    public function __construct(
+        #[Autowire(service: 'App\Module\Catalog\Infrastructure\Doctrine\DoctrineStorageRepository')]
+        private readonly StorageRepositoryInterface $repository,
+        private readonly SpreadsheetExporterInterface $exporter,
+        private readonly EntityManagerInterface $em,
+    ) {}
+
+    #[Route('/api/storages/export.xlsx', name: 'catalog_storages_export_xlsx', methods: ['GET'], priority: 1)]
+    #[IsGranted('catalog.storages.view')]
+    public function __invoke(Request $request): Response
+    {
+        // Memes filtres que la vue liste (StorageProvider) pour que l'export reflete
+        // exactement ce que l'utilisateur voit a l'ecran : recherche (?search sur
+        // numero), sites (?siteId[]), type (?storageTypeId), etat (?state). Parses par
+        // la MEME source que le provider ({@see StorageListFilters}) -> aucune
+        // divergence possible (numero « 0 », parametre tableau, id non positif).
+        // includeDeleted reste false : le soft-delete n'est jamais expose (§ 2.8).
+        $filters = StorageListFilters::fromQuery($request->query->all());
+
+        // Streaming via toIterable() : on ne materialise pas toute la table en memoire
+        // (cf. buildRows + EXPORT_BATCH_SIZE) avant de construire le classeur.
+        $storages = $this->repository
+            ->createListQueryBuilder(false, $filters->search, $filters->siteIds, $filters->storageTypeId, $filters->state)
+            ->getQuery()
+            ->toIterable()
+        ;
+
+        $binary = $this->exporter->export(
+            'Stockages',
+            $this->buildHeaders(),
+            $this->buildRows($storages),
+        );
+
+        return $this->buildResponse($binary);
+    }
+
+    /**
+     * Colonnes de l'export (spec § 4.5).
+     *
+     * @return list<string>
+     */
+    private function buildHeaders(): array
+    {
+        return [
+            'Nom',
+            'Site',
+            'Type de stockage',
+            'Numéro',
+            'États',
+            'Créé le',
+            'Modifié le',
+        ];
+    }
+
+    /**
+     * Mappe chaque stockage en ligne d'export, en consommant un iterable paresseux
+     * (Doctrine `toIterable()`). Toutes les N lignes (EXPORT_BATCH_SIZE), on vide
+     * l'identity map (`clear()`) pour borner la memoire sur un gros export — sans
+     * danger ici, le controller ne fait que lire.
+     *
+     * @param iterable<Storage> $storages
+     *
+     * @return iterable<list<null|scalar>>
+     */
+    private function buildRows(iterable $storages): iterable
+    {
+        $count = 0;
+        foreach ($storages as $storage) {
+            yield [
+                $storage->getDisplayName(),
+                $this->formatSite($storage->getSite()),
+                $storage->getStorageType()?->getLabel(),
+                $storage->getNumero(),
+                $this->formatStates($storage),
+                $this->formatDate($storage->getCreatedAt()),
+                $this->formatDate($storage->getUpdatedAt()),
+            ];
+
+            if (0 === ++$count % self::EXPORT_BATCH_SIZE) {
+                $this->em->clear();
+            }
+        }
+    }
+
+    /**
+     * Libelle du site « Nom (Code) » (ex. « Chatellerault (86) »). Le code peut
+     * etre absent : on retombe alors sur le seul nom.
+     */
+    private function formatSite(?Site $site): string
+    {
+        if (null === $site) {
+            return '';
+        }
+
+        $name = (string) $site->getName();
+        $code = $site->getCode();
+
+        return null !== $code && '' !== $code ? sprintf('%s (%s)', $name, $code) : $name;
+    }
+
+    /**
+     * Libelles FR des etats du stockage, dans l'ordre canonique (Réception,
+     * Production, Triage), joints par virgule. Une valeur inattendue est ignoree.
+     */
+    private function formatStates(Storage $storage): string
+    {
+        $states = $storage->getStates();
+
+        $labels = [];
+        foreach (self::STATE_LABELS as $code => $label) {
+            if (in_array($code, $states, true)) {
+                $labels[] = $label;
+            }
+        }
+
+        return implode(', ', $labels);
+    }
+
+    /**
+     * Formate un horodatage en « jj/mm/aaaa hh:mm » (vide si null).
+     */
+    private function formatDate(?DateTimeImmutable $date): string
+    {
+        return $date?->format('d/m/Y H:i') ?? '';
+    }
+
+    private function buildResponse(string $binary): Response
+    {
+        $filename = sprintf('stockages-%s.xlsx', new DateTimeImmutable()->format('Ymd'));
+
+        $response = new Response($binary);
+        $response->headers->set('Content-Type', 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet');
+        $response->headers->set('Content-Disposition', sprintf('attachment; filename="%s"', $filename));
+
+        return $response;
+    }
+}

src/Module/Catalog/Infrastructure/Doctrine/DoctrineStorageRepository.php

@@ -0,0 +1,139 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Catalog\Infrastructure\Doctrine;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Repository\StorageRepositoryInterface;
+use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
+use Doctrine\ORM\QueryBuilder;
+use Doctrine\Persistence\ManagerRegistry;
+
+/**
+ * @extends ServiceEntityRepository<Storage>
+ */
+class DoctrineStorageRepository extends ServiceEntityRepository implements StorageRepositoryInterface
+{
+    public function __construct(ManagerRegistry $registry)
+    {
+        parent::__construct($registry, Storage::class);
+    }
+
+    public function findById(int $id): ?Storage
+    {
+        return $this->find($id);
+    }
+
+    public function save(Storage $storage): void
+    {
+        $this->getEntityManager()->persist($storage);
+        $this->getEntityManager()->flush();
+    }
+
+    public function existsActiveBySiteTypeNumero(
+        int $siteId,
+        int $storageTypeId,
+        string $numero,
+        ?int $excludeId = null,
+    ): bool {
+        $qb = $this->createQueryBuilder('s')
+            ->select('1')
+            ->andWhere('s.site = :siteId')
+            ->andWhere('s.storageType = :storageTypeId')
+            ->andWhere('s.numero = :numero')
+            ->andWhere('s.deletedAt IS NULL')
+            ->setParameter('siteId', $siteId)
+            ->setParameter('storageTypeId', $storageTypeId)
+            ->setParameter('numero', $numero)
+            ->setMaxResults(1)
+        ;
+
+        if (null !== $excludeId) {
+            $qb->andWhere('s.id != :excludeId')->setParameter('excludeId', $excludeId);
+        }
+
+        return [] !== $qb->getQuery()->getResult();
+    }
+
+    public function createListQueryBuilder(
+        bool $includeDeleted = false,
+        ?string $search = null,
+        array $siteIds = [],
+        ?int $storageTypeId = null,
+        ?string $state = null,
+    ): QueryBuilder {
+        // Eager-load des relations embarquees en liste (storage:read) pour eviter un
+        // N+1 par stockage : site et storageType sont des ManyToOne (to-ONE, sures —
+        // pas de duplication de lignes, contrairement aux ManyToMany du Product). Les
+        // jointures servent aussi le tri (site.code, storageType.label).
+        $qb = $this->createQueryBuilder('s')
+            ->leftJoin('s.site', 'site')->addSelect('site')
+            ->leftJoin('s.storageType', 'st')->addSelect('st')
+            ->orderBy('site.code', 'ASC')
+            ->addOrderBy('st.label', 'ASC')
+            ->addOrderBy('s.numero', 'ASC')
+        ;
+
+        // RG-7.07 : la liste exclut par defaut les stockages soft-deleted.
+        if (!$includeDeleted) {
+            $qb->andWhere('s.deletedAt IS NULL');
+        }
+
+        // ?search= : recherche partielle case-insensitive sur numero. Les
+        // metacaracteres LIKE (%, _, \) sont echappes pour rester litteraux.
+        if (null !== $search && '' !== trim($search)) {
+            $escaped = str_replace(['\\', '%', '_'], ['\\\\', '\%', '\_'], trim($search));
+            $pattern = '%'.mb_strtolower($escaped, 'UTF-8').'%';
+            $qb->andWhere('LOWER(s.numero) LIKE :search')->setParameter('search', $pattern);
+        }
+
+        // ?siteId[]= : stockage rattache a AU MOINS UN des sites passes (OR). site est
+        // un ManyToOne (to-one) -> filtre direct sur la jointure, sans sous-requete
+        // EXISTS ni risque de masquer une collection (≠ Product.sites M2M).
+        if ([] !== $siteIds) {
+            $qb->andWhere('site.id IN (:siteIds)')->setParameter('siteIds', $siteIds);
+        }
+
+        // ?storageTypeId= : filtre par type de stockage precis (id).
+        if (null !== $storageTypeId) {
+            $qb->andWhere('st.id = :storageTypeId')->setParameter('storageTypeId', $storageTypeId);
+        }
+
+        // ?state= : appartenance a la colonne JSONB `states`. DQL ne sait pas exprimer
+        // la containment jsonb -> on resout les ids matchant en SQL natif (operateur
+        // @>), puis on contraint le QueryBuilder. Ids vides -> condition toujours
+        // fausse (aucun stockage), sans casser le reste de la requete.
+        if (null !== $state) {
+            $stateIds = $this->matchingStateIds($state);
+            if ([] === $stateIds) {
+                $qb->andWhere('1 = 0');
+            } else {
+                $qb->andWhere('s.id IN (:stateIds)')->setParameter('stateIds', $stateIds);
+            }
+        }
+
+        return $qb;
+    }
+
+    /**
+     * Ids des stockages dont la colonne JSONB `states` contient l'etat donne, via
+     * l'operateur de containment Postgres `@>`. L'etat est borne a l'enum
+     * {RECEPTION, PRODUCTION, TRIAGE} en amont (StorageProvider) — pas de saisie
+     * libre ici.
+     *
+     * @return list<int>
+     */
+    private function matchingStateIds(string $state): array
+    {
+        $rows = $this->getEntityManager()->getConnection()
+            ->executeQuery(
+                'SELECT id FROM storage WHERE states @> CAST(:state AS JSONB)',
+                ['state' => (string) json_encode([$state])],
+            )
+            ->fetchFirstColumn()
+        ;
+
+        return array_map(static fn (mixed $id): int => (int) $id, $rows);
+    }
+}

src/Shared/Infrastructure/Database/ColumnCommentsCatalog.php

@@ -610,6 +610,20 @@ final class ColumnCommentsCatalog
                 'product_id'      => 'FK -> product.id, ON DELETE CASCADE — produit concerne.',
                 'storage_type_id' => 'FK -> storage_type.id, ON DELETE RESTRICT — type de stockage rattache au produit.',
             ],
+
+            // M7 Catalog (ERP-212) — table desormais mappee par l'entite Storage :
+            // schema:update (test) la recree sans COMMENT -> app:apply-column-comments
+            // les rejoue depuis ce catalogue. Strings identiques aux COMMENT de la
+            // migration Version20260629120000 (ERP-211).
+            'storage' => [
+                '_table'          => 'Emplacements de stockage (M7 Catalog) — un stockage = 1 site + 1 type (storage_type) + 1 numero, etats multi-valeur JSONB, soft-delete + Timestampable/Blamable.',
+                'id'              => 'Identifiant interne auto-incremente.',
+                'site_id'         => 'Site du stockage. FK -> site.id, ON DELETE RESTRICT. Composante de l unicite metier (RG-7.01).',
+                'storage_type_id' => 'Type de stockage (referentiel M6). FK -> storage_type.id, ON DELETE RESTRICT. Composante de l unicite metier (RG-7.01).',
+                'numero'          => 'Numero du stockage (≤ 50), saisi. Unique par (site, type) parmi les actifs (RG-7.01, uq_storage_site_type_numero_active). Normalise serveur.',
+                'states'          => 'Etats du stockage (JSON) : tableau non vide (>= 1 element, RG-7.04, chk_storage_states_not_empty). Multi-valeur.',
+                'deleted_at'      => 'Horodatage du soft-delete technique — null = ligne active. Une ligne supprimee sort de l unicite metier (index partiel uq_storage_site_type_numero_active).',
+            ] + self::timestampableBlamableComments(),
         ];
     }
 

src/Shared/Infrastructure/Export/PhpSpreadsheetExporter.php

@@ -5,10 +5,15 @@ declare(strict_types=1);
 namespace App\Shared\Infrastructure\Export;
 
 use App\Shared\Domain\Contract\SpreadsheetExporterInterface;
+use PhpOffice\PhpSpreadsheet\Cell\Coordinate;
+use PhpOffice\PhpSpreadsheet\Cell\DataType;
 use PhpOffice\PhpSpreadsheet\Spreadsheet;
+use PhpOffice\PhpSpreadsheet\Worksheet\Worksheet;
 use PhpOffice\PhpSpreadsheet\Writer\Xlsx;
 use RuntimeException;
 
+use function is_string;
+
 /**
  * Implementation XLSX du contrat d'export via la librairie PhpSpreadsheet.
  *
@@ -31,19 +36,45 @@ final class PhpSpreadsheetExporter implements SpreadsheetExporterInterface
         $sheet->setTitle($this->sanitizeSheetTitle($sheetTitle));
 
         // Ligne 1 : en-tete.
-        $sheet->fromArray($headers, null, 'A1');
+        $this->writeRow($sheet, $headers, 1);
 
         // Lignes 2..n : donnees. Iteration manuelle pour supporter un iterable
         // paresseux (generator) sans tout materialiser en memoire.
         $rowNumber = 2;
         foreach ($rows as $row) {
-            $sheet->fromArray($row, null, 'A'.$rowNumber);
+            $this->writeRow($sheet, $row, $rowNumber);
             ++$rowNumber;
         }
 
         return $this->toBinary($spreadsheet);
     }
 
+    /**
+     * Ecrit une ligne cellule par cellule. Toute valeur CHAINE est ecrite en type
+     * STRING explicite (jamais interpretee comme formule), ce qui neutralise
+     * l'injection de formules / DDE (« CSV / Formula injection ») : une cellule dont
+     * la valeur commence par `=` `+` `-` `@` (saisie utilisateur, ex. un numero) n'est
+     * pas evaluee a l'ouverture du fichier, et ce SANS apostrophe visible. Les valeurs
+     * non-chaines (int / float / null) gardent leur type naturel.
+     *
+     * @param list<null|scalar> $row
+     */
+    private function writeRow(Worksheet $sheet, array $row, int $rowNumber): void
+    {
+        $column = 1;
+        foreach ($row as $value) {
+            $coordinate = Coordinate::stringFromColumnIndex($column).$rowNumber;
+
+            if (is_string($value)) {
+                $sheet->setCellValueExplicit($coordinate, $value, DataType::TYPE_STRING);
+            } else {
+                $sheet->setCellValue($coordinate, $value);
+            }
+
+            ++$column;
+        }
+    }
+
     private function toBinary(Spreadsheet $spreadsheet): string
     {
         $writer = new Xlsx($spreadsheet);

tests/Architecture/EntityConstraintsHaveFrenchMessageTest.php

@@ -92,6 +92,7 @@ final class EntityConstraintsHaveFrenchMessageTest extends TestCase
         Assert\NotNull::class,
         Assert\Email::class,
         Assert\Choice::class,
+        Assert\Unique::class,
         Assert\Regex::class,
         Assert\Bic::class,
         Assert\Iban::class,

tests/Module/Catalog/Api/AbstractStorageApiTestCase.php

@@ -0,0 +1,202 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use ApiPlatform\Symfony\Bundle\Test\Client;
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Entity\StorageType;
+use App\Module\Sites\Domain\Entity\Site;
+use DateTimeImmutable;
+use Symfony\Contracts\HttpClient\ResponseInterface;
+
+/**
+ * Classe de base des tests fonctionnels de l'entite Storage (M7, module Catalog).
+ *
+ * Etend la base Catalog (helpers d'auth + personas metier) et ajoute ce qu'il faut
+ * pour exercer l'API stockage de bout en bout :
+ *  - `seedStorageType()` : type de stockage de test (code prefixe pour cleanup).
+ *  - `firstSite()` / `siteByCode()` : sites fixtures (86 / 17 / 82).
+ *  - `authView()` : user non-admin portant la permission `catalog.storages.view`.
+ *  - `validStoragePayload()` : payload POST de reference (IRIs site / storageType),
+ *    surchargeable par cle.
+ *  - `seedStorageEntity()` : seede un stockage via l'EM (id existant, soft-deleted).
+ *  - `iri()` / `memberById()` / `violationPaths()` : utilitaires Hydra.
+ *
+ * Cleanup : on purge les stockages (toute la table — aucune fixture stockage en env
+ * test) AVANT le parent, car storage reference site / storage_type en FK ON DELETE
+ * RESTRICT. Les types de stockage de test (prefixe code) sont purges dans la foulee.
+ *
+ * @internal
+ */
+abstract class AbstractStorageApiTestCase extends AbstractCatalogApiTestCase
+{
+    protected const string LD    = 'application/ld+json';
+    protected const string MERGE = 'application/merge-patch+json';
+
+    /** Prefixe des codes de StorageType seedes par ces tests (purge ciblee). */
+    protected const string TEST_STORAGE_TYPE_PREFIX = 'TESTSTO';
+
+    protected function tearDown(): void
+    {
+        $em = $this->getEm();
+
+        // Stockages d'abord : ils referencent site / storage_type en FK RESTRICT.
+        $em->createQuery('DELETE FROM '.Storage::class)->execute();
+
+        // Types de stockage de test (prefixe code).
+        $em->createQuery('DELETE FROM '.StorageType::class.' s WHERE s.code LIKE :prefix')
+            ->setParameter('prefix', self::TEST_STORAGE_TYPE_PREFIX.'%')
+            ->execute()
+        ;
+
+        parent::tearDown();
+    }
+
+    /**
+     * Cree un type de stockage de test (code prefixe TESTSTO pour le cleanup).
+     */
+    protected function seedStorageType(string $label = 'Cellule test'): StorageType
+    {
+        $em = $this->getEm();
+
+        $storageType = new StorageType();
+        $storageType->setCode($this->uniqueCode(self::TEST_STORAGE_TYPE_PREFIX));
+        $storageType->setLabel($label);
+
+        $em->persist($storageType);
+        $em->flush();
+
+        return $storageType;
+    }
+
+    protected function siteByCode(string $code): Site
+    {
+        $site = $this->getEm()->getRepository(Site::class)->findOneBy(['code' => $code]);
+        self::assertInstanceOf(Site::class, $site, sprintf('Le site de code "%s" doit etre seede.', $code));
+
+        return $site;
+    }
+
+    protected function firstSite(): Site
+    {
+        $site = $this->getEm()->getRepository(Site::class)->findOneBy([]);
+        self::assertInstanceOf(Site::class, $site, 'Un site fixture est requis (SitesFixtures).');
+
+        return $site;
+    }
+
+    /**
+     * Client non-admin portant seulement `catalog.storages.view`.
+     */
+    protected function authView(): Client
+    {
+        $creds = $this->createUserWithPermission('catalog.storages.view');
+
+        return $this->authenticatedClient($creds['username'], $creds['password']);
+    }
+
+    /**
+     * Payload POST de reference : un stockage valide (1 site, 1 type, 1 numero,
+     * 1 etat). Surchargeable par cle via $overrides (ex: ['numero' => 'A1']).
+     *
+     * @param array<string, mixed> $overrides
+     *
+     * @return array<string, mixed>
+     */
+    protected function validStoragePayload(array $overrides = []): array
+    {
+        $site        = $this->firstSite();
+        $storageType = $this->seedStorageType();
+
+        $base = [
+            'site'        => $this->iri('sites', (int) $site->getId()),
+            'storageType' => $this->iri('storage_types', (int) $storageType->getId()),
+            'numero'      => $this->uniqueCode('NUM'),
+            'states'      => [Storage::STATE_RECEPTION],
+        ];
+
+        return array_replace($base, $overrides);
+    }
+
+    /**
+     * Seede un stockage directement via l'EM (bypass Processor/Validator). Utile pour
+     * disposer d'un id existant (RBAC item, PATCH) ou d'un stockage soft-deleted
+     * (reutilisation du triplet — RG-7.01). Le site / le type manquants sont crees
+     * a la volee.
+     *
+     * @param list<string> $states
+     */
+    protected function seedStorageEntity(
+        ?string $numero = null,
+        array $states = [Storage::STATE_RECEPTION],
+        ?DateTimeImmutable $deletedAt = null,
+        ?Site $site = null,
+        ?StorageType $storageType = null,
+    ): Storage {
+        $em   = $this->getEm();
+        $site ??= $this->firstSite();
+
+        $storage = new Storage();
+        $storage->setSite($em->getReference(Site::class, (int) $site->getId()));
+        $storage->setStorageType($storageType ?? $this->seedStorageType('Seed'));
+        $storage->setNumero($numero ?? $this->uniqueCode('NUM'));
+        $storage->setStates($states);
+        $storage->setDeletedAt($deletedAt);
+
+        $em->persist($storage);
+        $em->flush();
+
+        return $storage;
+    }
+
+    /**
+     * Construit un IRI API Platform (`/api/{resource}/{id}`).
+     */
+    protected function iri(string $resource, int $id): string
+    {
+        return sprintf('/api/%s/%d', $resource, $id);
+    }
+
+    /**
+     * Identifiant unique de test (prefixe + nonce), deja en MAJUSCULE.
+     */
+    protected function uniqueCode(string $prefix): string
+    {
+        return $prefix.'_'.strtoupper(substr(bin2hex(random_bytes(5)), 0, 10));
+    }
+
+    /**
+     * Extrait les `propertyPath` des violations d'une reponse 422.
+     *
+     * @return list<string>
+     */
+    protected function violationPaths(ResponseInterface $response): array
+    {
+        $body = $response->toArray(false);
+
+        return array_values(array_map(
+            static fn (array $violation): string => (string) ($violation['propertyPath'] ?? ''),
+            $body['violations'] ?? [],
+        ));
+    }
+
+    /**
+     * Retrouve un membre d'une collection Hydra par son id (ou null).
+     *
+     * @param array<string, mixed> $list
+     *
+     * @return null|array<string, mixed>
+     */
+    protected function memberById(array $list, int $id): ?array
+    {
+        foreach ($list['member'] ?? [] as $member) {
+            if (($member['id'] ?? null) === $id) {
+                return $member;
+            }
+        }
+
+        return null;
+    }
+}

tests/Module/Catalog/Api/StorageDisplayNameTest.php

@@ -0,0 +1,39 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+
+/**
+ * RG-7.05 : `displayName` (getter virtuel, non persiste) = « <label du type> <numero> ».
+ *
+ * On asserte sur le CORPS JSON reel renvoye par l'API (pas sur le getter PHP), pour
+ * figer le contrat consomme par le front.
+ *
+ * @internal
+ */
+final class StorageDisplayNameTest extends AbstractStorageApiTestCase
+{
+    public function testDisplayNameConcatenatesLabelAndNumero(): void
+    {
+        $site   = $this->firstSite();
+        $type   = $this->seedStorageType('Boisseau');
+        $numero = $this->uniqueCode('NUM');
+
+        $client  = $this->createAdminClient();
+        $created = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => [
+                'site'        => $this->iri('sites', (int) $site->getId()),
+                'storageType' => $this->iri('storage_types', (int) $type->getId()),
+                'numero'      => $numero,
+                'states'      => [Storage::STATE_RECEPTION],
+            ],
+        ])->toArray();
+
+        self::assertResponseStatusCodeSame(201);
+        self::assertSame('Boisseau '.$numero, $created['displayName'] ?? null);
+    }
+}

tests/Module/Catalog/Api/StorageExportControllerTest.php

@@ -0,0 +1,248 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+use DateTimeImmutable;
+use PhpOffice\PhpSpreadsheet\IOFactory;
+
+/**
+ * Tests fonctionnels de l'export XLSX des stockages (M7, § 4.5) — ERP-214.
+ *
+ * Couvre : reponse 200 (Content-Type + Content-Disposition + en-tetes de colonnes),
+ * exclusion des stockages soft-deleted par defaut (RG-7.07), respect des filtres
+ * ?search (numero) / ?storageTypeId / ?state, peuplement des colonnes metier
+ * (displayName, site « Nom (Code) », type, numero, etats joints, dates), 403 sans
+ * catalog.storages.view, 401 anonyme.
+ *
+ * @internal
+ */
+final class StorageExportControllerTest extends AbstractStorageApiTestCase
+{
+    private const string XLSX_MIME  = 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet';
+    private const string EXPORT_URL = '/api/storages/export.xlsx';
+
+    public function testExportReturnsXlsxResponseWithHeaderRow(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('NUM-A');
+
+        $response = $client->request('GET', self::EXPORT_URL);
+
+        self::assertResponseIsSuccessful();
+        $headers = $response->getHeaders(false);
+        self::assertStringContainsString(self::XLSX_MIME, $headers['content-type'][0] ?? '');
+
+        $disposition = $headers['content-disposition'][0] ?? '';
+        self::assertStringContainsString('attachment; filename="stockages-', $disposition);
+        self::assertMatchesRegularExpression('/filename="stockages-\d{8}\.xlsx"/', $disposition);
+
+        // Le binaire est un XLSX relisible dont la 1re ligne porte les en-tetes (§ 4.5).
+        $headerCells = $this->gridFromResponse($response->getContent())[0];
+        self::assertSame('Nom', $headerCells[0]);
+        self::assertSame('Site', $headerCells[1]);
+        self::assertSame('Type de stockage', $headerCells[2]);
+        self::assertSame('Numéro', $headerCells[3]);
+        self::assertSame('États', $headerCells[4]);
+        self::assertSame('Créé le', $headerCells[5]);
+        self::assertSame('Modifié le', $headerCells[6]);
+
+        // Au moins une ligne de donnees (le stockage seede) reperee par son numero.
+        self::assertContains('NUM-A', $this->numeros($response->getContent()));
+    }
+
+    public function testExportExcludesSoftDeletedByDefault(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('NUM-ACTIVE');
+        $this->seedStorageEntity('NUM-DELETED', deletedAt: new DateTimeImmutable());
+
+        $numeros = $this->numeros($client->request('GET', self::EXPORT_URL)->getContent());
+
+        self::assertContains('NUM-ACTIVE', $numeros);
+        self::assertNotContains('NUM-DELETED', $numeros);
+    }
+
+    public function testExportRespectsSearchFilter(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('ALPHA-1');
+        $this->seedStorageEntity('BETA-2');
+
+        $numeros = $this->numeros(
+            $client->request('GET', self::EXPORT_URL.'?search=alpha')->getContent(),
+        );
+
+        self::assertContains('ALPHA-1', $numeros);
+        self::assertNotContains('BETA-2', $numeros);
+    }
+
+    public function testExportRespectsStorageTypeFilter(): void
+    {
+        $client = $this->createAdminClient();
+
+        $typeA = $this->seedStorageType('Cellule A');
+        $typeB = $this->seedStorageType('Cellule B');
+        $this->seedStorageEntity('TYPE-A', storageType: $typeA);
+        $this->seedStorageEntity('TYPE-B', storageType: $typeB);
+
+        $numeros = $this->numeros(
+            $client->request('GET', self::EXPORT_URL.'?storageTypeId='.$typeA->getId())->getContent(),
+        );
+
+        self::assertContains('TYPE-A', $numeros);
+        self::assertNotContains('TYPE-B', $numeros);
+    }
+
+    public function testExportRespectsStateFilter(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('STATE-PROD', [Storage::STATE_PRODUCTION]);
+        $this->seedStorageEntity('STATE-RECEP', [Storage::STATE_RECEPTION]);
+
+        $numeros = $this->numeros(
+            $client->request('GET', self::EXPORT_URL.'?state=PRODUCTION')->getContent(),
+        );
+
+        self::assertContains('STATE-PROD', $numeros);
+        self::assertNotContains('STATE-RECEP', $numeros);
+    }
+
+    public function testExportPopulatesAllBusinessColumns(): void
+    {
+        $client = $this->createAdminClient();
+
+        $site = $this->firstSite();
+        $type = $this->seedStorageType('Cellule');
+        $this->seedStorageEntity(
+            'C3',
+            [Storage::STATE_RECEPTION, Storage::STATE_TRIAGE],
+            site: $site,
+            storageType: $type,
+        );
+
+        $row = $this->rowForNumero($client->request('GET', self::EXPORT_URL)->getContent(), 'C3');
+        self::assertNotNull($row, 'Le stockage seede est absent de l\'export.');
+
+        // 0 Nom | 1 Site | 2 Type | 3 Numéro | 4 États | 5 Créé le | 6 Modifié le
+        self::assertSame('Cellule C3', $row[0]);
+        self::assertSame(sprintf('%s (%s)', $site->getName(), $site->getCode()), $row[1]);
+        self::assertSame('Cellule', $row[2]);
+        self::assertSame('C3', $row[3]);
+        // Ordre canonique (Réception avant Triage) independamment de l'ordre en base.
+        self::assertSame('Réception, Triage', $row[4]);
+        // Dates renseignees (Timestampable) au format jj/mm/aaaa hh:mm.
+        self::assertMatchesRegularExpression('#^\d{2}/\d{2}/\d{4} \d{2}:\d{2}$#', (string) $row[5]);
+        self::assertMatchesRegularExpression('#^\d{2}/\d{2}/\d{4} \d{2}:\d{2}$#', (string) $row[6]);
+    }
+
+    public function testFormulaInjectionIsNeutralized(): void
+    {
+        $client = $this->createAdminClient();
+
+        // Numero malicieux commencant par « = » (injection de formule / DDE). Seede en
+        // direct (le numero contournerait de toute facon le normalizer, qui ne fait
+        // qu'un trim). L'export doit le restituer comme TEXTE litteral, jamais comme
+        // une formule evaluee : si la cellule etait une formule, IOFactory::load la
+        // calculerait (resultat 3 ou erreur) et « =1+2 » serait absent de la colonne.
+        $this->seedStorageEntity('=1+2');
+
+        $numeros = $this->numeros($client->request('GET', self::EXPORT_URL)->getContent());
+
+        self::assertContains('=1+2', $numeros, 'Le numero « =1+2 » doit etre stocke en texte, pas evalue.');
+    }
+
+    public function testExportKeepsSearchTermZero(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('0');
+        $this->seedStorageEntity('X1');
+
+        // « 0 » est un numero valide : le filtre ?search=0 NE DOIT PAS etre coerce a
+        // null (parite stricte avec la liste a l'ecran via StorageListFilters).
+        $numeros = $this->numeros($client->request('GET', self::EXPORT_URL.'?search=0')->getContent());
+
+        self::assertContains('0', $numeros);
+        self::assertNotContains('X1', $numeros);
+    }
+
+    public function testExportToleratesArrayShapedScalarParam(): void
+    {
+        $client = $this->createAdminClient();
+        $this->seedStorageEntity('NUM-ARR');
+
+        // ?search[]=foo : parametre tableau la ou un scalaire est attendu. L'export ne
+        // doit pas planter en 400 (la liste le tolere) : la valeur est simplement
+        // ignoree -> 200 avec tous les stockages.
+        $response = $client->request('GET', self::EXPORT_URL.'?search[]=foo');
+
+        self::assertResponseIsSuccessful();
+        self::assertContains('NUM-ARR', $this->numeros($response->getContent()));
+    }
+
+    public function testForbiddenWithoutStoragesViewPermission(): void
+    {
+        $creds  = $this->createUserWithPermission('core.users.view');
+        $client = $this->authenticatedClient($creds['username'], $creds['password']);
+
+        $client->request('GET', self::EXPORT_URL);
+
+        self::assertResponseStatusCodeSame(403);
+    }
+
+    public function testUnauthorizedWhenAnonymous(): void
+    {
+        $client = self::createClient();
+        $client->request('GET', self::EXPORT_URL);
+
+        self::assertResponseStatusCodeSame(401);
+    }
+
+    /**
+     * Relit le binaire XLSX d'une reponse et renvoie la grille de cellules.
+     *
+     * @return array<int, array<int, mixed>>
+     */
+    private function gridFromResponse(string $binary): array
+    {
+        $tmp = tempnam(sys_get_temp_dir(), 'xlsx_storage_export_test_');
+        self::assertIsString($tmp);
+        file_put_contents($tmp, $binary);
+
+        try {
+            return IOFactory::load($tmp)->getActiveSheet()->toArray();
+        } finally {
+            @unlink($tmp);
+        }
+    }
+
+    /**
+     * Extrait la colonne « Numéro » (4e colonne, index 3) des lignes de donnees.
+     *
+     * @return list<string>
+     */
+    private function numeros(string $binary): array
+    {
+        $rows = array_slice($this->gridFromResponse($binary), 1); // saute l'en-tete
+
+        return array_values(array_map(static fn (array $row): string => (string) ($row[3] ?? ''), $rows));
+    }
+
+    /**
+     * Renvoie la ligne de donnees dont la colonne « Numéro » vaut $numero, ou null.
+     *
+     * @return null|array<int, mixed>
+     */
+    private function rowForNumero(string $binary, string $numero): ?array
+    {
+        foreach (array_slice($this->gridFromResponse($binary), 1) as $row) {
+            if ((string) ($row[3] ?? '') === $numero) {
+                return $row;
+            }
+        }
+
+        return null;
+    }
+}

tests/Module/Catalog/Api/StorageRBACMatrixTest.php

@@ -0,0 +1,90 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+/**
+ * RBAC du stockage (M7, ERP-210 — admin-only). Jumeau du ProductRBACMatrixTest.
+ *
+ * La matrice est volontairement tres restrictive : seul l'Admin porte
+ * `catalog.storages.view` / `.manage`. Les 4 personas metier MALIO (Bureau, Compta,
+ * Commerciale, Usine) n'ont AUCUNE permission stockage -> 403 partout. Un porteur de
+ * `view` lit (200) mais ne peut pas creer (403). Anonyme -> 401.
+ *
+ * @internal
+ */
+final class StorageRBACMatrixTest extends AbstractStorageApiTestCase
+{
+    /** Personas metier sans permission stockage (admin-only). */
+    private const array PERSONAS = ['Bureau', 'Compta', 'Commerciale', 'Usine'];
+
+    public function testAdminHasFullAccess(): void
+    {
+        $client = $this->createAdminClient();
+
+        $client->request('GET', '/api/storages', ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(200);
+
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(),
+        ]);
+        self::assertResponseStatusCodeSame(201);
+    }
+
+    public function testBusinessPersonasAreForbiddenEverywhere(): void
+    {
+        $storage = $this->seedStorageEntity();
+        $id      = (int) $storage->getId();
+
+        foreach (self::PERSONAS as $persona) {
+            $client = $this->createPersonaClient($persona);
+
+            $client->request('GET', '/api/storages', ['headers' => ['Accept' => self::LD]]);
+            self::assertResponseStatusCodeSame(403, $persona.' ne doit pas lister les stockages.');
+
+            $client->request('GET', '/api/storages/'.$id, ['headers' => ['Accept' => self::LD]]);
+            self::assertResponseStatusCodeSame(403, $persona.' ne doit pas consulter un stockage.');
+
+            $client->request('POST', '/api/storages', [
+                'headers' => ['Content-Type' => self::LD],
+                'json'    => $this->validStoragePayload(),
+            ]);
+            self::assertResponseStatusCodeSame(403, $persona.' ne doit pas creer de stockage.');
+
+            $client->request('PATCH', '/api/storages/'.$id, [
+                'headers' => ['Content-Type' => self::MERGE],
+                'json'    => ['numero' => 'X'],
+            ]);
+            self::assertResponseStatusCodeSame(403, $persona.' ne doit pas modifier un stockage.');
+        }
+    }
+
+    public function testViewPermissionReadsButCannotManage(): void
+    {
+        $storage = $this->seedStorageEntity();
+        $client  = $this->authView();
+
+        $client->request('GET', '/api/storages', ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(200);
+
+        $client->request('GET', '/api/storages/'.$storage->getId(), ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(200);
+
+        // view sans manage : creation refusee au niveau securite (403).
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(),
+        ]);
+        self::assertResponseStatusCodeSame(403);
+    }
+
+    public function testAnonymousIsUnauthorized(): void
+    {
+        $client = self::createClient();
+
+        $client->request('GET', '/api/storages', ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(401);
+    }
+}

tests/Module/Catalog/Api/StorageSerializationContractTest.php

@@ -0,0 +1,143 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+use DateTimeImmutable;
+
+/**
+ * Contrat de serialisation du stockage (M7, spec-back § 4.0 / § 4.0.bis).
+ * Jumeau du ProductSerializationContractTest (M6).
+ *
+ * Capture le JSON REEL (liste + detail) via un stockage cree par l'API (POST reel,
+ * normalisation serveur reelle) et reverifie les pieges du RETEX M1 transposes au
+ * M7 :
+ *  #1 : `site` sort en OBJET embarque (site:read), jamais en IRI nu.
+ *  #2 : `storageType` sort en OBJET embarque (storage_type:read), jamais en IRI nu.
+ *  #3 : `states` = tableau de chaines.
+ *  #4 : `displayName` present et correct (RG-7.05 : « <label> <numero> »).
+ *
+ * REGLE D'OR : on asserte sur le CORPS JSON reel, jamais sur les annotations.
+ * DoD (§ 4.0.bis) : avec STORAGE_DOD_DUMP positionnee, ecrit les corps liste +
+ * detail sous /tmp pour les coller dans la spec avant les ecrans front.
+ *
+ * @internal
+ */
+final class StorageSerializationContractTest extends AbstractStorageApiTestCase
+{
+    public function testListAndDetailSerializationContract(): void
+    {
+        $client = $this->createAdminClient();
+
+        $site   = $this->firstSite();
+        $type   = $this->seedStorageType('Cellule');
+        $numero = $this->uniqueCode('NUM');
+
+        // Stockage cree par un POST reel (2 etats pour exercer le tableau).
+        $created = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => [
+                'site'        => $this->iri('sites', (int) $site->getId()),
+                'storageType' => $this->iri('storage_types', (int) $type->getId()),
+                'numero'      => $numero,
+                'states'      => [Storage::STATE_RECEPTION, Storage::STATE_TRIAGE],
+            ],
+        ])->toArray();
+
+        self::assertResponseStatusCodeSame(201);
+        $id = (int) $created['id'];
+
+        $detail = $client->request('GET', '/api/storages/'.$id, [
+            'headers' => ['Accept' => self::LD],
+        ])->toArray();
+        $list = $client->request('GET', '/api/storages?search='.$numero, [
+            'headers' => ['Accept' => self::LD],
+        ])->toArray();
+
+        // Enveloppe Hydra AP4 (member/totalItems sans prefixe hydra:).
+        self::assertArrayHasKey('member', $list);
+        self::assertArrayNotHasKey('hydra:member', $list);
+
+        $row = $this->memberById($list, $id);
+        self::assertNotNull($row, 'Le stockage cree doit apparaitre dans la liste filtree.');
+
+        // === Piege #1 : site en OBJET embarque (pas IRI nu) ===
+        self::assertIsArray($row['site'], 'site doit etre un objet embarque (site:read), pas un IRI nu.');
+        self::assertArrayHasKey('name', $row['site']);
+        self::assertArrayHasKey('code', $row['site']);
+
+        // === Piege #2 : storageType en OBJET embarque (pas IRI nu) ===
+        self::assertIsArray($row['storageType'], 'storageType doit etre un objet embarque (storage_type:read), pas un IRI nu.');
+        self::assertArrayHasKey('label', $row['storageType']);
+        self::assertSame('Cellule', $row['storageType']['label']);
+
+        // === Piege #3 : states tableau de chaines ===
+        self::assertSame([Storage::STATE_RECEPTION, Storage::STATE_TRIAGE], $row['states']);
+
+        // === Piege #4 : displayName present + correct (RG-7.05) ===
+        self::assertArrayHasKey('displayName', $row);
+        self::assertSame('Cellule '.$numero, $row['displayName']);
+
+        // === Piege #5 : le soft-delete n'est JAMAIS expose (§ 2.8) ===
+        // `deletedAt` n'appartient a aucun groupe de lecture : un test « contrat » doit
+        // garantir son ABSENCE, pas seulement la presence des champs attendus — sinon
+        // un ajout accidentel a storage:read passerait au vert. (createdBy/updatedBy
+        // sont, eux, exposes a dessein via la convention `default:read` du Trait
+        // Timestampable/Blamable — au meme titre que createdAt/updatedAt.)
+        self::assertArrayNotHasKey('deletedAt', $row, 'deletedAt ne doit pas etre expose en liste (§ 2.8).');
+        self::assertArrayNotHasKey('deletedAt', $detail, 'deletedAt ne doit pas etre expose en detail (§ 2.8).');
+
+        // === DETAIL : memes garanties d'embarquement ===
+        self::assertIsArray($detail['site']);
+        self::assertArrayHasKey('name', $detail['site']);
+        self::assertIsArray($detail['storageType']);
+        self::assertArrayHasKey('label', $detail['storageType']);
+        self::assertSame([Storage::STATE_RECEPTION, Storage::STATE_TRIAGE], $detail['states']);
+        self::assertSame('Cellule '.$numero, $detail['displayName']);
+
+        $this->dumpDodIfRequested($list, $detail);
+    }
+
+    /**
+     * RG-7.07 : la liste (et le detail) n'exposent JAMAIS un stockage soft-deleted.
+     * On seede 1 actif + 1 supprime pour que l'assertion de liste soit discriminante
+     * (sinon, avec une collection vide, « absent » ne distingue pas l'exclusion du
+     * soft-delete d'une page vide).
+     */
+    public function testSoftDeletedIsNotExposed(): void
+    {
+        $active  = $this->seedStorageEntity('SD-ACTIVE');
+        $deleted = $this->seedStorageEntity('SD-DELETED', deletedAt: new DateTimeImmutable());
+
+        $client = $this->createAdminClient();
+
+        // Item soft-deleted -> 404 (§ 2.8).
+        $client->request('GET', '/api/storages/'.$deleted->getId(), ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(404);
+
+        // Collection : l'actif est present, le supprime est absent (RG-7.07).
+        $list = $client->request('GET', '/api/storages', ['headers' => ['Accept' => self::LD]])->toArray();
+        self::assertNotNull($this->memberById($list, (int) $active->getId()), 'Le stockage actif doit etre liste.');
+        self::assertNull($this->memberById($list, (int) $deleted->getId()), 'Le stockage soft-deleted ne doit pas etre liste.');
+    }
+
+    /**
+     * DoD (§ 4.0.bis) : ecrit les corps JSON reels sous /tmp si STORAGE_DOD_DUMP est
+     * positionnee (sinon no-op). A coller dans spec-back.md § 4.0.bis.
+     *
+     * @param array<string, mixed> $list
+     * @param array<string, mixed> $detail
+     */
+    private function dumpDodIfRequested(array $list, array $detail): void
+    {
+        if (false === getenv('STORAGE_DOD_DUMP')) {
+            return;
+        }
+
+        $flags = JSON_PRETTY_PRINT | JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES;
+        file_put_contents('/tmp/storage-dod-list.json', json_encode($list, $flags));
+        file_put_contents('/tmp/storage-dod-detail.json', json_encode($detail, $flags));
+    }
+}

tests/Module/Catalog/Api/StorageStatesValidationTest.php

@@ -0,0 +1,111 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+
+/**
+ * RG-7.04 : `states` = multi-select ⊆ {RECEPTION, PRODUCTION, TRIAGE}, au moins 1
+ * requis. RG-7.08 : le PATCH applique les memes regles que le POST.
+ *
+ * Couvre :
+ *  - tableau d'etats vide -> 422 (Assert\Count(min: 1)) sur le champ `states` ;
+ *  - valeur hors enum -> 422 (Assert\Choice) sur le champ `states` ;
+ *  - un seul etat valide -> 201 (borne basse acceptee) ;
+ *  - PATCH vers un tableau d'etats vide -> 422 (RG-7.08).
+ *
+ * @internal
+ */
+final class StorageStatesValidationTest extends AbstractStorageApiTestCase
+{
+    public function testEmptyStatesIsRejected(): void
+    {
+        $client = $this->createAdminClient();
+
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['states' => []]),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('states', $this->violationPaths($response));
+    }
+
+    public function testUnknownStateValueIsRejected(): void
+    {
+        $client = $this->createAdminClient();
+
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['states' => [Storage::STATE_RECEPTION, 'FOOBAR']]),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('states', $this->violationPaths($response));
+    }
+
+    public function testSingleValidStateIsAccepted(): void
+    {
+        $client = $this->createAdminClient();
+
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['states' => [Storage::STATE_PRODUCTION]]),
+        ]);
+
+        self::assertResponseStatusCodeSame(201);
+    }
+
+    public function testPatchToEmptyStatesIsRejected(): void
+    {
+        $storage = $this->seedStorageEntity();
+
+        // RG-7.08 : la regle RG-7.04 vaut aussi en edition.
+        $client   = $this->createAdminClient();
+        $response = $client->request('PATCH', '/api/storages/'.$storage->getId(), [
+            'headers' => ['Content-Type' => self::MERGE],
+            'json'    => ['states' => []],
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('states', $this->violationPaths($response));
+    }
+
+    public function testDuplicateStatesAreRejected(): void
+    {
+        $client = $this->createAdminClient();
+
+        // Doublon dans le multi-select : 422 (Assert\Unique), pas un stockage avec un
+        // tableau d'etats incoherent (RG-7.04 = sous-ensemble).
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload([
+                'states' => [Storage::STATE_TRIAGE, Storage::STATE_TRIAGE],
+            ]),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('states', $this->violationPaths($response));
+    }
+
+    public function testNonSequentialStatesDoNotCrash(): void
+    {
+        $client = $this->createAdminClient();
+
+        // `states` envoye comme OBJET JSON (cle non sequentielle) : auparavant
+        // persiste tel quel en JSONB objet -> le CHECK jsonb_array_length plantait en
+        // 500. Doit desormais etre renormalise en liste sequentielle (array_values du
+        // setter), donc accepte proprement sans 500.
+        $created = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload([
+                'states' => [7 => Storage::STATE_RECEPTION],
+            ]),
+        ])->toArray();
+
+        self::assertResponseStatusCodeSame(201);
+        self::assertSame([Storage::STATE_RECEPTION], $created['states']);
+    }
+}

tests/Module/Catalog/Api/StorageTypeBySiteTest.php

@@ -0,0 +1,34 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+/**
+ * RG-7.03 : « le type de stockage doit etre disponible sur le site choisi ».
+ *
+ * VOLONTAIREMENT NON IMPLEMENTEE (decision validee avec Tristan, ERP-213) : le
+ * concept type<->site a ete RETIRE du modele en M6. La jointure storage_type_site a
+ * ete droppee (migration Version20260626100000) et StorageType est devenu un
+ * referentiel PLAT, sans relation `sites` — l'entite le documente explicitement
+ * (« un type n'est PAS rattache a des sites ; la dispo releve de la future entite
+ * Stockage »). C'est desormais l'entite Storage (1 site + 1 type) qui MATERIALISE
+ * cette disponibilite ; il n'existe plus de referentiel a interroger pour lever une
+ * 422. RG-7.03 est donc inimplementable telle quelle.
+ *
+ * Ce test est conserve (skippe) pour la TRACABILITE DoD : il documente le gap dans
+ * la suite et devra etre reactive si la spec reintroduit un lien type<->site.
+ *
+ * @internal
+ */
+final class StorageTypeBySiteTest extends AbstractStorageApiTestCase
+{
+    public function testTypeUnavailableOnSiteIsRejected(): void
+    {
+        self::markTestSkipped(
+            'RG-7.03 non portee : StorageType est un referentiel plat depuis le M6 '
+            .'(jointure storage_type_site droppee). Aucun referentiel type<->site a '
+            .'interroger. A reclarifier cote spec (cf. ERP-213).',
+        );
+    }
+}

tests/Module/Catalog/Api/StorageUniquenessTest.php

@@ -0,0 +1,121 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+use App\Module\Catalog\Domain\Entity\Storage;
+use App\Module\Catalog\Domain\Entity\StorageType;
+use App\Module\Sites\Domain\Entity\Site;
+use DateTimeImmutable;
+
+use function count;
+
+/**
+ * RG-7.01 : unicite metier du triplet (site, storageType, numero) parmi les ACTIFS.
+ * RG-7.08 : le PATCH applique les memes regles que le POST.
+ *
+ * Couvre :
+ *  - 409 sur doublon de triplet actif (pre-check deterministe du Processor) ;
+ *  - meme numero accepte sur un AUTRE site, ou sur un AUTRE type (unicite portee
+ *    par le triplet complet, pas le seul numero) ;
+ *  - reutilisation possible d'un triplet porte par un stockage soft-deleted (l'index
+ *    partiel uq_storage_site_type_numero_active ne contraint que les actifs) ;
+ *  - PATCH d'un numero vers un triplet deja pris -> 409 (RG-7.08).
+ *
+ * @internal
+ */
+final class StorageUniquenessTest extends AbstractStorageApiTestCase
+{
+    public function testDuplicateActiveTripletReturns409(): void
+    {
+        $site = $this->firstSite();
+        $type = $this->seedStorageType();
+        $this->seedStorageEntity('A1', site: $site, storageType: $type);
+
+        $client = $this->createAdminClient();
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->tripletPayload($site, $type, 'A1'),
+        ]);
+        self::assertResponseStatusCodeSame(409);
+    }
+
+    public function testSameNumeroOnAnotherTypeIsAccepted(): void
+    {
+        $site  = $this->firstSite();
+        $typeA = $this->seedStorageType();
+        $typeB = $this->seedStorageType();
+        $this->seedStorageEntity('A1', site: $site, storageType: $typeA);
+
+        $client = $this->createAdminClient();
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->tripletPayload($site, $typeB, 'A1'),
+        ]);
+        self::assertResponseStatusCodeSame(201);
+    }
+
+    public function testSameNumeroOnAnotherSiteIsAccepted(): void
+    {
+        $sites = $this->getEm()->getRepository(Site::class)->findAll();
+        if (count($sites) < 2) {
+            self::markTestSkipped('Au moins 2 sites fixtures requis pour ce cas.');
+        }
+
+        $type = $this->seedStorageType();
+        $this->seedStorageEntity('A1', site: $sites[0], storageType: $type);
+
+        $client = $this->createAdminClient();
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->tripletPayload($sites[1], $type, 'A1'),
+        ]);
+        self::assertResponseStatusCodeSame(201);
+    }
+
+    public function testSoftDeletedTripletCanBeReused(): void
+    {
+        $site = $this->firstSite();
+        $type = $this->seedStorageType();
+        $this->seedStorageEntity('B2', deletedAt: new DateTimeImmutable(), site: $site, storageType: $type);
+
+        $client = $this->createAdminClient();
+        $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->tripletPayload($site, $type, 'B2'),
+        ]);
+        self::assertResponseStatusCodeSame(201);
+    }
+
+    public function testPatchToExistingTripletReturns409(): void
+    {
+        $site = $this->firstSite();
+        $type = $this->seedStorageType();
+        $this->seedStorageEntity('A1', site: $site, storageType: $type);
+        $target = $this->seedStorageEntity('B2', site: $site, storageType: $type);
+
+        // RG-7.08 : PATCH du numero B2 -> A1 (meme site+type) collisionne -> 409.
+        $client = $this->createAdminClient();
+        $client->request('PATCH', '/api/storages/'.$target->getId(), [
+            'headers' => ['Content-Type' => self::MERGE],
+            'json'    => ['numero' => 'A1'],
+        ]);
+        self::assertResponseStatusCodeSame(409);
+    }
+
+    /**
+     * Payload POST minimal pour un triplet (site, type, numero) donne.
+     *
+     * @return array<string, mixed>
+     */
+    private function tripletPayload(Site $site, StorageType $type, string $numero): array
+    {
+        return [
+            'site'        => $this->iri('sites', (int) $site->getId()),
+            'storageType' => $this->iri('storage_types', (int) $type->getId()),
+            'numero'      => $numero,
+            'states'      => [Storage::STATE_RECEPTION],
+        ];
+    }
+}

tests/Module/Catalog/Api/StorageWriteValidationTest.php

@@ -0,0 +1,83 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Catalog\Api;
+
+/**
+ * Validation et normalisation serveur a l'ecriture du stockage (M7, POST / PATCH) :
+ *  - RG-7.06 : le numero est trimme cote serveur (et SANS changement de casse) ;
+ *  - numero vide -> 422 (Assert\NotBlank) sur `numero` ;
+ *  - relation nulle (site / storageType) -> 422 (Assert\NotNull, via le chemin de
+ *    denormalisation `collectDenormalizationErrors`) portant le bon propertyPath, et
+ *    NON un 400 qui court-circuiterait le mapping inline front (useFormErrors,
+ *    ERP-101).
+ *
+ * Pendant ces RG, le contrat de violation 422 (propertyPath aligne sur le champ
+ * front) est ce que le front consomme : on l'asserte explicitement.
+ *
+ * @internal
+ */
+final class StorageWriteValidationTest extends AbstractStorageApiTestCase
+{
+    public function testNumeroIsTrimmedServerSide(): void
+    {
+        $client = $this->createAdminClient();
+
+        // RG-7.06 : numero saisi avec des espaces autour -> stocke trimme.
+        $created = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['numero' => '  A1  ']),
+        ])->toArray();
+
+        self::assertResponseStatusCodeSame(201);
+        self::assertSame('A1', $created['numero'], 'Le numero doit etre trimme cote serveur (RG-7.06).');
+
+        // Relecture : la normalisation est bien persistee, pas seulement reflechie.
+        $detail = $client->request('GET', '/api/storages/'.$created['id'], [
+            'headers' => ['Accept' => self::LD],
+        ])->toArray();
+        self::assertSame('A1', $detail['numero']);
+    }
+
+    public function testBlankNumeroIsRejected(): void
+    {
+        $client = $this->createAdminClient();
+
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['numero' => '   ']),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('numero', $this->violationPaths($response));
+    }
+
+    public function testNullSiteReturns422WithPropertyPath(): void
+    {
+        $client = $this->createAdminClient();
+
+        // Relation obligatoire a null : doit ressortir en 422 (NotNull) avec un
+        // propertyPath `site`, pas en 400 (collectDenormalizationErrors).
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['site' => null]),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('site', $this->violationPaths($response));
+    }
+
+    public function testNullStorageTypeReturns422WithPropertyPath(): void
+    {
+        $client = $this->createAdminClient();
+
+        $response = $client->request('POST', '/api/storages', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => $this->validStoragePayload(['storageType' => null]),
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        self::assertContains('storageType', $this->violationPaths($response));
+    }
+}