Merge develop into feature/ERP-62-page-repertoire-clients

Résolution du conflit de contrat de sérialisation (Client.php) après merge
du fix #45 (ERP-80/81/82/83) dans develop :

- GetCollection : ajout category:read + site:read + accesseur getSites()
  (delta nécessaire à ERP-62, absent du contrat mergé) — un seul endroit.
- Get : client_rib:read NON réintroduit (fix sécu #45 conservé : contenu RIB
  gaté par client:read:accounting, plus de fuite IBAN/BIC).
- getSites() conservé en sus du gating RIB de develop.
- Repository : fetch-joins categories/addresses/sites conservés (anti N+1 liste).

config/version.yaml

@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.1.63'
+    app.version: '0.1.65'

frontend/i18n/locales/fr.json

@@ -44,7 +44,55 @@
     },
     "commercial": {
         "title": "Commercial",
-        "welcome": "Module Commercial"
+        "welcome": "Module Commercial",
+        "clients": {
+            "title": "Répertoire clients",
+            "add": "Ajouter",
+            "export": "Exporter",
+            "showArchived": "Voir les archivés",
+            "empty": "Aucun client pour l'instant.",
+            "column": {
+                "companyName": "Nom entreprise",
+                "contact": "Contact principal",
+                "phone": "Téléphone principal",
+                "email": "Email principal",
+                "categories": "Catégories",
+                "sites": "Site(s)"
+            },
+            "tab": {
+                "information": "Information",
+                "contact": "Contact",
+                "address": "Adresse",
+                "transport": "Transport",
+                "accounting": "Comptabilité",
+                "statistics": "Statistiques",
+                "reports": "Rapports",
+                "exchanges": "Échanges"
+            },
+            "action": {
+                "edit": "Modifier",
+                "archive": "Archiver",
+                "restore": "Restaurer"
+            },
+            "toast": {
+                "createSuccess": "Client créé avec succès",
+                "updateSuccess": "Client mis à jour avec succès",
+                "archiveSuccess": "Client archivé avec succès",
+                "restoreSuccess": "Client restauré avec succès",
+                "error": "Une erreur est survenue. Réessayez."
+            },
+            "validation": {
+                "informationRequiredForCommercial": "Les informations de l'entreprise sont obligatoires pour le rôle Commerciale.",
+                "contactRequired": "Au moins un contact (nom ou prénom) est obligatoire.",
+                "siteRequired": "Au moins un site Starseed doit être rattaché à l'adresse.",
+                "billingEmailRequired": "L'email de facturation est obligatoire pour une adresse de facturation.",
+                "bankRequiredForTransfer": "La banque est obligatoire pour un règlement par virement.",
+                "ribRequiredForLcr": "Au moins un RIB complet est obligatoire pour un règlement par LCR.",
+                "phoneFormat": "Format de téléphone invalide (attendu : XX XX XX XX XX).",
+                "emailFormat": "Format d'email invalide.",
+                "addressCategoryForbidden": "Une catégorie « Distributeur » ou « Courtier » ne peut pas qualifier une adresse."
+            }
+        }
     },
     "auth": {
         "login": "Connexion",

frontend/modules/commercial/composables/__tests__/useClientsRepository.spec.ts

@@ -0,0 +1,79 @@
+import { describe, it, expect, vi, beforeEach } from 'vitest'
+import type { HydraCollection } from '~/shared/utils/api'
+import type { Client } from '../useClientsRepository'
+
+// `useApi` est un auto-import Nuxt : on le stubbe globalement pour intercepter
+// les appels declenches par usePaginatedList (que useClientsRepository enveloppe)
+// et controler les reponses. Meme pattern que useCategoriesAdmin.spec.ts.
+const mockGet = vi.hoisted(() => vi.fn())
+vi.stubGlobal('useApi', () => ({
+    get: mockGet,
+    post: vi.fn(),
+    put: vi.fn(),
+    patch: vi.fn(),
+    delete: vi.fn(),
+}))
+
+// Import APRES le stub pour que useApi soit bien resolu au top-level du module.
+const { useClientsRepository } = await import('../useClientsRepository')
+
+/** Envelope Hydra minimale (la liste reelle des membres importe peu ici). */
+function makeHydra(total: number): HydraCollection<Client> {
+    return { totalItems: total, member: [] }
+}
+
+describe('useClientsRepository', () => {
+    beforeEach(() => {
+        mockGet.mockReset()
+        // 25 items → 3 pages a 10/page : permet de tester la navigation page 2.
+        mockGet.mockResolvedValue(makeHydra(25))
+    })
+
+    it('charge /clients sans includeArchived par defaut (clients actifs)', async () => {
+        const repo = useClientsRepository()
+        await repo.fetch()
+
+        expect(repo.includeArchived.value).toBe(false)
+        expect(mockGet).toHaveBeenLastCalledWith(
+            '/clients',
+            { page: 1, itemsPerPage: 10 },
+            expect.objectContaining({ toast: false }),
+        )
+    })
+
+    it('pousse le filtre serveur includeArchived=true quand le toggle est actif', async () => {
+        const repo = useClientsRepository()
+        await repo.fetch()
+        await repo.setIncludeArchived(true)
+
+        expect(repo.includeArchived.value).toBe(true)
+        expect(mockGet).toHaveBeenLastCalledWith(
+            '/clients',
+            { includeArchived: true, page: 1, itemsPerPage: 10 },
+            expect.objectContaining({ toast: false }),
+        )
+    })
+
+    it('retombe en page 1 lorsqu on bascule le toggle archives', async () => {
+        const repo = useClientsRepository()
+        await repo.fetch()
+        await repo.goToPage(2)
+        expect(repo.currentPage.value).toBe(2)
+
+        await repo.setIncludeArchived(true)
+        expect(repo.currentPage.value).toBe(1)
+    })
+
+    it('retire le filtre (query propre) quand le toggle repasse a false', async () => {
+        const repo = useClientsRepository()
+        await repo.setIncludeArchived(true)
+        await repo.setIncludeArchived(false)
+
+        expect(repo.includeArchived.value).toBe(false)
+        expect(mockGet).toHaveBeenLastCalledWith(
+            '/clients',
+            { page: 1, itemsPerPage: 10 },
+            expect.objectContaining({ toast: false }),
+        )
+    })
+})

frontend/modules/commercial/composables/useClientsRepository.ts

@@ -0,0 +1,82 @@
+import { ref } from 'vue'
+import { usePaginatedList } from '~/shared/composables/usePaginatedList'
+
+/**
+ * Site Starseed rattache a une adresse du client, tel qu'embarque en LISTE
+ * (groupe site:read) pour la colonne « Site(s) » du Repertoire (badges colores).
+ */
+export interface ClientSite {
+    id: number
+    name: string
+    color: string
+}
+
+/**
+ * Categorie rattachee au client, embarquee en LISTE (groupe category:read).
+ * Seul le `code` (stable, MAJUSCULE — ERP-78) est affiche dans la colonne
+ * « Catégories ». Les autres champs sont presents mais non utilises ici.
+ */
+export interface ClientCategory {
+    code: string
+    name?: string
+}
+
+/**
+ * Vue MINIMALE d'un client pour le Repertoire (datatable). Volontairement
+ * partielle : seuls les champs des colonnes + l'id (navigation) sont types ici.
+ * Le detail complet (onglets) est hors perimetre de cet ecran (ERP-62).
+ */
+export interface Client {
+    id: number
+    companyName: string
+    firstName: string | null
+    lastName: string | null
+    phonePrimary: string | null
+    email: string | null
+    categories: ClientCategory[]
+    sites: ClientSite[]
+    isArchived: boolean
+}
+
+/**
+ * Repertoire clients (ERP-62) — simple enveloppe de `usePaginatedList<Client>`
+ * sur la ressource `/clients` (RG-13 : pagination serveur obligatoire ; jamais
+ * de chargement integral en memoire).
+ *
+ * N'ajoute qu'un seul comportement metier : le toggle « Voir les archivés ».
+ * Desactive par defaut (la liste n'expose que les clients actifs — RG-1.24).
+ * Active, il pousse le filtre serveur `?includeArchived=true` (consomme par le
+ * ClientProvider, RG-1.25) et — garantie de `usePaginatedList` — retombe en
+ * page 1.
+ *
+ * Volontairement PAR INSTANCE (pas de singleton module-level) : l'etat tableau
+ * est propre a l'ecran Repertoire et meurt avec lui, comme tout consommateur de
+ * `usePaginatedList` (cf. sites.vue / categories.vue). Aucun reset au logout a
+ * gerer.
+ */
+export function useClientsRepository() {
+    // Etat local du toggle « Voir les archivés » — JAMAIS reflete dans l'URL
+    // (regle ABSOLUE n°6).
+    const includeArchived = ref(false)
+
+    const list = usePaginatedList<Client>({ url: '/clients' })
+
+    /**
+     * Bascule l'inclusion des clients archives et relance la liste. La remise
+     * en page 1 est assuree par `setFilters` (usePaginatedList). Quand le toggle
+     * repasse a false, on RETIRE le filtre (valeur `undefined`) plutot que
+     * d'envoyer `includeArchived=false`, pour une query propre.
+     */
+    async function setIncludeArchived(value: boolean): Promise<void> {
+        includeArchived.value = value
+        await list.setFilters(
+            value ? { includeArchived: true } : { includeArchived: undefined },
+        )
+    }
+
+    return {
+        ...list,
+        includeArchived,
+        setIncludeArchived,
+    }
+}

frontend/modules/commercial/pages/clients/index.vue

@@ -0,0 +1,211 @@
+<template>
+    <div>
+        <PageHeader>
+            {{ t('commercial.clients.title') }}
+            <template #actions>
+                <MalioButton
+                    v-if="canView"
+                    variant="secondary"
+                    :label="t('commercial.clients.export')"
+                    icon-name="mdi:file-export-outline"
+                    icon-position="left"
+                    :disabled="exporting"
+                    @click="exportXlsx"
+                />
+                <MalioButton
+                    v-if="canManage"
+                    :label="t('commercial.clients.add')"
+                    icon-name="mdi:add-bold"
+                    icon-position="left"
+                    @click="goToCreate"
+                />
+            </template>
+        </PageHeader>
+
+        <!-- Toggle « Voir les archivés » : etat 100 % local (regle ABSOLUE n°6),
+             desactive par defaut (clients actifs uniquement). -->
+        <div class="mb-4">
+            <MalioCheckbox
+                id="clients-include-archived"
+                :label="t('commercial.clients.showArchived')"
+                :model-value="includeArchived"
+                @update:model-value="onToggleArchived"
+            />
+        </div>
+
+        <!-- Datatable branchee sur usePaginatedList via useClientsRepository :
+             pagination serveur, tri companyName ASC par defaut (cote back). -->
+        <MalioDataTable
+            :columns="columns"
+            :items="rows"
+            :total-items="totalItems"
+            :page="currentPage"
+            :per-page="itemsPerPage"
+            :per-page-options="itemsPerPageOptions"
+            row-clickable
+            :empty-message="t('commercial.clients.empty')"
+            @row-click="onRowClick"
+            @update:page="goToPage"
+            @update:per-page="setItemsPerPage"
+        >
+            <!-- Contact principal : prenom + nom (l'un des deux peut etre vide). -->
+            <template #cell-contact="{ item }">
+                {{ formatContact(item) }}
+            </template>
+
+            <!-- Telephone principal formate XX XX XX XX XX (ERP-66). -->
+            <template #cell-phone="{ item }">
+                {{ formatPhoneFR(item.phonePrimary as string | null) }}
+            </template>
+
+            <!-- Categories : codes stables separes par une virgule (ERP-78). -->
+            <template #cell-categories="{ item }">
+                {{ formatCategories(item) }}
+            </template>
+
+            <!-- Sites : badges colores (name + color), agreges des adresses. -->
+            <template #cell-sites="{ item }">
+                <span class="flex flex-wrap gap-1">
+                    <span
+                        v-for="site in (item.sites as ClientSite[])"
+                        :key="site.id"
+                        class="inline-flex items-center rounded-full px-2 py-0.5 text-xs font-medium text-white"
+                        :style="{ backgroundColor: site.color }"
+                    >
+                        {{ site.name }}
+                    </span>
+                </span>
+            </template>
+        </MalioDataTable>
+    </div>
+</template>
+
+<script setup lang="ts">
+import type { Client, ClientSite } from '~/modules/commercial/composables/useClientsRepository'
+
+const { t } = useI18n()
+const api = useApi()
+const router = useRouter()
+const toast = useToast()
+const { can } = usePermissions()
+
+useHead({ title: t('commercial.clients.title') })
+
+// Bouton « + Ajouter » reserve a `manage` (POST /clients garde manage seul →
+// Compta / Usine ne creent pas). « Exporter » suit `view`.
+const canManage = computed(() => can('commercial.clients.manage'))
+const canView = computed(() => can('commercial.clients.view'))
+
+const {
+    items: clients,
+    totalItems,
+    currentPage,
+    itemsPerPage,
+    itemsPerPageOptions,
+    includeArchived,
+    fetch: loadClients,
+    goToPage,
+    setItemsPerPage,
+    setIncludeArchived,
+} = useClientsRepository()
+
+// Mappe les clients en objets « plats » pour MalioDataTable (items typees
+// Record<string, unknown>[]) : un objet litteral porte une signature d'index
+// implicite, contrairement a l'interface Client. Meme pattern que sites.vue.
+const rows = computed(() => clients.value.map(client => ({
+    id: client.id,
+    companyName: client.companyName,
+    firstName: client.firstName,
+    lastName: client.lastName,
+    phonePrimary: client.phonePrimary,
+    email: client.email,
+    categories: client.categories,
+    sites: client.sites,
+})))
+
+const columns = [
+    { key: 'companyName', label: t('commercial.clients.column.companyName') },
+    { key: 'contact', label: t('commercial.clients.column.contact') },
+    { key: 'phone', label: t('commercial.clients.column.phone') },
+    { key: 'email', label: t('commercial.clients.column.email') },
+    { key: 'categories', label: t('commercial.clients.column.categories') },
+    { key: 'sites', label: t('commercial.clients.column.sites') },
+]
+
+/** Contact principal : « Prenom Nom » en ignorant les parties vides. */
+function formatContact(item: Record<string, unknown>): string {
+    return [item.firstName, item.lastName].filter(Boolean).join(' ')
+}
+
+/** Codes des categories du client, separes par une virgule (ERP-78). */
+function formatCategories(item: Record<string, unknown>): string {
+    const categories = (item.categories as Client['categories']) ?? []
+    return categories.map(c => c.code).join(', ')
+}
+
+/** Clic sur une ligne → ecran Consultation (route a plat /clients/{id}). */
+function onRowClick(item: Record<string, unknown>): void {
+    router.push(`/clients/${item.id}`)
+}
+
+function goToCreate(): void {
+    router.push('/clients/new')
+}
+
+function onToggleArchived(value: boolean): void {
+    setIncludeArchived(value)
+}
+
+// Export XLSX : memes filtres que la vue (includeArchived). La colonne SIREN
+// n'est dans le fichier que si l'utilisateur a accounting.view (gere cote back).
+const exporting = ref(false)
+
+async function exportXlsx(): Promise<void> {
+    if (exporting.value) {
+        return
+    }
+    exporting.value = true
+    try {
+        const query: Record<string, unknown> = {}
+        if (includeArchived.value) {
+            query.includeArchived = true
+        }
+
+        // useApi type ses options en JSON ; l'export renvoie un binaire, donc on
+        // force responseType:'blob' (transmis tel quel a ofetch au runtime). Cast
+        // contenu faute d'overload blob sur le client partage — a generaliser via
+        // un ticket dedie si d'autres exports binaires arrivent.
+        const blob = await api.get<Blob>('/clients/export.xlsx', query, {
+            responseType: 'blob',
+            toast: false,
+        } as unknown as Parameters<typeof api.get>[2])
+
+        triggerDownload(blob, 'repertoire-clients.xlsx')
+    }
+    catch {
+        toast.error({
+            title: t('commercial.clients.toast.error'),
+            message: t('commercial.clients.toast.error'),
+        })
+    }
+    finally {
+        exporting.value = false
+    }
+}
+
+/** Declenche le telechargement d'un blob via un lien temporaire. */
+function triggerDownload(blob: Blob, filename: string): void {
+    const url = URL.createObjectURL(blob)
+    const link = document.createElement('a')
+    link.href = url
+    link.download = filename
+    document.body.appendChild(link)
+    link.click()
+    link.remove()
+    URL.revokeObjectURL(url)
+}
+
+onMounted(() => {
+    loadClients()
+})
+</script>

frontend/shared/utils/__tests__/phone.test.ts

@@ -0,0 +1,23 @@
+import { describe, it, expect } from 'vitest'
+import { formatPhoneFR } from '../phone'
+
+describe('formatPhoneFR', () => {
+    it('formate un numero 10 chiffres en XX XX XX XX XX', () => {
+        expect(formatPhoneFR('0612345678')).toBe('06 12 34 56 78')
+    })
+
+    it('tolere une saisie deja pointee ou espacee', () => {
+        expect(formatPhoneFR('06.12.34.56.78')).toBe('06 12 34 56 78')
+        expect(formatPhoneFR('06 12 34 56 78')).toBe('06 12 34 56 78')
+    })
+
+    it('retourne une chaine vide pour une valeur vide ou nulle', () => {
+        expect(formatPhoneFR('')).toBe('')
+        expect(formatPhoneFR(null)).toBe('')
+        expect(formatPhoneFR(undefined)).toBe('')
+    })
+
+    it('groupe par 2 meme un nombre impair de chiffres (dernier groupe seul)', () => {
+        expect(formatPhoneFR('123')).toBe('12 3')
+    })
+})

frontend/shared/utils/phone.ts

@@ -0,0 +1,23 @@
+/**
+ * Formatage d'un numero de telephone francais en groupes de 2 chiffres
+ * (`XX XX XX XX XX`).
+ *
+ * Signature cible partagee avec le ticket 1.13 / ERP-66 : si ce dernier livre
+ * une version plus riche (validation, indicatif international), elle remplacera
+ * cette implementation minimale. En attendant, on couvre le besoin du Repertoire
+ * clients (ERP-62) : afficher un telephone lisible a partir de la valeur stockee
+ * en base (deja normalisee en 10 chiffres par le ClientProcessor, RG-1.20).
+ *
+ * - Ne garde que les chiffres puis groupe par 2 (tolere une saisie deja espacee
+ *   ou pointee, ex: `06.12.34.56.78` ou `0612345678`).
+ * - Retourne une chaine vide si la valeur est vide/nulle (cellule vide propre).
+ */
+export function formatPhoneFR(value: string | null | undefined): string {
+    const digits = (value ?? '').replace(/\D/g, '')
+    if (digits.length === 0) {
+        return ''
+    }
+
+    // Groupe par paquets de 2 ; un dernier groupe impair reste tel quel.
+    return digits.match(/.{1,2}/g)?.join(' ') ?? digits
+}

src/Module/Commercial/Domain/Entity/Client.php

@@ -15,6 +15,7 @@ use App\Module\Commercial\Infrastructure\Doctrine\DoctrineClientRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
+use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use DateTimeImmutable;
@@ -58,27 +59,39 @@ use Symfony\Component\Validator\Constraints as Assert;
     operations: [
         new GetCollection(
             security: "is_granted('commercial.clients.view')",
-            normalizationContext: ['groups' => ['client:read', 'default:read']],
+            // La liste embarque les categories (avec leur code, groupe
+            // category:read) et les sites agreges des adresses (groupe
+            // site:read) pour alimenter les colonnes « Catégories » et
+            // « Site(s) » du Repertoire (ERP-62). Cf. getSites() plus bas.
+            normalizationContext: ['groups' => ['client:read', 'default:read', 'category:read', 'site:read']],
             provider: ClientProvider::class,
         ),
         new Get(
             security: "is_granted('commercial.clients.view')",
-            // Detail : client + sous-collections embarquees. Le groupe
-            // client:read:accounting est ajoute par le context builder selon la
-            // permission, donc absent ici volontairement.
+            // Detail : client + sous-collections embarquees.
+            //  - client:read:accounting est ajoute par le context builder selon la
+            //    permission (gate les scalaires comptables ET les RIB embarques),
+            //    donc absent ici volontairement.
+            //  - client_rib:read N'EST PLUS dans le contexte : le contenu des RIB
+            //    embarques est desormais porte par client:read:accounting (gate),
+            //    ce qui retire la fuite IBAN/BIC vers les users sans accounting.view.
+            //  - category:read et site:read sont indispensables pour embarquer le
+            //    code/libelle des categories et des sites (sinon stub IRI nu) :
+            //    Category.code/name vivent sous category:read, Site.name sous site:read.
             normalizationContext: ['groups' => [
                 'client:read',
                 'client:item:read',
                 'client_contact:read',
                 'client_address:read',
-                'client_rib:read',
+                'category:read',
+                'site:read',
                 'default:read',
             ]],
             provider: ClientProvider::class,
         ),
         new Post(
             security: "is_granted('commercial.clients.manage')",
-            normalizationContext: ['groups' => ['client:read', 'default:read']],
+            normalizationContext: ['groups' => ['client:read', 'default:read', 'category:read', 'site:read']],
             denormalizationContext: ['groups' => ['client:write:main']],
             processor: ClientProcessor::class,
         ),
@@ -96,7 +109,7 @@ use Symfony\Component\Validator\Constraints as Assert;
             // autoriser/refuser onglet par onglet (RG-1.22 / RG-1.28) : les
             // champs accounting exigent accounting.manage, isArchived exige
             // archive, le reste (main/information) exige manage.
-            normalizationContext: ['groups' => ['client:read', 'default:read']],
+            normalizationContext: ['groups' => ['client:read', 'default:read', 'category:read', 'site:read']],
             denormalizationContext: ['groups' => [
                 'client:write:main',
                 'client:write:information',
@@ -651,8 +664,38 @@ class Client implements TimestampableInterface, BlamableInterface
         return $this;
     }
 
+    /**
+     * Sites distincts rattaches a au moins une adresse du client (RG-1.10).
+     * Le Client ne porte pas de sites en propre : ils vivent sur les adresses.
+     * Agrege en lecture seule pour la colonne « Site(s) » du Repertoire (badges
+     * colores) — expose en LISTE via le groupe client:read (les adresses
+     * completes restent reservees au detail, client:item:read).
+     *
+     * @return list<SiteInterface>
+     */
+    #[Groups(['client:read'])]
+    public function getSites(): array
+    {
+        $sites = [];
+        foreach ($this->addresses as $address) {
+            foreach ($address->getSites() as $site) {
+                // Deduplication par identite d'objet : un meme site peut etre
+                // rattache a plusieurs adresses du client.
+                $sites[spl_object_id($site)] = $site;
+            }
+        }
+
+        return array_values($sites);
+    }
+
+    // Embed gate sur le groupe COMPTABLE (et non client:item:read comme contacts/
+    // adresses) : client:read:accounting n'est ajoute au contexte que si l'user a
+    // accounting.view (ClientReadGroupContextBuilder). Resultat : la cle `ribs` est
+    // TOTALEMENT ABSENTE du detail pour un user sans accounting.view (ex. Commerciale),
+    // au meme titre que les scalaires comptables — corrige la fuite de RIB ou la
+    // Commerciale recevait IBAN/BIC en clair.
     /** @return Collection<int, ClientRib> */
-    #[Groups(['client:item:read'])]
+    #[Groups(['client:read:accounting'])]
     public function getRibs(): Collection
     {
         return $this->ribs;

src/Module/Commercial/Domain/Entity/ClientAddress.php

@@ -22,6 +22,7 @@ use Doctrine\Common\Collections\ArrayCollection;
 use Doctrine\Common\Collections\Collection;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
+use Symfony\Component\Serializer\Attribute\SerializedName;
 use Symfony\Component\Validator\Constraints as Assert;
 use Symfony\Component\Validator\Context\ExecutionContextInterface;
 
@@ -104,16 +105,23 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
     #[ORM\JoinColumn(name: 'client_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
     private ?Client $client = null;
 
+    // Groupe d'ECRITURE uniquement sur la propriete (denormalisation PATCH/POST).
+    // Le groupe de LECTURE est porte par le getter isProspect()/isDelivery()/
+    // isBilling() avec SerializedName : sans cela, Symfony strip le prefixe "is"
+    // des getters booleens et exposerait les cles "prospect"/"delivery"/"billing"
+    // — en pratique le #[Groups] etant sur la propriete `isX` et le getter
+    // derivant l'attribut `x`, la cle etait totalement DROPPEE du JSON (meme bug
+    // que Client::isArchived). Pattern corrige : Groups + SerializedName sur le getter.
     #[ORM\Column(name: 'is_prospect', options: ['default' => false])]
-    #[Groups(['client_address:read', 'client_address:write'])]
+    #[Groups(['client_address:write'])]
     private bool $isProspect = false;
 
     #[ORM\Column(name: 'is_delivery', options: ['default' => false])]
-    #[Groups(['client_address:read', 'client_address:write'])]
+    #[Groups(['client_address:write'])]
     private bool $isDelivery = false;
 
     #[ORM\Column(name: 'is_billing', options: ['default' => false])]
-    #[Groups(['client_address:read', 'client_address:write'])]
+    #[Groups(['client_address:write'])]
     private bool $isBilling = false;
 
     #[ORM\Column(length: 80, options: ['default' => 'France'])]
@@ -276,6 +284,12 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
         return $this;
     }
 
+    // Groupe de lecture + nom serialise explicite (cf. note sur la propriete) :
+    // sans SerializedName, Symfony exposerait la cle "prospect" (strip du prefixe
+    // "is" sur les getters) et, le groupe etant declare sur la propriete `isProspect`,
+    // droppait silencieusement la cle du JSON.
+    #[Groups(['client_address:read'])]
+    #[SerializedName('isProspect')]
     public function isProspect(): bool
     {
         return $this->isProspect;
@@ -288,6 +302,8 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
         return $this;
     }
 
+    #[Groups(['client_address:read'])]
+    #[SerializedName('isDelivery')]
     public function isDelivery(): bool
     {
         return $this->isDelivery;
@@ -300,6 +316,8 @@ class ClientAddress implements TimestampableInterface, BlamableInterface
         return $this;
     }
 
+    #[Groups(['client_address:read'])]
+    #[SerializedName('isBilling')]
     public function isBilling(): bool
     {
         return $this->isBilling;

src/Module/Commercial/Domain/Entity/ClientRib.php

@@ -79,10 +79,17 @@ class ClientRib implements TimestampableInterface, BlamableInterface
 {
     use TimestampableBlamableTrait;
 
+    // Double groupe de lecture :
+    //  - `client_rib:read` : sous-ressource autonome GET /api/client_ribs/{id}
+    //    (deja securisee par commercial.clients.accounting.view).
+    //  - `client:read:accounting` : embed des RIB sous le detail Client, ajoute
+    //    DYNAMIQUEMENT par ClientReadGroupContextBuilder uniquement si l'user a
+    //    accounting.view. Ce double marquage gate les RIB embarques au meme titre
+    //    que les scalaires comptables (RG : la Commerciale ne voit aucun RIB).
     #[ORM\Id]
     #[ORM\GeneratedValue]
     #[ORM\Column]
-    #[Groups(['client_rib:read'])]
+    #[Groups(['client_rib:read', 'client:read:accounting'])]
     private ?int $id = null;
 
     #[ORM\ManyToOne(targetEntity: Client::class, inversedBy: 'ribs')]
@@ -92,23 +99,23 @@ class ClientRib implements TimestampableInterface, BlamableInterface
     #[ORM\Column(length: 120)]
     #[Assert\NotBlank]
     #[Assert\Length(max: 120, normalizer: 'trim')]
-    #[Groups(['client_rib:read', 'client_rib:write'])]
+    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
     private ?string $label = null;
 
     #[ORM\Column(length: 20)]
     #[Assert\NotBlank]
     #[Assert\Bic]
-    #[Groups(['client_rib:read', 'client_rib:write'])]
+    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
     private ?string $bic = null;
 
     #[ORM\Column(length: 34)]
     #[Assert\NotBlank]
     #[Assert\Iban]
-    #[Groups(['client_rib:read', 'client_rib:write'])]
+    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
     private ?string $iban = null;
 
     #[ORM\Column(options: ['default' => 0])]
-    #[Groups(['client_rib:read', 'client_rib:write'])]
+    #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
     private int $position = 0;
 
     public function getId(): ?int

src/Module/Commercial/Infrastructure/Doctrine/DoctrineClientRepository.php

@@ -37,6 +37,15 @@ class DoctrineClientRepository extends ServiceEntityRepository implements Client
         ?string $categoryCode = null,
     ): QueryBuilder {
         $qb = $this->createQueryBuilder('c')
+            // Jointures + addSelect pour hydrater en une seule requete les
+            // collections affichees par le Repertoire (colonnes Catégories /
+            // Site(s)) : sans cela, la serialisation declenche un N+1 (une
+            // requete par client, puis par adresse). Le Paginator ORM
+            // (fetchJoinCollection: true, cf. ClientProvider) gere le COUNT
+            // malgre ces jointures to-many.
+            ->leftJoin('c.categories', 'cat')->addSelect('cat')
+            ->leftJoin('c.addresses', 'addr')->addSelect('addr')
+            ->leftJoin('addr.sites', 'site')->addSelect('site')
             ->andWhere('c.deletedAt IS NULL')
             ->orderBy('c.companyName', 'ASC')
         ;

tests/Module/Commercial/Api/ClientApiTest.php

@@ -4,6 +4,9 @@ declare(strict_types=1);
 
 namespace App\Tests\Module\Commercial\Api;
 
+use App\Module\Commercial\Domain\Entity\ClientAddress;
+use App\Module\Sites\Domain\Entity\Site;
+
 /**
  * Tests fonctionnels de l'API /api/clients (M1) — branche ERP-55.
  *
@@ -177,8 +180,8 @@ final class ClientApiTest extends AbstractCommercialApiTestCase
 
     public function testPostBrokerReferencingNonBrokerReturns422(): void
     {
-        $client   = $this->createAdminClient();
-        $cat      = $this->createCategory('SECTEUR');
+        $client    = $this->createAdminClient();
+        $cat       = $this->createCategory('SECTEUR');
         $notBroker = $this->seedClient('Pas Un Courtier', false, 'SECTEUR');
 
         $client->request('POST', '/api/clients', [
@@ -325,4 +328,56 @@ final class ClientApiTest extends AbstractCommercialApiTestCase
         self::assertArrayHasKey('addresses', $data);
         self::assertArrayHasKey('ribs', $data);
     }
+
+    /**
+     * ERP-62 : la LISTE doit alimenter les colonnes « Catégories » (codes) et
+     * « Site(s) » (badges name + color) du Repertoire. On verifie donc que la
+     * collection embarque le `code` de chaque categorie et les sites agreges des
+     * adresses (accessoire Client::getSites()).
+     */
+    public function testListEmbedsCategoryCodesAndAggregatedSites(): void
+    {
+        $client = $this->createAdminClient();
+
+        // Client seede + une adresse rattachee a un site (fixtures Sites).
+        $seed = $this->seedClient('Embed List Co', false, 'DISTRIBUTEUR');
+        $em   = $this->getEm();
+        $site = $em->getRepository(Site::class)->findOneBy([]);
+        self::assertNotNull($site, 'Aucun site seede : impossible de tester la colonne Site(s).');
+
+        $address = new ClientAddress();
+        $address->setClient($seed);
+        $address->setPostalCode('86100');
+        $address->setCity('Châtellerault');
+        $address->setStreet('1 rue du Test');
+        $address->addSite($site);
+        $em->persist($address);
+        $em->flush();
+
+        $member = $client->request('GET', '/api/clients?pagination=false', [
+            'headers' => ['Accept' => self::LD],
+        ])->toArray()['member'];
+
+        $row = null;
+        foreach ($member as $candidate) {
+            if ('EMBED LIST CO' === $candidate['companyName']) {
+                $row = $candidate;
+
+                break;
+            }
+        }
+        self::assertNotNull($row, 'Le client seede doit figurer dans la liste.');
+
+        // Colonne « Catégories » : chaque categorie embarquee porte son code.
+        self::assertNotEmpty($row['categories']);
+        self::assertArrayHasKey('code', $row['categories'][0]);
+        self::assertSame('DISTRIBUTEUR', $row['categories'][0]['code']);
+
+        // Colonne « Site(s) » : sites agreges des adresses, avec name + color.
+        self::assertArrayHasKey('sites', $row);
+        self::assertNotEmpty($row['sites']);
+        self::assertArrayHasKey('name', $row['sites'][0]);
+        self::assertArrayHasKey('color', $row['sites'][0]);
+        self::assertSame($site->getName(), $row['sites'][0]['name']);
+    }
 }

tests/Module/Commercial/Api/ClientSerializationContractTest.php

@@ -0,0 +1,281 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Tests\Module\Commercial\Api;
+
+use App\Module\Commercial\Domain\Entity\Client as ClientEntity;
+use App\Module\Commercial\Domain\Entity\ClientAddress;
+use App\Module\Commercial\Domain\Entity\ClientContact;
+use App\Module\Commercial\Domain\Entity\ClientRib;
+use App\Module\Sites\Domain\Entity\Site;
+
+/**
+ * Tests anti-regression du CONTRAT DE SERIALISATION du repertoire clients (M1).
+ *
+ * Captures reelles du 02/06/2026 (cf. docs/specs/M2-suppliers/spec-back.md
+ * § 4.0.ter) ayant revele 4 bugs silencieux du contrat (aucune erreur levee) :
+ *  - #81 : booleens d'adresse (isProspect/isDelivery/isBilling) absents du JSON
+ *          (Groups sur la propriete `isX`, getter `isX()` derivant l'attribut `x`).
+ *  - #80 : fuite RIB (IBAN/BIC) vers un user sans accounting.view.
+ *  - #82 : code/libelle de Category et Site non embarques (stub IRI nu).
+ *  - enveloppe AP4 : member/totalItems/view sans prefixe `hydra:`, archives exclus.
+ *
+ * REGLE D'OR : ces tests assertent sur le CORPS JSON reel, jamais sur les
+ * annotations. Toute regression de groupe de serialisation casse ici.
+ *
+ * Limite connue (dependance module Sites) : l'entite Site ne porte PAS de champ
+ * `code` (ni SiteInterface) — son libelle est `name`. Les « codes 86/17/82 » de
+ * la spec M2 correspondent en realite au prefixe du code postal des 3 sites
+ * fixtures (86100/17400/82400). On asserte donc le libelle `name` du site
+ * embarque ; l'ajout d'un `Site.code` reste un ticket cote module Sites.
+ *
+ * @internal
+ */
+final class ClientSerializationContractTest extends AbstractCommercialApiTestCase
+{
+    private const string LD         = 'application/ld+json';
+    private const string VALID_IBAN = 'FR1420041010050500013M02606';
+    private const string VALID_BIC  = 'BNPAFRPPXXX';
+
+    // === #81 — Booleens d'adresse presents dans le JSON ===
+
+    public function testAddressBooleansArePresentInDetail(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Bool Addr Co');
+        $id   = $seed->getId();
+
+        $http = $this->createAdminClient();
+        $data = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        self::assertArrayHasKey('addresses', $data);
+        self::assertNotEmpty($data['addresses']);
+        $address = $data['addresses'][0];
+
+        // Le bug droppait TOTALEMENT ces cles. Apres correctif (Groups +
+        // SerializedName sur le getter), elles sont presentes ET typees bool.
+        self::assertArrayHasKey('isProspect', $address);
+        self::assertArrayHasKey('isDelivery', $address);
+        self::assertArrayHasKey('isBilling', $address);
+
+        // L'adresse seedee est livraison + facturation (prospect exclusif, RG-1.06).
+        // Prouve qu'un booleen `true` est bien serialise (le bug masquait meme les true).
+        self::assertFalse($address['isProspect']);
+        self::assertTrue($address['isDelivery']);
+        self::assertTrue($address['isBilling']);
+    }
+
+    // === #80 — Gating des RIB par accounting.view ===
+
+    public function testRibsPresentForAdminWithAccountingView(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Rib Admin Co');
+        $id   = $seed->getId();
+
+        $http = $this->createAdminClient();
+        $data = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        // Admin bypass RBAC -> accounting.view -> RIB embarques (label/bic/iban).
+        self::assertArrayHasKey('ribs', $data);
+        self::assertNotEmpty($data['ribs']);
+        self::assertSame('Compte principal', $data['ribs'][0]['label']);
+        self::assertSame(self::VALID_IBAN, $data['ribs'][0]['iban']);
+        self::assertSame(self::VALID_BIC, $data['ribs'][0]['bic']);
+    }
+
+    public function testRibsAbsentForUserWithoutAccountingView(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Rib Commerciale Co');
+        $id   = $seed->getId();
+
+        // Commerciale : commercial.clients.view SANS accounting.view.
+        $creds = $this->createUserWithPermission('commercial.clients.view');
+        $http  = $this->authenticatedClient($creds['username'], $creds['password']);
+
+        $data = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        // La cle `ribs` est ABSENTE (pas null) : le groupe client:read:accounting
+        // n'est pas ajoute au contexte -> getRibs() jamais serialise. Fin de la
+        // fuite IBAN/BIC.
+        self::assertArrayNotHasKey('ribs', $data);
+    }
+
+    // === #80.bis — Gating par OMISSION des scalaires comptables ===
+
+    public function testAccountingScalarsGatedByOmission(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Compta Gating Co');
+        $id   = $seed->getId();
+
+        // Admin : scalaires comptables presents.
+        $admin = $this->createAdminClient();
+        $adminData = $admin->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+        self::assertArrayHasKey('siren', $adminData);
+        self::assertSame('123456789', $adminData['siren']);
+        self::assertArrayHasKey('accountNumber', $adminData);
+
+        // Commerciale : scalaires comptables ABSENTS (omission, pas null).
+        $creds = $this->createUserWithPermission('commercial.clients.view');
+        $http  = $this->authenticatedClient($creds['username'], $creds['password']);
+        $data  = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        self::assertArrayNotHasKey('siren', $data);
+        self::assertArrayNotHasKey('accountNumber', $data);
+        self::assertArrayNotHasKey('nTva', $data);
+        self::assertArrayNotHasKey('ribs', $data);
+    }
+
+    // === #82 — Embed code/libelle des Category et Site ===
+
+    public function testCategoriesEmbedCodeAndLabel(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Embed Cat Co');
+        $id   = $seed->getId();
+
+        $http = $this->createAdminClient();
+        $data = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        self::assertNotEmpty($data['categories']);
+        $category = $data['categories'][0];
+        // Avant correctif : seuls @id/@type/createdAt/updatedAt (category:read
+        // absent du contexte). Apres : code + name (libelle) embarques.
+        self::assertArrayHasKey('code', $category);
+        self::assertArrayHasKey('name', $category);
+        self::assertNotSame('', $category['code']);
+    }
+
+    public function testAddressSitesEmbedLabel(): void
+    {
+        $this->skipIfSitesModuleDisabled();
+
+        $seed = $this->seedCompleteClient('Embed Site Co');
+        $id   = $seed->getId();
+
+        $http = $this->createAdminClient();
+        $data = $http->request('GET', '/api/clients/'.$id, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        $address = $data['addresses'][0];
+        self::assertArrayHasKey('sites', $address);
+        self::assertNotEmpty($address['sites']);
+        // Site embarque : libelle `name` present (avant : stub @id/@type nu).
+        // NB : Site n'a pas de champ `code` (cf. note de classe) -> on asserte name.
+        self::assertArrayHasKey('name', $address['sites'][0]);
+        self::assertNotSame('', $address['sites'][0]['name']);
+
+        // L'adresse seedee est multi-sites : preuve que l'embed parcourt la collection.
+        self::assertGreaterThanOrEqual(2, count($address['sites']));
+
+        // Categories d'adresse : code embarque (category:read dans le contexte).
+        self::assertArrayHasKey('categories', $address);
+        self::assertNotEmpty($address['categories']);
+        self::assertArrayHasKey('code', $address['categories'][0]);
+    }
+
+    // === Enveloppe AP4 (sans prefixe hydra:) + exclusion des archives ===
+
+    public function testCollectionEnvelopeShapeAndArchivedExcluded(): void
+    {
+        $http   = $this->createAdminClient();
+        $prefix = 'EnvCheck'.substr(bin2hex(random_bytes(3)), 0, 6);
+
+        $this->seedClient($prefix.' Active');
+        $this->seedClient($prefix.' Archived', true);
+
+        // Liste par defaut filtree sur le prefixe : enveloppe member/totalItems
+        // sans prefixe hydra:, archive EXCLU du totalItems (RG-1.24).
+        $default = $http->request('GET', '/api/clients?search='.$prefix, ['headers' => ['Accept' => self::LD]])->toArray();
+
+        self::assertArrayHasKey('member', $default);
+        self::assertArrayHasKey('totalItems', $default);
+        self::assertArrayNotHasKey('hydra:member', $default);
+        self::assertArrayNotHasKey('hydra:totalItems', $default);
+        self::assertSame(1, $default['totalItems'], 'Archive exclu du totalItems par defaut.');
+
+        // includeArchived : l'archive reintegre le total.
+        $all = $http->request('GET', '/api/clients?search='.$prefix.'&includeArchived=true', ['headers' => ['Accept' => self::LD]])->toArray();
+        self::assertSame(2, $all['totalItems']);
+
+        // `view` (PartialCollectionView) sans prefixe hydra: : force le multi-page
+        // via itemsPerPage=1 sur les 2 resultats archives inclus.
+        $paged = $http->request('GET', '/api/clients?search='.$prefix.'&includeArchived=true&itemsPerPage=1', ['headers' => ['Accept' => self::LD]])->toArray();
+        self::assertArrayHasKey('view', $paged);
+        self::assertArrayNotHasKey('hydra:view', $paged);
+    }
+
+    // === Helper ===
+
+    /**
+     * Seede un client COMPLET (sans passer par l'API, validations applicatives
+     * non rejouees mais CHECK BDD respectes) : bloc comptable non nul, >= 1 RIB,
+     * >= 1 adresse multi-sites avec categories, >= 1 contact, >= 1 categorie.
+     *
+     * L'adresse est livraison + facturation (prospect exclusif, RG-1.06 ; email
+     * de facturation present, RG-1.11) afin de poser des booleens `true`
+     * serialisables tout en respectant les CHECK Postgres.
+     */
+    private function seedCompleteClient(string $companyName): ClientEntity
+    {
+        $em = $this->getEm();
+
+        // Nom unique parmi les actifs (index partiel uq_client_company_name_active).
+        $suffix = substr(bin2hex(random_bytes(3)), 0, 6);
+
+        $client = new ClientEntity();
+        $client->setCompanyName(mb_strtoupper($companyName.' '.$suffix, 'UTF-8'));
+        $client->setLastName('Complet');
+        $client->setPhonePrimary('0102030405');
+        $client->setEmail('complet'.$suffix.'@seed.test');
+        $client->addCategory($this->createCategory('SECTEUR'));
+        // Bloc comptable non nul (gating par omission cote Commerciale).
+        $client->setSiren('123456789');
+        $client->setAccountNumber('C0001');
+        $client->setNTva('FR00123456789');
+        $em->persist($client);
+
+        // >= 2 sites fixtures pour une adresse multi-sites (RG-1.10).
+        $sites = $em->getRepository(Site::class)->findBy([], null, 2);
+        self::assertGreaterThanOrEqual(2, count($sites), 'Au moins 2 sites fixtures requis (SitesFixtures).');
+
+        $address = new ClientAddress();
+        $address->setClient($client);
+        $address->setIsProspect(false);
+        $address->setIsDelivery(true);
+        $address->setIsBilling(true);
+        $address->setBillingEmail('billing'.$suffix.'@seed.test');
+        $address->setPostalCode('86000');
+        $address->setCity('Poitiers');
+        $address->setStreet('12 rue des Acacias');
+        foreach ($sites as $site) {
+            $address->addSite($site);
+        }
+        $address->addCategory($this->createCategory('SECTEUR'));
+        $em->persist($address);
+
+        $rib = new ClientRib();
+        $rib->setClient($client);
+        $rib->setLabel('Compte principal');
+        $rib->setBic(self::VALID_BIC);
+        $rib->setIban(self::VALID_IBAN);
+        $em->persist($rib);
+
+        $contact = new ClientContact();
+        $contact->setClient($client);
+        $contact->setFirstName('Marie');
+        $contact->setLastName('Martin');
+        $em->persist($contact);
+
+        $em->flush();
+
+        return $client;
+    }
+}