feat(commercial) : export XLSX fournisseurs (SupplierExportController, SIREN gaté accounting.view) (ERP-91)

Export XLSX du répertoire fournisseurs (spec § 4.6), jumeau de l'export client M1. - SupplierExportController avec #[Route(priority: 1)] (anti-conflit API Platform {id}), is_granted('commercial.suppliers.view'). Mêmes filtres que la liste (includeArchived/archivedOnly/search/categoryCode/siteId) via createListQueryBuilder() partagé avec le SupplierProvider ; non archivés par défaut. - Colonnes : Nom, Contact principal (SupplierContact de plus petit position — ERP-106), Tél principal/secondaire, Email, Catégories (CSV), Sites (CSV), SIREN (omis sans accounting.view), Date de création. - hydrateContacts() ajouté au repository (chargement batché des contacts en une requête IN, anti-N+1) — méthode dédiée à l'export, la liste paginée n'embarque pas les contacts. - Tables supplier* ajoutées à ColumnCommentsCatalog : leurs COMMENT (posés par la migration ERP-85) étaient dropés par le schema:update --force du test-db-setup et non restaurés, cassant ColumnsHaveSqlCommentTest dès un re-setup de la base de test. - Test fonctionnel SupplierExportControllerTest (9 cas).
feat(commercial) : RBAC fournisseurs (permissions + 3 sources + seed par rôle + sécurité référentiels) (ERP-90)
2026-06-05 14:56:50 +02:00 · 2026-06-05 14:21:19 +02:00 · 2026-06-05 13:55:17 +02:00 · 2026-06-05 11:57:25 +02:00 · 2026-06-05 11:24:55 +02:00 · 2026-06-05 10:55:04 +02:00
68 changed files with 6586 additions and 436 deletions
@@ -8,39 +8,10 @@
 ## Messages de validation (obligatoire)
-**Toute contrainte `#[Assert\*]` portee par une entite metier doit avoir un message FR explicite**, et **`Assert\Length.max` doit refleter le `length` de la colonne ORM**. Pendant logique back de la regle de mapping d'erreur par champ cote front (ERP-101 : `useFormErrors` / `mapViolationsToRecord` affiche sous chaque champ le `message` renvoye par le back).
+Toute contrainte `#[Assert\*]` d'une entite metier : **message FR explicite**, et `Assert\Length.max` = `length` de la colonne ORM (coherence 3 niveaux nullable DB <-> NotBlank back <-> required front, ERP-101). RG inter-champs via `#[Assert\Callback]->atPath('<champ>')` (mapping inline front, pas toast). Exceptions miroir Length (Bic/Iban/Regex borne) : whitelist `EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR`.
-Pourquoi :
+Garde-fou : `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` (casse `make test`).
- Sans `message:` explicite, Symfony renvoie le defaut **anglais** (« This value is not a valid email address. »). La locale FR globale (`default_locale: fr` dans `framework.yaml`) sert de FILET via `validators.fr.xlf`, mais les contraintes metier portent en plus leur message FR pour un controle total.
+→ patterns code + exemples + justification complete : skill `backend-entity-conventions`.
 - Une colonne string bornee **sans `Assert\Length`** echoue au niveau Postgres (500 generique, non rattachee au champ) au lieu d'une 422 propre. Le `max` doit egaler le `length` ORM (anti-derive).
 Pattern par champ scalaire :
 ```php
 // Email metier
 #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
 // Longueur calee sur la colonne (VARCHAR(120))
 #[ORM\Column(length: 120)]
 #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
 // Obligatoire (aligner nullable DB / NotBlank back / required front)
 #[Assert\NotBlank(message: 'Le téléphone est obligatoire.', normalizer: 'trim')]
 ```
 Coherence a 3 niveaux pour un champ obligatoire : colonne `nullable` (DB) <-> `Assert\NotBlank` (back) <-> `:required` + asterisque (front ERP-101). Les trois doivent s'accorder.
 Exceptions au miroir `Length` : un format deja borne par `Assert\Bic` / `Assert\Iban` (longueur garantie) ou par un `Assert\Regex` borne (ex. code postal `{4,5}`, couleur hex `#RRGGBB`) — whitelister alors la propriete dans `EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR` avec justification.
 Les regles inter-champs (RG metier : exclusivite distributor/broker RG-1.03, billingEmail RG-1.11, etc.) passent par un `#[Assert\Callback]` qui construit la violation avec `->atPath('<champ>')` — indispensable pour que le front la mappe en inline plutot qu'en toast.
 ### Garde-fou architecture
 `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` scanne reflexivement les entites sous `src/Module/*/Domain/Entity/` et echoue si :
 1. une contrainte connue n'a pas de message FR explicite (compare au defaut Symfony) ;
 2. une colonne string bornee writable n'a pas de `Assert\Length(max == ORM length)` (hors whitelist).
 Une contrainte non geree par le mapping du test le fait echouer : il faut l'ajouter explicitement (anti faux positif vert).
 ## API Platform (pas de controllers)
@@ -51,61 +22,10 @@ Une contrainte non geree par le mapping du test le fait echouer : il faut l'ajou
 ## Pagination (obligatoire)
-**Regle** : toute collection API DOIT etre paginee. Aucun retour de collection complete cote serveur.
+Toute collection API est paginee (defaut 10, max 50 ; `?pagination=false` = echappatoire selects, `?itemsPerPage=25` borne par le max). Standard global dans `config/packages/api_platform.yaml`. Jamais `paginationEnabled: false` hors whitelist `CollectionsArePaginatedTest::EXCLUDED`. Provider custom : ne jamais retourner un `array` brut sur une `CollectionOperationInterface` (court-circuite Hydra) — wrapper un Paginator (ORM : `ApiPlatform\Doctrine\Orm\Paginator` ; DBAL : `DbalPaginator`) et gerer `?pagination=false` via `$this->pagination->isEnabled(...)`.
-### Standard global
+Garde-fou : `tests/Architecture/CollectionsArePaginatedTest` (casse `make test`).
-
+→ tableau des cles `pagination_*` + selects + providers ORM/DBAL detailles : skill `backend-entity-conventions`.
 Pose dans `config/packages/api_platform.yaml` (section `defaults:`) et heritee par toutes les ressources :
 | Cle | Valeur | Effet |
 |---|---|---|
 | `pagination_enabled` | `true` | Pagination Hydra active par defaut. |
 | `pagination_items_per_page` | `10` | Taille de page par defaut, aligne sur l'UI `MalioDataTable`. |
 | `pagination_maximum_items_per_page` | `50` | Borne dure : `?itemsPerPage=999` → ramene a 50. Anti deep-fetch. |
 | `pagination_client_items_per_page` | `true` | Le client peut envoyer `?itemsPerPage=25` (bornee par le max). |
 | `pagination_client_enabled` | `true` | Le client peut envoyer `?pagination=false` pour TOUT recuperer (echappatoire selects). |
 ### Override par ressource (rare)
 Si une ressource a besoin d'un autre defaut (ex: payload lourd), utiliser les attributs sur l'operation. **JAMAIS `paginationEnabled: false`** sans whitelist explicite dans `tests/Architecture/CollectionsArePaginatedTest::EXCLUDED`.
 ```php
 new GetCollection(
    paginationItemsPerPage: 5,           // override taille par defaut
    paginationMaximumItemsPerPage: 20,   // override borne max
 )
 ```
 ### Selects et autocompletions
 Pour alimenter un `<select>` ou un drawer RBAC (Role, Permission, Site, CategoryType), le front passe :
 ```ts
 useApi().get('/api/roles?pagination=false')
 ```
 Le serveur retourne toute la collection, sans `view`. C'est l'echappatoire prevue par `pagination_client_enabled: true`. Sur les ressources a forte volumetrie, preferer une saisie assistee (recherche serveur via `?q=`) — a planifier dans un ticket dedie.
 Les tests fonctionnels qui exercent ce comportement doivent egalement passer `?pagination=false` (cf. `CategoryListTest`, `PermissionApiTest`).
 ### Providers customs et pagination
 Un provider custom qui retourne un `array` brut sur une `CollectionOperationInterface` **court-circuite la pagination Hydra** (pas de `totalItems`, pas de `view`). Patterns supportes :
 - **ORM** : injecter `ApiPlatform\State\Pagination\Pagination`, wrap un `Doctrine\ORM\Tools\Pagination\Paginator` dans `ApiPlatform\Doctrine\Orm\Paginator`. Exemple : `CategoryProvider`.
 - **DBAL** : implementer un paginator local conforme a `PaginatorInterface`. Exemple : `DbalPaginator` (Core) + `AuditLogProvider`.
 Gerer l'echappatoire `?pagination=false` :
 ```php
 if (!$this->pagination->isEnabled($operation, $context)) {
    return $qb->getQuery()->getResult(); // tout retourner
 }
 ```
 ### Garde-fou architecture
 `tests/Architecture/CollectionsArePaginatedTest` scanne reflexivement toutes les classes `#[ApiResource]` sous `src/` et echoue si une `GetCollection` pose `paginationEnabled: false` hors whitelist `EXCLUDED`. Ajouter une entree a la whitelist requiert une justification courte + un ticket Lesstime ouvert.
 ## Repositories
@@ -136,42 +56,17 @@ Format obligatoire : `module.resource[.subresource].action` en snake_case.
 ### Libelle i18n du type d'entite (obligatoire avec `#[Auditable]`)
-**Toute entite `#[Auditable]` doit avoir son libelle FR dans le bloc `audit.entity` de `frontend/i18n/locales/fr.json`.** C'est la contrepartie i18n de l'attribut : sans elle, le filtre « Type d'entite » de l'audit-log affiche le type technique brut (ex: `commercial.Client`) au lieu d'un libelle lisible.
+Toute entite `#[Auditable]` doit avoir sa cle `audit.entity.<module>_<entity>` dans `frontend/i18n/locales/fr.json` (cle = `strtolower(module)` + `_` + `strtolower(Entity)`, decision ERP-99). Sans elle, le filtre « Type d'entite » de l'audit-log retombe silencieusement sur le type technique brut (ex: `commercial.Client`). Fait partie de la definition de fini d'une entite auditee.
-Pourquoi : le filtre est dynamique (`GET /audit-log-entity-types` renvoie les `entity_type` distincts presents en base) ; des qu'un module audite une entite, son type y apparait. Le front (`formatEntityType`, `audit-log.vue`) construit la cle `audit.entity.<module>_<entity>` et, faute de traduction, **retombe silencieusement** sur le type brut.
+Garde-fou : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` (casse `make test`).
-
+→ derivation detaillee + exemples : skill `backend-entity-conventions`.
 Derivation de la cle (emplacement centralise + schema flat — decision ERP-99) :
 | FQCN entite | `entity_type` (back) | Cle i18n (flat) |
 |---|---|---|
 | `App\Module\Commercial\Domain\Entity\Client` | `commercial.Client` | `commercial_client` |
 | `App\Module\Commercial\Domain\Entity\ClientAddress` | `commercial.ClientAddress` | `commercial_clientaddress` |
 | `App\Module\Catalog\Domain\Entity\Category` | `catalog.Category` | `catalog_category` |
 Regle : `strtolower(module)` + `_` + `strtolower(Entity)`. Ajouter sa cle de libelle audit fait partie de la **definition de fini** d'une entite metier auditee.
 **Garde-fou** : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` scanne les entites `#[Auditable]` et echoue si une seule n'a pas sa cle `audit.entity.*`. Conclusion : creer une entite `#[Auditable]` sans son libelle i18n casse `make test`.
 ## Timestampable + Blamable (obligatoire pour entites metier)
-Toute **nouvelle** entite metier sous `src/Module/*/Domain/Entity/` doit porter les 4 colonnes `created_at` / `updated_at` / `created_by` / `updated_by`, remplies automatiquement. Trois lignes a ajouter a l'entite :
+Toute **nouvelle** entite metier sous `src/Module/*/Domain/Entity/` : `implements TimestampableInterface, BlamableInterface` + `use TimestampableBlamableTrait` (porte les 4 colonnes `created_at` / `updated_at` / `created_by` / `updated_by`, remplies par `TimestampableBlamableSubscriber` au prePersist/preUpdate). La migration cree les 4 colonnes (`created_at`/`updated_at` NOT NULL, `created_by`/`updated_by` nullable `ON DELETE SET NULL`). Referentiel statique justifie : whitelist `EntitiesAreTimestampableBlamableTest::EXCLUDED`.
-```php
+Garde-fou : `tests/Architecture/EntitiesAreTimestampableBlamableTest` (casse `make test`).
-use App\Shared\Domain\Contract\BlamableInterface;
+→ snippet complet : skill `backend-entity-conventions` ; spec : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis.
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 class MyEntity implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait; // porte les 4 props + getters/setters
    // ... reste metier
 }
 ```
 - Le `TimestampableBlamableSubscriber` (`Shared/Infrastructure/Doctrine/`) remplit les colonnes au `prePersist` / `preUpdate`. Hors contexte HTTP (CLI, cron, migration), le blame reste `null` (libelle « Systeme » cote front).
 - La migration de l'entite doit creer les 4 colonnes (`created_at` / `updated_at` NOT NULL, `created_by` / `updated_by` nullable `ON DELETE SET NULL`).
 - **Garde-fou CI** : `tests/Architecture/EntitiesAreTimestampableBlamableTest` echoue si une entite oublie le pattern. Un referentiel statique justifie (ex: `CategoryType`) doit etre explicitement whiteliste dans la constante `EXCLUDED` avec un commentaire.
 - Spec complete : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis
 ## Serialization
@@ -189,50 +84,7 @@ Exemple : pour qu'`User.profile` soit embarque au lieu d'un lien IRI sous le gro
 ## Migrations Doctrine
-### Documentation SQL obligatoire (`COMMENT ON COLUMN`)
+Toute migration creant/modifiant une colonne d'une table metier pose un `COMMENT ON COLUMN` (FR, ≤ 200 caracteres, semantique + contrainte/RG, cible pour les FK). Les 4 colonnes Timestampable/Blamable recoivent leur description via le helper centralise `addStandardTimestampableBlamableComments($schema, 'table')`. Bonus : `COMMENT ON TABLE` pour decrire la table.
-**Toute migration qui cree ou modifie une colonne d'une table metier doit poser un `COMMENT ON COLUMN` decrivant le champ.** La description est stockee dans `pg_description` et visible dans tous les outils d'admin BDD (DBeaver, DataGrip, pgAdmin), sans avoir a lire les annotations PHP.
+Garde-fou : `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` (schema `public`) ; une seule colonne sans `col_description` casse `make test` (hors `EXCLUDED_TABLES`).
-
+→ exemples SQL + textes du helper : skill `backend-entity-conventions`.
 **Format de la description** :
 - En francais
 - ≤ 200 caracteres
 - Semantique du champ — contraintes / lien RG si pertinent
 - Pour les colonnes d'identifiant ou FK, mentionner la cible
 Exemples :
 ```php
 // Migration : creation d'une colonne avec son commentaire dans la meme migration
 $this->addSql("ALTER TABLE client ADD COLUMN siren VARCHAR(9) DEFAULT NULL");
 $this->addSql("COMMENT ON COLUMN client.siren IS 'SIREN (9 chiffres) — identifiant legal entreprise. Unique parmi non-archives (RG-1.15).'");
 // Cas FK : preciser la cible
 $this->addSql("COMMENT ON COLUMN client.legal_form_id IS 'Reference forme juridique (SARL, SAS, SA...) — FK -> legal_form.id, ON DELETE RESTRICT.'");
 // Cas booleen : preciser le sens et la valeur par defaut
 $this->addSql("COMMENT ON COLUMN user.is_admin IS 'Drapeau super-administrateur — bypass complet RBAC. Faux par defaut.'");
 // Bonus : decrire la table elle-meme
 $this->addSql("COMMENT ON TABLE client IS 'Repertoire clients (M1 Commercial) — entites archivables.'");
 ```
 ### Helper Timestampable/Blamable
 Les 4 colonnes `created_at`, `updated_at`, `created_by`, `updated_by` ajoutees par `TimestampableBlamableTrait` recoivent une description **standardisee** via le helper centralise pour eviter la duplication. Helper a creer ou appeler :
 ```php
 // Dans la migration, apres avoir ajoute les 4 colonnes :
 $this->addStandardTimestampableBlamableComments($schema, 'client');
 ```
 L'implementation du helper applique :
 - `created_at` : « Horodatage de creation de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `updated_at` : « Horodatage de derniere modification de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `created_by` : « ID de l'utilisateur ayant cree la ligne — null pour les creations hors HTTP (CLI, migration, fixture). FK -> user.id, ON DELETE SET NULL. »
 - `updated_by` : « ID de l'utilisateur ayant modifie la ligne en dernier — null pour les modifications hors HTTP. FK -> user.id, ON DELETE SET NULL. »
 ### Garde-fou architecture
 `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` filtre sur le schema `public` et echoue si **une seule colonne** n'a pas de `col_description`. Seules les tables system (`doctrine_migration_versions`) et la whitelist `EXCLUDED_TABLES` explicite (commentaire de justification + ticket Lesstime ouvert pour le retrofit) sont tolerees.
 Conclusion : si tu crees une colonne sans poser son `COMMENT ON COLUMN`, `make test` casse en CI.
@@ -44,6 +44,10 @@ Tout champ de formulaire / filtre doit utiliser les composants `Malio*` plutot q
 Toute autre exception requiert validation avant merge.
 ## Standard ecran formulaire — reference : ecran Client
 **Tout nouvel ecran de formulaire doit ressembler au premier ecran Client** (`frontend/modules/commercial/pages/clients/new.vue` + `[id]/edit.vue`) : meme structure (bloc principal puis onglets), memes marges/espacements, memes blocs de collection (ajout/suppression inline), meme validation inline 422 par champ. C'est la reference visuelle et fonctionnelle des formulaires du projet — s'en inspirer avant d'en creer un nouveau.
 ## Validation des formulaires — useFormErrors obligatoire (erreur par champ)
 **Tout formulaire qui soumet a une API DOIT afficher les erreurs de validation 422 sous le champ concerne, via `useFormErrors`** (`frontend/shared/composables/useFormErrors.ts`). C'est le pendant front de « le back renvoie TOUTES les violations d'une 422 d'un coup » : un seul aller-retour, chaque erreur affichee inline sous son champ (prop `:error` des `Malio*`), pas un toast fourre-tout.
@@ -0,0 +1,251 @@
 ---
 name: backend-entity-conventions
 description: Conventions détaillées des entités métier Starseed (back PHP/Symfony/API Platform) — messages de validation FR sur les contraintes, pagination API Platform et providers ORM/DBAL, libellé i18n du type d'entité auditée, Timestampable/Blamable, COMMENT ON COLUMN des migrations. Charger dès qu'on crée ou modifie une entité Domain, un ApiResource, un Provider/Processor, une contrainte de validation, ou une migration Doctrine. Le résumé court de chaque règle (+ nom du test garde-fou) reste dans .claude/rules/backend.md ; ce skill porte les patterns, tableaux et exemples complets.
 ---
 # Conventions entités métier — détail
 Ce skill contient le détail (patterns code, tableaux, dérivations) des 5 règles back qui ont chacune
 un test Architecture déterministe. L'énoncé court de chaque règle vit dans `.claude/rules/backend.md`
 (chargé à chaque session) ; ici on trouve le « comment » complet.
 > Règle d'or : le **test Architecture reste le juge** (il casse `make test`). Ce skill aide à écrire
 > le code juste du premier coup, il ne remplace pas le garde-fou.
 ---
 ## 1. Messages de validation (Garde-fou : `EntityConstraintsHaveFrenchMessageTest`)
 **Toute contrainte `#[Assert\*]` portée par une entité métier doit avoir un message FR explicite**, et
 **`Assert\Length.max` doit refléter le `length` de la colonne ORM**. C'est le pendant back du mapping
 d'erreur par champ côté front (ERP-101 : `useFormErrors` / `mapViolationsToRecord` affiche sous chaque
 champ le `message` renvoyé par le back).
 Pourquoi :
 - Sans `message:` explicite, Symfony renvoie le défaut **anglais** (« This value is not a valid email
  address. »). La locale FR globale (`default_locale: fr` dans `framework.yaml`) sert de FILET via
  `validators.fr.xlf`, mais les contraintes métier portent en plus leur message FR pour un contrôle total.
 - Une colonne string bornée **sans `Assert\Length`** échoue au niveau Postgres (500 générique, non
  rattachée au champ) au lieu d'une 422 propre. Le `max` doit égaler le `length` ORM (anti-dérive).
 Pattern par champ scalaire :
 ```php
 // Email métier
 #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
 // Longueur calée sur la colonne (VARCHAR(120))
 #[ORM\Column(length: 120)]
 #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
 // Obligatoire (aligner nullable DB / NotBlank back / required front)
 #[Assert\NotBlank(message: 'Le téléphone est obligatoire.', normalizer: 'trim')]
 ```
 Cohérence à 3 niveaux pour un champ obligatoire : colonne `nullable` (DB) <-> `Assert\NotBlank` (back)
 <-> `:required` + astérisque (front ERP-101). Les trois doivent s'accorder.
 Exceptions au miroir `Length` : un format déjà borné par `Assert\Bic` / `Assert\Iban` (longueur
 garantie) ou par un `Assert\Regex` borné (ex. code postal `{4,5}`, couleur hex `#RRGGBB`) — whitelister
 alors la propriété dans `EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR` avec justification.
 Les règles inter-champs (RG métier : exclusivité distributor/broker RG-1.03, billingEmail RG-1.11, etc.)
 passent par un `#[Assert\Callback]` qui construit la violation avec `->atPath('<champ>')` — indispensable
 pour que le front la mappe en inline plutôt qu'en toast.
 ### Garde-fou architecture
 `tests/Architecture/EntityConstraintsHaveFrenchMessageTest` scanne réflexivement les entités sous
 `src/Module/*/Domain/Entity/` et échoue si :
 1. une contrainte connue n'a pas de message FR explicite (comparé au défaut Symfony) ;
 2. une colonne string bornée writable n'a pas de `Assert\Length(max == ORM length)` (hors whitelist).
 Une contrainte non gérée par le mapping du test le fait échouer : il faut l'ajouter explicitement
 (anti faux positif vert).
 ---
 ## 2. Pagination (Garde-fou : `CollectionsArePaginatedTest`)
 **Règle** : toute collection API DOIT être paginée. Aucun retour de collection complète côté serveur.
 ### Standard global
 Posé dans `config/packages/api_platform.yaml` (section `defaults:`) et hérité par toutes les ressources :
 | Clé | Valeur | Effet |
 |---|---|---|
 | `pagination_enabled` | `true` | Pagination Hydra active par défaut. |
 | `pagination_items_per_page` | `10` | Taille de page par défaut, alignée sur l'UI `MalioDataTable`. |
 | `pagination_maximum_items_per_page` | `50` | Borne dure : `?itemsPerPage=999` → ramené à 50. Anti deep-fetch. |
 | `pagination_client_items_per_page` | `true` | Le client peut envoyer `?itemsPerPage=25` (bornée par le max). |
 | `pagination_client_enabled` | `true` | Le client peut envoyer `?pagination=false` pour TOUT récupérer (échappatoire selects). |
 ### Override par ressource (rare)
 Si une ressource a besoin d'un autre défaut (ex: payload lourd), utiliser les attributs sur l'opération.
 **JAMAIS `paginationEnabled: false`** sans whitelist explicite dans
 `tests/Architecture/CollectionsArePaginatedTest::EXCLUDED`.
 ```php
 new GetCollection(
    paginationItemsPerPage: 5,           // override taille par défaut
    paginationMaximumItemsPerPage: 20,   // override borne max
 )
 ```
 ### Selects et autocomplétions
 Pour alimenter un `<select>` ou un drawer RBAC (Role, Permission, Site, CategoryType), le front passe :
 ```ts
 useApi().get('/api/roles?pagination=false')
 ```
 Le serveur retourne toute la collection, sans `view`. C'est l'échappatoire prévue par
 `pagination_client_enabled: true`. Sur les ressources à forte volumétrie, préférer une saisie assistée
 (recherche serveur via `?q=`) — à planifier dans un ticket dédié.
 Les tests fonctionnels qui exercent ce comportement doivent également passer `?pagination=false`
 (cf. `CategoryListTest`, `PermissionApiTest`).
 ### Providers customs et pagination
 Un provider custom qui retourne un `array` brut sur une `CollectionOperationInterface`
 **court-circuite la pagination Hydra** (pas de `totalItems`, pas de `view`). Patterns supportés :
 - **ORM** : injecter `ApiPlatform\State\Pagination\Pagination`, wrap un
  `Doctrine\ORM\Tools\Pagination\Paginator` dans `ApiPlatform\Doctrine\Orm\Paginator`. Exemple : `CategoryProvider`.
 - **DBAL** : implémenter un paginator local conforme à `PaginatorInterface`. Exemple : `DbalPaginator`
  (Core) + `AuditLogProvider`.
 Gérer l'échappatoire `?pagination=false` :
 ```php
 if (!$this->pagination->isEnabled($operation, $context)) {
    return $qb->getQuery()->getResult(); // tout retourner
 }
 ```
 ### Garde-fou architecture
 `tests/Architecture/CollectionsArePaginatedTest` scanne réflexivement toutes les classes
 `#[ApiResource]` sous `src/` et échoue si une `GetCollection` pose `paginationEnabled: false` hors
 whitelist `EXCLUDED`. Ajouter une entrée à la whitelist requiert une justification courte + un ticket
 Lesstime ouvert.
 ---
 ## 3. Libellé i18n du type d'entité auditée (Garde-fou : `AuditableEntitiesHaveI18nLabelTest`)
 **Toute entité `#[Auditable]` doit avoir son libellé FR dans le bloc `audit.entity` de
 `frontend/i18n/locales/fr.json`.** C'est la contrepartie i18n de l'attribut : sans elle, le filtre
 « Type d'entité » de l'audit-log affiche le type technique brut (ex: `commercial.Client`) au lieu d'un
 libellé lisible.
 Pourquoi : le filtre est dynamique (`GET /audit-log-entity-types` renvoie les `entity_type` distincts
 présents en base) ; dès qu'un module audite une entité, son type y apparaît. Le front
 (`formatEntityType`, `audit-log.vue`) construit la clé `audit.entity.<module>_<entity>` et, faute de
 traduction, **retombe silencieusement** sur le type brut.
 Dérivation de la clé (emplacement centralisé + schéma flat — décision ERP-99) :
 | FQCN entité | `entity_type` (back) | Clé i18n (flat) |
 |---|---|---|
 | `App\Module\Commercial\Domain\Entity\Client` | `commercial.Client` | `commercial_client` |
 | `App\Module\Commercial\Domain\Entity\ClientAddress` | `commercial.ClientAddress` | `commercial_clientaddress` |
 | `App\Module\Catalog\Domain\Entity\Category` | `catalog.Category` | `catalog_category` |
 Règle : `strtolower(module)` + `_` + `strtolower(Entity)`. Ajouter sa clé de libellé audit fait partie
 de la **définition de fini** d'une entité métier auditée.
 **Garde-fou** : `tests/Architecture/AuditableEntitiesHaveI18nLabelTest` scanne les entités `#[Auditable]`
 et échoue si une seule n'a pas sa clé `audit.entity.*`. Conclusion : créer une entité `#[Auditable]`
 sans son libellé i18n casse `make test`.
 ---
 ## 4. Timestampable + Blamable (Garde-fou : `EntitiesAreTimestampableBlamableTest`)
 Toute **nouvelle** entité métier sous `src/Module/*/Domain/Entity/` doit porter les 4 colonnes
 `created_at` / `updated_at` / `created_by` / `updated_by`, remplies automatiquement. Trois lignes à
 ajouter à l'entité :
 ```php
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 class MyEntity implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait; // porte les 4 props + getters/setters
    // ... reste métier
 }
 ```
 - Le `TimestampableBlamableSubscriber` (`Shared/Infrastructure/Doctrine/`) remplit les colonnes au
  `prePersist` / `preUpdate`. Hors contexte HTTP (CLI, cron, migration), le blame reste `null`
  (libellé « Système » côté front).
 - La migration de l'entité doit créer les 4 colonnes (`created_at` / `updated_at` NOT NULL,
  `created_by` / `updated_by` nullable `ON DELETE SET NULL`).
 - **Garde-fou CI** : `tests/Architecture/EntitiesAreTimestampableBlamableTest` échoue si une entité
  oublie le pattern. Un référentiel statique justifié (ex: `CategoryType`) doit être explicitement
  whitelisté dans la constante `EXCLUDED` avec un commentaire.
 - Spec complète : @docs/specs/M0-categories/spec-back.md § 2.8 + § 2.8.bis
 ---
 ## 5. Migrations Doctrine — COMMENT ON COLUMN (Garde-fou : `ColumnsHaveSqlCommentTest`)
 **Toute migration qui crée ou modifie une colonne d'une table métier doit poser un `COMMENT ON COLUMN`
 décrivant le champ.** La description est stockée dans `pg_description` et visible dans tous les outils
 d'admin BDD (DBeaver, DataGrip, pgAdmin), sans avoir à lire les annotations PHP.
 **Format de la description** :
 - En français
 - ≤ 200 caractères
 - Sémantique du champ — contraintes / lien RG si pertinent
 - Pour les colonnes d'identifiant ou FK, mentionner la cible
 Exemples :
 ```php
 // Migration : création d'une colonne avec son commentaire dans la même migration
 $this->addSql("ALTER TABLE client ADD COLUMN siren VARCHAR(9) DEFAULT NULL");
 $this->addSql("COMMENT ON COLUMN client.siren IS 'SIREN (9 chiffres) — identifiant legal entreprise. Unique parmi non-archives (RG-1.15).'");
 // Cas FK : préciser la cible
 $this->addSql("COMMENT ON COLUMN client.legal_form_id IS 'Reference forme juridique (SARL, SAS, SA...) — FK -> legal_form.id, ON DELETE RESTRICT.'");
 // Cas booléen : préciser le sens et la valeur par défaut
 $this->addSql("COMMENT ON COLUMN user.is_admin IS 'Drapeau super-administrateur — bypass complet RBAC. Faux par defaut.'");
 // Bonus : décrire la table elle-même
 $this->addSql("COMMENT ON TABLE client IS 'Repertoire clients (M1 Commercial) — entites archivables.'");
 ```
 ### Helper Timestampable/Blamable
 Les 4 colonnes `created_at`, `updated_at`, `created_by`, `updated_by` ajoutées par
 `TimestampableBlamableTrait` reçoivent une description **standardisée** via le helper centralisé pour
 éviter la duplication. Helper à créer ou appeler :
 ```php
 // Dans la migration, après avoir ajouté les 4 colonnes :
 $this->addStandardTimestampableBlamableComments($schema, 'client');
 ```
 L'implémentation du helper applique :
 - `created_at` : « Horodatage de creation de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `updated_at` : « Horodatage de derniere modification de la ligne (UTC, rempli automatiquement par TimestampableBlamableSubscriber). »
 - `created_by` : « ID de l'utilisateur ayant cree la ligne — null pour les creations hors HTTP (CLI, migration, fixture). FK -> user.id, ON DELETE SET NULL. »
 - `updated_by` : « ID de l'utilisateur ayant modifie la ligne en dernier — null pour les modifications hors HTTP. FK -> user.id, ON DELETE SET NULL. »
 ### Garde-fou architecture
 `tests/Architecture/ColumnsHaveSqlCommentTest` parcourt `information_schema.columns` filtré sur le
 schéma `public` et échoue si **une seule colonne** n'a pas de `col_description`. Seules les tables
 système (`doctrine_migration_versions`) et la whitelist `EXCLUDED_TABLES` explicite (commentaire de
 justification + ticket Lesstime ouvert pour le retrofit) sont tolérées.
 Conclusion : si tu crées une colonne sans poser son `COMMENT ON COLUMN`, `make test` casse en CI.
@@ -53,10 +53,11 @@ return [
                'permission' => 'commercial.clients.view',
            ],
            [
-                'label'  => 'sidebar.commercial.suppliers',
+                'label'      => 'sidebar.commercial.suppliers',
-                'to'     => '/suppliers',
+                'to'         => '/suppliers',
-                'icon'   => 'mdi:account-arrow-left-outline',
+                'icon'       => 'mdi:account-arrow-left-outline',
-                'module' => 'commercial',
+                'module'     => 'commercial',
                'permission' => 'commercial.suppliers.view',
            ],
        ],
    ],
@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.1.81'
+    app.version: '0.1.83'
@@ -883,6 +883,7 @@ Cf. § 2.6. Pattern Shared standard.
 ### Onglet Comptabilité
 - **RG-1.30** _(ajoutée — correctif incohérence spec-front/spec-back)_ : à la **validation complète de l'onglet Comptabilité**, les six champs scalaires `siren`, `accountNumber`, `tvaMode`, `nTva`, `paymentDelay`, `paymentType` sont **obligatoires** (alignement sur spec-front § Onglet Comptabilité). Colonnes `nullable` en base (l'onglet est rempli dans un second temps, et l'onglet principal ne les envoie pas) + validateur contextuel `ClientAccountingCompletenessValidator` invoqué par le `ClientProcessor` — même parti que RG-1.04 (Information). Déclenchement : uniquement quand **les six champs sont présents dans le payload** (le front les envoie toujours ensemble via « Valider ») ; un PATCH ciblant un sous-ensemble de champs comptables (édition ponctuelle) n'est pas soumis à la complétude. Chaque champ manquant → 422 sur son `propertyPath` (mapping inline front, ERP-101). `bank` reste hors complétude (conditionnel RG-1.12).
 - **RG-1.12** : Le champ `bank` est visible et obligatoire **uniquement** si `paymentType.code = 'VIREMENT'`. Validation server-side dans le `ClientProcessor` : si `payment_type.code = VIREMENT` et `bank IS NULL` → 422.
 - **RG-1.13** : Les champs RIB (`label`, `bic`, `iban`) sont obligatoires si **au moins un bloc RIB est présent ET** `paymentType.code = 'LCR'`. C'est-à-dire :
  - Si `paymentType.code = LCR` ET `client.ribs.count() = 0` → 422 « Au moins un RIB est obligatoire pour le type LCR ».
@@ -168,13 +168,18 @@
                    "prospect": "Prospect",
                    "delivery": "Adresse de livraison",
                    "billing": "Facturation",
                    "addressType": "Type d'adresse",
                    "addressTypeProspect": "Prospect",
                    "addressTypeDelivery": "Livraison",
                    "addressTypeBilling": "Facturation",
                    "addressTypeDeliveryBilling": "Adresse + Facturation",
                    "categories": "Catégorie",
                    "country": "Pays",
                    "postalCode": "Code postal",
                    "city": "Ville",
                    "street": "Adresse",
                    "streetComplement": "Adresse complémentaire",
-                    "sites": "Sites Starseed",
+                    "sites": "Sites",
                    "contacts": "Contact(s) rattaché(s)",
                    "billingEmail": "Email de facturation",
                    "remove": "Supprimer l'adresse",
@@ -254,7 +259,11 @@
            "commercial_client":      "Client",
            "commercial_clientaddress": "Adresse client",
            "commercial_clientcontact": "Contact client",
-            "commercial_clientrib":   "RIB client"
+            "commercial_clientrib":   "RIB client",
            "commercial_supplier":    "Fournisseur",
            "commercial_supplieraddress": "Adresse fournisseur",
            "commercial_suppliercontact": "Contact fournisseur",
            "commercial_supplierrib": "RIB fournisseur"
        },
        "empty": "Aucune activité enregistrée",
        "no_results": "Aucun résultat pour ces filtres",
@@ -10,34 +10,53 @@
            @click="$emit('remove')"
        />
-        <!-- Usage de l'adresse : Prospect exclusif de Livraison/Facturation
+        <!-- Usage de l'adresse : Select unique (plus simple pour l'utilisateur)
-             (RG-1.06/07/08). L'exclusivite est appliquee au toggle (cocher l'un
+             remplacant les 3 cases. Les options encodent les combinaisons valides
-             decoche l'autre) plutot qu'en masquant les options. -->
+             (exclusivite Prospect, RG-1.06/07/08) ; le back recoit toujours les
-        <MalioCheckbox
+             drapeaux isProspect / isDelivery / isBilling (aucune RG modifiee). -->
-            :model-value="model.isProspect"
+        <MalioSelect
-            :label="t('commercial.clients.form.address.prospect')"
+            :model-value="addressType"
-            group-class="self-center"
+            :options="addressTypeOptions"
            :label="t('commercial.clients.form.address.addressType')"
            :readonly="readonly"
-            @update:model-value="(v: boolean) => toggleFlag('isProspect', v)"
+            :required="true"
-        />
+            @update:model-value="onAddressTypeChange"
        <MalioCheckbox
            :model-value="model.isDelivery"
            :label="t('commercial.clients.form.address.delivery')"
            group-class="self-center"
            :readonly="readonly"
            @update:model-value="(v: boolean) => toggleFlag('isDelivery', v)"
        />
        <MalioCheckbox
            :model-value="model.isBilling"
            :label="t('commercial.clients.form.address.billing')"
            group-class="self-center"
            :readonly="readonly"
            @update:model-value="(v: boolean) => toggleFlag('isBilling', v)"
        />
-        <!-- Cellule vide : laisse un trou en position 4 (ligne 1) pour que
+        <!-- Sites Starseed : multiselect a tags (>= 1 obligatoire, RG-1.10). -->
-             Categorie reparte au debut de la ligne suivante. -->
+        <MalioSelectCheckbox
-        <div aria-hidden="true" />
+            :model-value="model.siteIris"
            :options="siteOptions"
            :label="t('commercial.clients.form.address.sites')"
            :display-tag="true"
            :readonly="readonly"
            :required="true"
            @update:model-value="(v: (string | number)[]) => update('siteIris', v.map(String))"
        />
        <MalioSelectCheckbox
            :model-value="model.contactIris"
            :options="contactOptions"
            :label="t('commercial.clients.form.address.contacts')"
            :display-tag="true"
            :readonly="readonly"
            @update:model-value="(v: (string | number)[]) => update('contactIris', v.map(String))"
        />
        <!-- Email de facturation : ligne 1 colonne 4, visible/obligatoire
             seulement si Facturation (RG-1.11). Sinon un filler comble la
             colonne pour que Categorie reparte au debut de la ligne 2. -->
        <MalioInputEmail
            v-if="isBillingEmailRequired(model)"
            :model-value="model.billingEmail"
            :label="t('commercial.clients.form.address.billingEmail')"
            :required="true"
            :readonly="readonly"
            :lowercase="true"
            :error="errors?.billingEmail"
            @update:model-value="(v: string) => update('billingEmail', v)"
        />
        <div v-else aria-hidden="true" />
        <MalioSelectCheckbox
            :model-value="model.categoryIris"
@@ -134,47 +153,15 @@
            />
        </div>
        <!-- Sites Starseed : cases a cocher inline (>= 1 obligatoire, RG-1.10). -->
        <div class="flex justify-between">
            <MalioCheckbox
                v-for="site in siteOptions"
                :key="site.value"
                :model-value="model.siteIris.includes(site.value)"
                :label="site.label"
                group-class="w-auto self-center"
                :readonly="readonly"
                @update:model-value="(v: boolean) => toggleSite(site.value, v)"
            />
        </div>
        <MalioSelectCheckbox
            :model-value="model.contactIris"
            :options="contactOptions"
            :label="t('commercial.clients.form.address.contacts')"
            :display-tag="true"
            :readonly="readonly"
            @update:model-value="(v: (string | number)[]) => update('contactIris', v.map(String))"
        />
        <!-- Email de facturation : visible/obligatoire seulement si Facturation
             est coche (RG-1.11). -->
        <MalioInputText
            v-if="isBillingEmailRequired(model)"
            :model-value="model.billingEmail"
            :label="t('commercial.clients.form.address.billingEmail')"
            :required="true"
            :readonly="readonly"
            :error="errors?.billingEmail"
            @update:model-value="(v: string) => update('billingEmail', v)"
        />
    </div>
 </template>
 <script setup lang="ts">
 import {
-    applyProspectExclusivity,
+    addressFlagsFromType,
    addressTypeFromFlags,
    isBillingEmailRequired,
-    type AddressFlagsDraft,
+    type AddressType,
 } from '~/modules/commercial/utils/clientFormRules'
 import { useAddressAutocomplete, type AddressSuggestion } from '~/shared/composables/useAddressAutocomplete'
 import type { CategoryOption, RefOption } from '~/modules/commercial/composables/useClientReferentials'
@@ -213,6 +200,23 @@ const autocomplete = useAddressAutocomplete()
 const model = computed(() => props.modelValue)
 // Type d'adresse (Select unique) derive des drapeaux back. null tant qu'aucun
 // drapeau n'est pose -> champ vide + bouton « Valider » bloque (cf. parent).
 const addressType = computed<AddressType | null>(() => addressTypeFromFlags(model.value))
 const addressTypeOptions = computed<RefOption[]>(() => [
    { value: 'prospect', label: t('commercial.clients.form.address.addressTypeProspect') },
    { value: 'delivery', label: t('commercial.clients.form.address.addressTypeDelivery') },
    { value: 'billing', label: t('commercial.clients.form.address.addressTypeBilling') },
    { value: 'delivery_billing', label: t('commercial.clients.form.address.addressTypeDeliveryBilling') },
 ])
 /** Applique le type choisi en repercutant les 3 drapeaux back (immutabilite). */
 function onAddressTypeChange(value: string | number | null): void {
    if (value === null) return
    emit('update:modelValue', { ...props.modelValue, ...addressFlagsFromType(value as AddressType) })
 }
 // Mode degrade : service BAN indisponible → Ville/Adresse en saisie libre.
 const degraded = ref(false)
 // Villes proposees par la BAN (alimentees a la saisie du code postal).
@@ -254,25 +258,6 @@ function update<K extends keyof AddressFormDraft>(field: K, value: AddressFormDr
    emit('update:modelValue', { ...props.modelValue, [field]: value })
 }
 /** Coche/decoche un site Starseed rattache a l'adresse (M2M par IRI, RG-1.10). */
 function toggleSite(siteIri: string, selected: boolean): void {
    const current = props.modelValue.siteIris
    const next = selected
        ? [...current, siteIri]
        : current.filter(iri => iri !== siteIri)
    update('siteIris', next)
 }
 /** Applique l'exclusivite Prospect / (Livraison|Facturation) au changement. */
 function toggleFlag(field: keyof AddressFlagsDraft, value: boolean): void {
    const flags = applyProspectExclusivity(
        { isProspect: model.value.isProspect, isDelivery: model.value.isDelivery, isBilling: model.value.isBilling },
        field,
        value,
    )
    emit('update:modelValue', { ...props.modelValue, ...flags })
 }
 /** Bascule définitivement en mode degrade et previent le parent (toast unique). */
 function enterDegraded(): void {
    if (!degraded.value) {
@@ -37,6 +37,7 @@
            :model-value="model.email"
            :label="t('commercial.clients.form.contact.email')"
            :readonly="readonly"
            :lowercase="true"
            :error="errors?.email"
            @update:model-value="(v: string) => update('email', v)"
        />
@@ -52,3 +52,71 @@ describe('useClientFormErrors', () => {
        expect(f.addressErrors.value[0]).toBeUndefined()
    })
 })
 // Construit une erreur facon useApi : 422 avec violations Hydra.
 function http422(path: string, message: string) {
    return { response: { status: 422, _data: { violations: [{ propertyPath: path, message }] } } }
 }
 /**
 * `submitRows` factorise la soumission d'une collection de blocs (contacts /
 * adresses / RIB) : on tente TOUS les blocs et on collecte les erreurs par index
 * sans stopper au premier echec (ERP-110 / ERP-101).
 */
 describe('useClientFormErrors.submitRows', () => {
    it('tente TOUS les blocs et mappe les erreurs par index, sans stopper au premier echec', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const seen: number[] = []
        const onUnmapped = vi.fn()
        const saveRow = async (_row: unknown, index: number) => {
            seen.push(index)
            if (index === 1) throw http422('email', 'Email invalide')
        }
        const hasError = await submitRows(
            [{ a: 0 }, { a: 1 }, { a: 2 }],
            contactErrors,
            saveRow,
            onUnmapped,
        )
        expect(seen).toEqual([0, 1, 2]) // tous les blocs tentes
        expect(hasError).toBe(true)
        expect(contactErrors.value[1]).toEqual({ email: 'Email invalide' })
        expect(contactErrors.value[0]).toBeUndefined()
        expect(onUnmapped).not.toHaveBeenCalled() // 422 mappee, pas de fallback
    })
    it('delegue le fallback onUnmappedError pour une erreur non mappable et marque hasError', async () => {
        const { ribErrors, submitRows } = useClientFormErrors()
        const onUnmapped = vi.fn()
        const hasError = await submitRows(
            [{ a: 0 }],
            ribErrors,
            async () => { throw { response: { status: 500, _data: {} } } },
            onUnmapped,
        )
        expect(hasError).toBe(true)
        expect(onUnmapped).toHaveBeenCalledTimes(1)
        expect(ribErrors.value[0]).toBeUndefined()
    })
    it('saute les lignes filtrees par shouldSkip et renvoie false si tout passe', async () => {
        const { contactErrors, submitRows } = useClientFormErrors()
        const saved: number[] = []
        const hasError = await submitRows(
            [{ skip: true }, { skip: false }],
            contactErrors,
            async (_row, index) => { saved.push(index) },
            vi.fn(),
            (row: { skip: boolean }) => row.skip,
        )
        expect(saved).toEqual([1])
        expect(hasError).toBe(false)
    })
 })
@@ -43,6 +43,44 @@ export function useClientFormErrors() {
        return false
    }
    /**
     * Soumet TOUS les blocs d'une collection (contacts / adresses / RIB) en
     * collectant les erreurs par index : on n'arrete PAS au premier bloc en echec
     * (decision ERP-110 / ERP-101). Reinitialise le tableau d'erreurs cible, tente
     * chaque ligne via `saveRow`, mappe les 422 inline (mapRowError) ou delegue le
     * fallback a `onUnmappedError`. `shouldSkip` permet d'ignorer les blocs vides
     * (non remplis). Retourne true si au moins un bloc a echoue (le caller ne valide
     * alors pas l'onglet et n'affiche pas de toast succes).
     */
    async function submitRows<T>(
        rows: T[],
        target: Ref<Record<string, string>[]>,
        saveRow: (row: T, index: number) => Promise<void>,
        onUnmappedError: (error: unknown, index: number) => void,
        shouldSkip?: (row: T, index: number) => boolean,
    ): Promise<boolean> {
        target.value = []
        let hasError = false
        for (let index = 0; index < rows.length; index++) {
            // L'index reste borne par rows.length : la ligne existe forcement.
            const row = rows[index] as T
            if (shouldSkip?.(row, index)) {
                continue
            }
            try {
                await saveRow(row, index)
            }
            catch (error) {
                if (!mapRowError(error, target, index)) {
                    onUnmappedError(error, index)
                }
                hasError = true
            }
        }
        return hasError
    }
    return {
        mainErrors,
        informationErrors,
@@ -51,5 +89,6 @@ export function useClientFormErrors() {
        addressErrors,
        ribErrors,
        mapRowError,
        submitRows,
    }
 }
@@ -410,11 +410,15 @@ import {
    type MainFormDraft,
 } from '~/modules/commercial/utils/clientEdit'
 import {
    addressTypeFromFlags,
    buildClientFormTabKeys,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
 } from '~/modules/commercial/utils/clientFormRules'
 import {
@@ -628,7 +632,7 @@ const {
    contactErrors,
    addressErrors,
    ribErrors,
-    mapRowError,
+    submitRows,
 } = useClientFormErrors()
 // ── Bloc principal ───────────────────────────────────────────────────────────
@@ -742,11 +746,14 @@ async function submitContacts(): Promise<void> {
        }
        removedContactIds.value = []
-        for (let index = 0; index < contacts.value.length; index++) {
+        // On tente TOUS les blocs (collecte des erreurs par index, ERP-110). Seuls
-            const contact = contacts.value[index]
+        // les blocs TOTALEMENT vides sont ignores : un bloc partiellement rempli
-            if (!isContactNamed(contact)) continue
+        // sans nom (email seul) est soumis -> 422 RG-1.05 inline sous le bloc.
-            const body = buildContactPayload(contact)
+        const hasError = await submitRows(
-            try {
+            contacts.value,
            contactErrors,
            async (contact) => {
                const body = buildContactPayload(contact)
                if (contact.id === null) {
                    const created = await api.post<{ '@id'?: string, id: number }>(
                        `/clients/${clientId}/contacts`,
@@ -759,15 +766,15 @@ async function submitContacts(): Promise<void> {
                else {
                    await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => showError(error),
-                // 422 → erreurs inline sous les champs de CETTE ligne ; on stoppe.
+            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
-                if (!mapRowError(error, contactErrors, index)) {
+            // bloc existant vide est soumis -> 422 RG-1.05 inline (sinon la modif
-                    showError(error)
+            // serait perdue en silence avec un faux toast de succes).
-                }
+            contact => contact.id === null && isContactBlank(contact),
-                return
+        )
-            }
+        // Tant qu'un bloc reste en erreur : pas de toast succes.
-        }
+        if (hasError) return
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -783,7 +790,8 @@ const canValidateAddresses = computed(() =>
    addresses.value.length > 0
    && addresses.value.every((a) => {
        const filledBillingEmail = a.billingEmail !== null && a.billingEmail.trim() !== ''
-        return a.siteIris.length >= 1
+        return addressTypeFromFlags(a) !== null
            && a.siteIris.length >= 1
            && a.categoryIris.length >= 1
            && (!isBillingEmailRequired(a) || filledBillingEmail)
    }),
@@ -824,10 +832,12 @@ async function submitAddresses(): Promise<void> {
        }
        removedAddressIds.value = []
-        for (let index = 0; index < addresses.value.length; index++) {
+        // On tente TOUS les blocs d'adresse (collecte des erreurs par index, ERP-110).
-            const address = addresses.value[index]
+        const hasError = await submitRows(
-            const body = buildAddressPayload(address, isBillingEmailRequired(address))
+            addresses.value,
-            try {
+            addressErrors,
            async (address) => {
                const body = buildAddressPayload(address, isBillingEmailRequired(address))
                if (address.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId}/addresses`,
@@ -839,14 +849,10 @@ async function submitAddresses(): Promise<void> {
                else {
                    await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => showError(error),
-                if (!mapRowError(error, addressErrors, index)) {
+        )
-                    showError(error)
+        if (hasError) return
                }
                return
            }
        }
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -875,6 +881,7 @@ function ribIsComplete(rib: { label: string | null, bic: string | null, iban: st
 }
 const canValidateAccounting = computed(() => {
    if (!hasAllRequiredAccountingFields(accounting)) return false
    if (isBankRequired.value && accounting.bankIri === null) return false
    if (isRibRequired.value && !ribs.value.some(ribIsComplete)) return false
    return true
@@ -905,6 +912,9 @@ async function submitAccounting(): Promise<void> {
    if (accountingReadonly.value || !canValidateAccounting.value || tabSubmitting.value) return
    tabSubmitting.value = true
    accountingErrors.clearErrors()
    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
    // des erreurs de RIB obsoletes affichees sous les blocs.
    ribErrors.value = []
    try {
        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
@@ -921,12 +931,14 @@ async function submitAccounting(): Promise<void> {
        }
        removedRibIds.value = []
-        // 2) POST/PATCH des RIB (erreurs inline par ligne).
+        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
-        for (let index = 0; index < ribs.value.length; index++) {
+        // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
-            const rib = ribs.value[index]
+        // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
-            if (!ribIsComplete(rib)) continue
+        const ribHasError = await submitRows(
-            const body = buildRibPayload(rib)
+            ribs.value,
-            try {
+            ribErrors,
            async (rib) => {
                const body = buildRibPayload(rib)
                if (rib.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId}/ribs`,
@@ -938,14 +950,14 @@ async function submitAccounting(): Promise<void> {
                else {
                    await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => showError(error),
-                if (!mapRowError(error, ribErrors, index)) {
+            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
-                    showError(error)
+            // RIB existant vide est soumis -> 422 NotBlank inline (sinon la modif
-                }
+            // serait perdue en silence avec un faux toast de succes).
-                return
+            rib => rib.id === null && isRibBlank(rib),
-            }
+        )
-        }
+        if (ribHasError) return
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
    catch (e) {
@@ -380,12 +380,16 @@ import { computed, onMounted, reactive, ref, watch } from 'vue'
 import { useClientReferentials, type RefOption } from '~/modules/commercial/composables/useClientReferentials'
 import { useClientFormErrors } from '~/modules/commercial/composables/useClientFormErrors'
 import {
    addressTypeFromFlags,
    buildClientFormTabKeys,
    CLIENT_FORM_PLACEHOLDER_TABS,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
 } from '~/modules/commercial/utils/clientFormRules'
 import {
@@ -441,7 +445,7 @@ const {
    contactErrors,
    addressErrors,
    ribErrors,
-    mapRowError,
+    submitRows,
 } = useClientFormErrors()
 useHead({ title: t('commercial.clients.form.title') })
@@ -676,23 +680,22 @@ function askRemoveContact(index: number): void {
 async function submitContacts(): Promise<void> {
    if (clientId.value === null || !canValidateContacts.value || tabSubmitting.value) return
    tabSubmitting.value = true
    contactErrors.value = []
    try {
-        for (let index = 0; index < contacts.value.length; index++) {
+        // On tente TOUS les blocs (collecte des erreurs par index, ERP-110). Seuls
-            const contact = contacts.value[index]
+        // les blocs TOTALEMENT vides sont ignores : un bloc partiellement rempli
-            // On ignore les blocs totalement vides (ni nom ni prenom).
+        // sans nom (email seul) est soumis -> 422 RG-1.05 inline sous le bloc.
-            if (!isContactNamed(contact)) continue
+        const hasError = await submitRows(
-
+            contacts.value,
-            const body = {
+            contactErrors,
-                firstName: contact.firstName || null,
+            async (contact) => {
-                lastName: contact.lastName || null,
+                const body = {
-                jobTitle: contact.jobTitle || null,
+                    firstName: contact.firstName || null,
-                phonePrimary: contact.phonePrimary || null,
+                    lastName: contact.lastName || null,
-                phoneSecondary: contact.hasSecondaryPhone ? (contact.phoneSecondary || null) : null,
+                    jobTitle: contact.jobTitle || null,
-                email: contact.email || null,
+                    phonePrimary: contact.phonePrimary || null,
-            }
+                    phoneSecondary: contact.hasSecondaryPhone ? (contact.phoneSecondary || null) : null,
-
+                    email: contact.email || null,
-            try {
+                }
                if (contact.id === null) {
                    const created = await api.post<ContactResponse>(
                        `/clients/${clientId.value}/contacts`,
@@ -705,16 +708,15 @@ async function submitContacts(): Promise<void> {
                else {
                    await api.patch(`/client_contacts/${contact.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
-                // 422 → erreurs inline sous les champs de CETTE ligne ; on stoppe
+            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
-                // a la premiere ligne en echec (les suivantes ne sont pas tentees).
+            // bloc existant vide est soumis -> 422 RG-1.05 inline (sinon la modif
-                if (!mapRowError(error, contactErrors, index)) {
+            // serait perdue en silence avec un faux toast de succes).
-                    toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
+            contact => contact.id === null && isContactBlank(contact),
-                }
+        )
-                return
+        // Tant qu'un bloc reste en erreur : pas de validation d'onglet ni de toast succes.
-            }
+        if (hasError) return
        }
        completeTab('contact')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
@@ -748,12 +750,14 @@ const countryOptions: RefOption[] = [
    { value: 'Espagne', label: 'Espagne' },
 ]
-// RG-1.10 (>= 1 site) + RG-1.11 (email facturation si Facturation) sur chaque adresse.
+// Type d'adresse (Select) obligatoire + RG-1.10 (>= 1 site) + RG-1.11 (email
 // facturation si Facturation) sur chaque adresse.
 const canValidateAddresses = computed(() =>
    addresses.value.length > 0
    && addresses.value.every((a) => {
        const filledBillingEmail = a.billingEmail !== null && a.billingEmail.trim() !== ''
-        return a.siteIris.length >= 1
+        return addressTypeFromFlags(a) !== null
            && a.siteIris.length >= 1
            && a.categoryIris.length >= 1
            && (!isBillingEmailRequired(a) || filledBillingEmail)
    }),
@@ -784,26 +788,26 @@ function onAddressDegraded(): void {
 async function submitAddresses(): Promise<void> {
    if (clientId.value === null || !canValidateAddresses.value || tabSubmitting.value) return
    tabSubmitting.value = true
    addressErrors.value = []
    try {
-        for (let index = 0; index < addresses.value.length; index++) {
+        // On tente TOUS les blocs d'adresse (collecte des erreurs par index, ERP-110).
-            const address = addresses.value[index]
+        const hasError = await submitRows(
-            const body = {
+            addresses.value,
-                isProspect: address.isProspect,
+            addressErrors,
-                isDelivery: address.isDelivery,
+            async (address) => {
-                isBilling: address.isBilling,
+                const body = {
-                country: address.country,
+                    isProspect: address.isProspect,
-                postalCode: address.postalCode || null,
+                    isDelivery: address.isDelivery,
-                city: address.city || null,
+                    isBilling: address.isBilling,
-                street: address.street || null,
+                    country: address.country,
-                streetComplement: address.streetComplement || null,
+                    postalCode: address.postalCode || null,
-                categories: address.categoryIris,
+                    city: address.city || null,
-                sites: address.siteIris,
+                    street: address.street || null,
-                contacts: address.contactIris,
+                    streetComplement: address.streetComplement || null,
-                billingEmail: isBillingEmailRequired(address) ? (address.billingEmail || null) : null,
+                    categories: address.categoryIris,
-            }
+                    sites: address.siteIris,
-
+                    contacts: address.contactIris,
-            try {
+                    billingEmail: isBillingEmailRequired(address) ? (address.billingEmail || null) : null,
                }
                if (address.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId.value}/addresses`,
@@ -815,14 +819,10 @@ async function submitAddresses(): Promise<void> {
                else {
                    await api.patch(`/client_addresses/${address.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
-                if (!mapRowError(error, addressErrors, index)) {
+        )
-                    toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
+        if (hasError) return
                }
                return
            }
        }
        completeTab('address')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
    }
@@ -864,8 +864,11 @@ function ribIsComplete(rib: RibFormDraft): boolean {
    return filled(rib.label) && filled(rib.bic) && filled(rib.iban)
 }
 // RG-1.30 : les 6 champs scalaires obligatoires (comme les onglets Contact /
 // Adresse, le bouton reste desactive tant que l'onglet n'est pas complet).
 // RG-1.12 : banque requise si VIREMENT. RG-1.13 : >= 1 RIB complet si LCR.
 const canValidateAccounting = computed(() => {
    if (!hasAllRequiredAccountingFields(accounting)) return false
    if (isBankRequired.value && (accounting.bankIri === null)) return false
    if (isRibRequired.value && !ribs.value.some(ribIsComplete)) return false
    return true
@@ -893,6 +896,9 @@ async function submitAccounting(): Promise<void> {
    if (clientId.value === null || !canValidateAccounting.value || tabSubmitting.value) return
    tabSubmitting.value = true
    accountingErrors.clearErrors()
    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
    // des erreurs de RIB obsoletes affichees sous les blocs.
    ribErrors.value = []
    try {
        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
@@ -912,30 +918,33 @@ async function submitAccounting(): Promise<void> {
            return
        }
-        // 2) POST/PATCH des RIB (erreurs inline par ligne).
+        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
-        for (let index = 0; index < ribs.value.length; index++) {
+        // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
-            const rib = ribs.value[index]
+        // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
-            if (!ribIsComplete(rib)) continue
+        const ribHasError = await submitRows(
-            try {
+            ribs.value,
            ribErrors,
            async (rib) => {
                const body = { label: rib.label, bic: rib.bic, iban: rib.iban }
                if (rib.id === null) {
                    const created = await api.post<{ id: number }>(
                        `/clients/${clientId.value}/ribs`,
-                        { label: rib.label, bic: rib.bic, iban: rib.iban },
+                        body,
                        { headers: { Accept: 'application/ld+json' }, toast: false },
                    )
                    rib.id = created.id
                }
                else {
-                    await api.patch(`/client_ribs/${rib.id}`, { label: rib.label, bic: rib.bic, iban: rib.iban }, { toast: false })
+                    await api.patch(`/client_ribs/${rib.id}`, body, { toast: false })
                }
-            }
+            },
-            catch (error) {
+            error => toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) }),
-                if (!mapRowError(error, ribErrors, index)) {
+            // On ne saute QUE les amorces neuves (id null) totalement vides. Un
-                    toast.error({ title: t('commercial.clients.toast.error'), message: apiErrorMessage(error) })
+            // RIB existant vide est soumis -> 422 NotBlank inline (sinon la modif
-                }
+            // serait perdue en silence avec un faux toast de succes).
-                return
+            rib => rib.id === null && isRibBlank(rib),
-            }
+        )
-        }
+        if (ribHasError) return
        completeTab('accounting')
        toast.success({ title: t('commercial.clients.toast.updateSuccess') })
@@ -1,17 +1,36 @@
 import { describe, it, expect } from 'vitest'
 import {
    addressFlagsFromType,
    addressTypeFromFlags,
    applyProspectExclusivity,
    buildClientFormTabKeys,
    canSelectDeliveryOrBilling,
    canSelectProspect,
    hasAllRequiredAccountingFields,
    hasAtLeastOneValidContact,
    isBankRequiredForPaymentType,
    isBillingEmailRequired,
    isBlankRow,
    isContactBlank,
    isContactNamed,
    isRibBlank,
    isRibRequiredForPaymentType,
    type ContactDraft,
    type ContactFillableDraft,
 } from '../clientFormRules'
 /** Bloc contact totalement vide (amorce par defaut). */
 function blankContact(): ContactFillableDraft {
    return {
        firstName: null,
        lastName: null,
        jobTitle: null,
        phonePrimary: null,
        phoneSecondary: null,
        email: null,
    }
 }
 describe('buildClientFormTabKeys (gating onglet Comptabilite + onglets edit-only)', () => {
    it('inclut l onglet accounting si l utilisateur a accounting.view', () => {
        expect(buildClientFormTabKeys(true)).toContain('accounting')
@@ -59,6 +78,49 @@ describe('isContactNamed (RG-1.05)', () => {
    })
 })
 describe('isBlankRow (primitive : toutes les valeurs vides)', () => {
    it('vrai si toutes les valeurs sont nulles / vides / espaces', () => {
        expect(isBlankRow([null, undefined, '', '  '])).toBe(true)
        expect(isBlankRow([])).toBe(true)
    })
    it('faux des qu une valeur porte un caractere non-espace', () => {
        expect(isBlankRow([null, 'x', ''])).toBe(false)
    })
 })
 describe('isRibBlank (bloc RIB totalement vide vs partiellement rempli)', () => {
    it('vrai si label / bic / iban sont tous vides', () => {
        expect(isRibBlank({ label: null, bic: null, iban: null })).toBe(true)
        expect(isRibBlank({ label: '  ', bic: '', iban: null })).toBe(true)
    })
    it('faux si un IBAN seul est saisi (bloc a soumettre -> 422 NotBlank inline)', () => {
        expect(isRibBlank({ label: null, bic: null, iban: 'FR1420041010050500013M02606' })).toBe(false)
    })
    it('faux si seul le libelle est saisi', () => {
        expect(isRibBlank({ label: 'Compte courant', bic: null, iban: null })).toBe(false)
    })
 })
 describe('isContactBlank (bloc totalement vide vs partiellement rempli)', () => {
    it('vrai si aucun champ saisissable n est rempli', () => {
        expect(isContactBlank(blankContact())).toBe(true)
        expect(isContactBlank({ ...blankContact(), firstName: '  ', email: '' })).toBe(true)
    })
    it('faux si un email seul est saisi (bloc a soumettre -> 422 RG-1.05 inline)', () => {
        expect(isContactBlank({ ...blankContact(), email: 'jean@acme.fr' })).toBe(false)
    })
    it('faux si seul un telephone, une fonction ou un nom est saisi', () => {
        expect(isContactBlank({ ...blankContact(), phonePrimary: '0612345678' })).toBe(false)
        expect(isContactBlank({ ...blankContact(), jobTitle: 'Directeur' })).toBe(false)
        expect(isContactBlank({ ...blankContact(), firstName: 'Alice' })).toBe(false)
    })
 })
 describe('hasAtLeastOneValidContact (RG-1.14)', () => {
    it('faux sur une liste vide', () => {
        expect(hasAtLeastOneValidContact([])).toBe(false)
@@ -137,6 +199,32 @@ describe('isBillingEmailRequired (RG-1.11)', () => {
    })
 })
 describe('type d\'adresse (Select front) <-> drapeaux back', () => {
    it('addressFlagsFromType mappe chaque type vers les bons drapeaux', () => {
        expect(addressFlagsFromType('prospect')).toEqual({ isProspect: true, isDelivery: false, isBilling: false })
        expect(addressFlagsFromType('delivery')).toEqual({ isProspect: false, isDelivery: true, isBilling: false })
        expect(addressFlagsFromType('billing')).toEqual({ isProspect: false, isDelivery: false, isBilling: true })
        expect(addressFlagsFromType('delivery_billing')).toEqual({ isProspect: false, isDelivery: true, isBilling: true })
    })
    it('addressTypeFromFlags reconstruit le type (Prospect prioritaire, livraison+facturation groupes)', () => {
        expect(addressTypeFromFlags({ isProspect: true, isDelivery: false, isBilling: false })).toBe('prospect')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: true, isBilling: false })).toBe('delivery')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: false, isBilling: true })).toBe('billing')
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: true, isBilling: true })).toBe('delivery_billing')
    })
    it('addressTypeFromFlags retourne null quand aucun drapeau (amorce vierge -> bouton bloque)', () => {
        expect(addressTypeFromFlags({ isProspect: false, isDelivery: false, isBilling: false })).toBeNull()
    })
    it('aller-retour type -> drapeaux -> type stable pour les 4 types', () => {
        for (const type of ['prospect', 'delivery', 'billing', 'delivery_billing'] as const) {
            expect(addressTypeFromFlags(addressFlagsFromType(type))).toBe(type)
        }
    })
 })
 describe('regles type de reglement (RG-1.12 / RG-1.13)', () => {
    it('banque obligatoire si VIREMENT', () => {
        expect(isBankRequiredForPaymentType('VIREMENT')).toBe(true)
@@ -150,3 +238,36 @@ describe('regles type de reglement (RG-1.12 / RG-1.13)', () => {
        expect(isRibRequiredForPaymentType(null)).toBe(false)
    })
 })
 describe('hasAllRequiredAccountingFields (RG-1.30)', () => {
    const complete = {
        siren: '123456789',
        accountNumber: '00012345678',
        nTva: 'FR12345678901',
        tvaModeIri: '/api/tva_modes/1',
        paymentDelayIri: '/api/payment_delays/1',
        paymentTypeIri: '/api/payment_types/1',
    }
    it('vrai quand les six champs obligatoires sont remplis', () => {
        expect(hasAllRequiredAccountingFields(complete)).toBe(true)
    })
    it('faux si un champ est manquant (null ou vide apres trim)', () => {
        expect(hasAllRequiredAccountingFields({ ...complete, siren: null })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, accountNumber: '   ' })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, tvaModeIri: null })).toBe(false)
        expect(hasAllRequiredAccountingFields({ ...complete, paymentTypeIri: null })).toBe(false)
    })
    it('faux quand tout est vide (onglet non rempli)', () => {
        expect(hasAllRequiredAccountingFields({
            siren: null,
            accountNumber: null,
            nTva: null,
            tvaModeIri: null,
            paymentDelayIri: null,
            paymentTypeIri: null,
        })).toBe(false)
    })
 })
@@ -86,6 +86,58 @@ export function hasAtLeastOneValidContact(contacts: ContactDraft[]): boolean {
    return contacts.some(isContactNamed)
 }
 /**
 * Primitive reutilisable : vrai si TOUTES les valeurs fournies sont vides (null /
 * undefined / espaces uniquement). Sert a detecter un bloc de collection
 * totalement vide (amorce non remplie). Un bloc qui porte la moindre donnee
 * n'est PAS « blank » : il doit etre soumis pour declencher sa 422 inline plutot
 * que d'etre saute silencieusement.
 */
 export function isBlankRow(values: (string | null | undefined)[]): boolean {
    return values.every(value => !isFilled(value))
 }
 /** Champs saisissables d'un bloc contact (pour detecter un bloc totalement vide). */
 export interface ContactFillableDraft extends ContactDraft {
    jobTitle: string | null
    phonePrimary: string | null
    phoneSecondary: string | null
    email: string | null
 }
 /**
 * Vrai si AUCUN champ saisissable du bloc contact n'est rempli. Distingue un bloc
 * d'amorce vide (a ignorer au submit) d'un bloc partiellement rempli sans nom
 * (email / telephone / fonction seul) : ce dernier doit etre soumis pour
 * declencher la 422 RG-1.05 (« prenom ou nom obligatoire ») affichee inline.
 */
 export function isContactBlank(contact: ContactFillableDraft): boolean {
    return isBlankRow([
        contact.firstName,
        contact.lastName,
        contact.jobTitle,
        contact.phonePrimary,
        contact.phoneSecondary,
        contact.email,
    ])
 }
 /** Champs saisissables d'un bloc RIB (pour detecter un bloc totalement vide). */
 export interface RibFillableDraft {
    label: string | null
    bic: string | null
    iban: string | null
 }
 /**
 * Vrai si AUCUN champ du bloc RIB n'est rempli. Un RIB partiellement rempli (ex.
 * IBAN seul) n'est PAS « blank » : il doit etre soumis pour declencher les 422
 * NotBlank (label / bic / iban) inline plutot que d'etre saute silencieusement.
 */
 export function isRibBlank(rib: RibFillableDraft): boolean {
    return isBlankRow([rib.label, rib.bic, rib.iban])
 }
 /**
 * RG-1.06/07/08 : une adresse de prospection est exclusive d'une adresse de
 * livraison/facturation. Prospect n'est selectionnable que si ni Livraison ni
@@ -135,6 +187,45 @@ export function isBillingEmailRequired(flags: AddressFlagsDraft): boolean {
    return flags.isBilling
 }
 /**
 * Type d'adresse expose a l'utilisateur (Select unique remplacant les trois
 * cases a cocher). Sucre purement front : le back continue de recevoir les
 * drapeaux isProspect / isDelivery / isBilling (aucune RG modifiee). Les seules
 * combinaisons proposees respectent l'exclusivite Prospect (RG-1.06/07/08).
 */
 export type AddressType = 'prospect' | 'delivery' | 'billing' | 'delivery_billing'
 /**
 * Mappe le type d'adresse choisi vers les trois drapeaux back.
 * « Adresse + Facturation » = livraison ET facturation sur la meme adresse.
 */
 export function addressFlagsFromType(type: AddressType): AddressFlagsDraft {
    switch (type) {
        case 'prospect':
            return { isProspect: true, isDelivery: false, isBilling: false }
        case 'delivery':
            return { isProspect: false, isDelivery: true, isBilling: false }
        case 'billing':
            return { isProspect: false, isDelivery: false, isBilling: true }
        case 'delivery_billing':
            return { isProspect: false, isDelivery: true, isBilling: true }
    }
 }
 /**
 * Reconstruit le type d'adresse a partir des drapeaux (consultation / edition
 * d'une adresse persistee, ou amorce vierge). Retourne null si aucun drapeau
 * n'est positionne — le Select reste alors a saisir (et bloque la validation).
 */
 export function addressTypeFromFlags(flags: AddressFlagsDraft): AddressType | null {
    if (flags.isProspect) return 'prospect'
    if (flags.isDelivery && flags.isBilling) return 'delivery_billing'
    if (flags.isDelivery) return 'delivery'
    if (flags.isBilling) return 'billing'
    return null
 }
 /** Code stable du type de reglement « virement » (cf. PaymentType.code, RG-1.12). */
 const PAYMENT_TYPE_TRANSFER = 'VIREMENT'
@@ -156,3 +247,32 @@ export function isBankRequiredForPaymentType(code: string | null | undefined): b
 export function isRibRequiredForPaymentType(code: string | null | undefined): boolean {
    return code === PAYMENT_TYPE_LCR
 }
 /** Sous-ensemble du brouillon comptable portant les six champs obligatoires. */
 export interface AccountingRequiredDraft {
    siren: string | null
    accountNumber: string | null
    nTva: string | null
    tvaModeIri: string | null
    paymentDelayIri: string | null
    paymentTypeIri: string | null
 }
 /**
 * RG-1.30 : les six champs scalaires de l'onglet Comptabilite sont obligatoires
 * pour valider l'onglet (SIREN, N de compte, Mode de TVA, N de TVA, Delai de
 * reglement, Type de reglement). bank / RIB restent conditionnels (RG-1.12 /
 * RG-1.13) et sont evalues a part. Miroir front du
 * ClientAccountingCompletenessValidator : meme gate que les onglets Contact /
 * Adresse (bouton « Valider » desactive tant que l'onglet n'est pas complet).
 */
 export function hasAllRequiredAccountingFields(accounting: AccountingRequiredDraft): boolean {
    const filled = (v: string | null): boolean => v !== null && v.trim() !== ''
    return filled(accounting.siren)
        && filled(accounting.accountNumber)
        && filled(accounting.nTva)
        && filled(accounting.tvaModeIri)
        && filled(accounting.paymentDelayIri)
        && filled(accounting.paymentTypeIri)
 }
@@ -75,6 +75,15 @@ export const personas: Record<PersonaKey, Persona> = {
            'commercial.clients.accounting.view',
            'commercial.clients.accounting.manage',
            'commercial.clients.archive',
            // Commercial — Repertoire fournisseurs (M2, ERP-90). Meme logique que
            // les clients : mappe sur le persona "tout", pas de nouveau persona
            // (regle ABSOLUE n°7). commercial.suppliers.view n'ajoute pas de lien
            // dans la section Administration, donc expectedAdminLinks reste inchange.
            'commercial.suppliers.view',
            'commercial.suppliers.manage',
            'commercial.suppliers.accounting.view',
            'commercial.suppliers.accounting.manage',
            'commercial.suppliers.archive',
        ],
        expectedAdminLinks: ['users', 'roles', 'sites', 'categories', 'audit-log'],
    },
@@ -0,0 +1,102 @@
 <?php
 declare(strict_types=1);
 namespace DoctrineMigrations;
 use Doctrine\DBAL\Schema\Schema;
 use Doctrine\Migrations\AbstractMigration;
 /**
 * ERP-84 — Taxonomie FOURNISSEUR (module Catalog, prerequis M2).
 *
 * Contexte : ERP-78 (Version20260602100000) a unifie la taxonomie sur un type
 * unique CLIENT. Le M2 (fournisseurs) a besoin d'une taxonomie distincte : les
 * categories clients (Agro-alimentaire...) ne sont pas valides pour un
 * fournisseur (Negociant, Cooperative...). Decision Matthieu (02/06) : types
 * distincts CLIENT / FOURNISSEUR (PRESTA a venir), chacun avec sa taxonomie.
 *
 * Cette migration :
 *  1. recree le `category_type` FOURNISSEUR (code FOURNISSEUR, label « Fournisseur ») ;
 *  2. seede quelques `Category` de demonstration rattachees a ce type.
 *
 * Aucune colonne creee/modifiee -> pas de `COMMENT ON COLUMN` (regle ABSOLUE n°12).
 *
 * Namespace racine `DoctrineMigrations` (regle ABSOLUE n°11) et NON modulaire
 * Catalog : avec plusieurs migrations_paths, Doctrine Migrations 3.x trie par
 * FQCN alphabetique -> une migration `App\Module\Catalog\...` passerait avant les
 * `DoctrineMigrations\...` sur base vide, donc avant la creation de la table
 * `category_type`. Le namespace racine garantit l'ordre par timestamp.
 *
 * Idempotence : `INSERT ... ON CONFLICT (code) DO NOTHING` pour le type,
 * `INSERT ... SELECT ... WHERE NOT EXISTS` pour chaque categorie (aligne sur le
 * pattern ERP-78 etape 4). En prod la table `category` est vide (aucune fixture
 * metier). En dev/test, le purger Doctrine vide `category`/`category_type` avant
 * les fixtures qui reproduisent le meme etat final (CategoryTypeFixtures /
 * CategoryFixtures etendus a FOURNISSEUR).
 */
 final class Version20260605120000 extends AbstractMigration
 {
    /**
     * Categories de demonstration du type FOURNISSEUR : nom => code stable. Le
     * code est la cle metier (slug MAJUSCULE du nom, miroir du
     * CategoryCodeGenerator) et reste unique parmi les actifs (uq_category_code,
     * partage avec les codes CLIENT — aucune collision ici).
     */
    private const array SUPPLIER_CATEGORIES = [
        'Négociant'   => 'NEGOCIANT',
        'Coopérative' => 'COOPERATIVE',
        'Producteur'  => 'PRODUCTEUR',
        'Grossiste'   => 'GROSSISTE',
        'Importateur' => 'IMPORTATEUR',
    ];
    public function getDescription(): string
    {
        return 'ERP-84 : recree le CategoryType FOURNISSEUR + seed des categories fournisseurs (Negociant, Cooperative...).';
    }
    public function up(Schema $schema): void
    {
        // 1. Type FOURNISSEUR (idempotent via l'index unique uq_category_type_code).
        $this->addSql(<<<'SQL'
            INSERT INTO category_type (code, label) VALUES ('FOURNISSEUR', 'Fournisseur')
            ON CONFLICT (code) DO NOTHING
            SQL);
        // 2. Categories de demonstration sous FOURNISSEUR (si le code est libre
        //    parmi les actifs). created_at/updated_at NOT NULL -> NOW() ; le blame
        //    reste null (seed hors contexte HTTP, libelle « Systeme » cote front).
        foreach (self::SUPPLIER_CATEGORIES as $name => $code) {
            $this->addSql(<<<'SQL'
                INSERT INTO category (name, code, category_type_id, created_at, updated_at)
                SELECT :name, :code, ct.id, NOW(), NOW()
                FROM category_type ct
                WHERE ct.code = 'FOURNISSEUR'
                  AND NOT EXISTS (
                      SELECT 1 FROM category c WHERE c.code = :code AND c.deleted_at IS NULL
                  )
                SQL, ['name' => $name, 'code' => $code]);
        }
    }
    public function down(Schema $schema): void
    {
        // Best-effort : on retire d'abord les categories seedees (par code), puis
        // le type s'il n'est plus reference (guard NOT EXISTS sur la FK RESTRICT).
        $this->addSql(
            'DELETE FROM category WHERE code IN (:codes) '
            ."AND category_type_id = (SELECT id FROM category_type WHERE code = 'FOURNISSEUR')",
            ['codes' => array_values(self::SUPPLIER_CATEGORIES)],
            ['codes' => \Doctrine\DBAL\ArrayParameterType::STRING],
        );
        $this->addSql(<<<'SQL'
            DELETE FROM category_type
            WHERE code = 'FOURNISSEUR'
              AND NOT EXISTS (
                  SELECT 1 FROM category c WHERE c.category_type_id = category_type.id
              )
            SQL);
    }
 }
@@ -0,0 +1,438 @@
 <?php
 declare(strict_types=1);
 namespace DoctrineMigrations;
 use App\Shared\Infrastructure\Database\ColumnCommentsCatalog;
 use Doctrine\DBAL\Schema\Schema;
 use Doctrine\Migrations\AbstractMigration;
 /**
 * M2 — Repertoire fournisseurs (ERP-85) : creation de toute la structure BDD
 * des fournisseurs sous le module Commercial (jumeau du M1 client).
 *
 * Tables creees :
 *  - Table principale : supplier (formulaire principal + Information +
 *    Comptabilite + archive + soft-delete + Timestampable/Blamable).
 *  - Sous-collections : supplier_category (M2M), supplier_contact (1:n),
 *    supplier_address (1:n), supplier_rib (1:n).
 *  - Jointures de supplier_address : supplier_address_site,
 *    supplier_address_contact, supplier_address_category.
 *
 * Differences vs le M1 `client` (cf. spec M2 § 2.4 / § 3.1) :
 *  - PAS de contact inline sur supplier (first_name / last_name / phone_* /
 *    email retires en V0.2, refonte-contact ERP-106). Les contacts vivent
 *    uniquement dans supplier_contact (onglet Contacts).
 *  - PAS d'auto-reference distributor_id / broker_id (pas de CHECK associe).
 *  - Ajout du champ Information volume_forecast (entier).
 *  - supplier_address remplace les 3 booleens M1 (is_prospect / is_delivery /
 *    is_billing + billing_email) par un seul enum address_type
 *    (PROSPECT | DEPART | RENDU, radio exclusif, CHECK chk_supplier_address_type)
 *    et ajoute bennes (int nullable) + triage_provider (bool).
 *
 * Referentiels comptables NON recrees : tva_mode / payment_delay / payment_type
 * / bank sont ceux du M1 (FK partagees, zero duplication — spec § 2.3).
 *
 * CategoryType FOURNISSEUR NON re-seede : il est cree par ERP-84
 * (Version20260605120000) avec ses categories de demonstration. Le M2M
 * supplier_category / supplier_address_category s'appuie sur ce type existant.
 *
 * Namespace racine `DoctrineMigrations` (regle ABSOLUE Starseed n°11) et NON
 * `App\Module\Commercial\...` : la migration cree un schema avec FK cross-module
 * (user, category, site, et les referentiels comptables M1). Avec plusieurs
 * migrations_paths, Doctrine Migrations 3.x trie par FQCN alphabetique — un
 * namespace modulaire s'executerait avant la creation de user/category/site sur
 * base vide -> echec des FK. Le namespace racine garantit l'ordre par timestamp.
 *
 * Style DDL aligne sur le M1 (Version20260601000000) : `INT GENERATED BY DEFAULT
 * AS IDENTITY` (et non SERIAL), `TIMESTAMP(0) WITHOUT TIME ZONE` (et non
 * TIMESTAMPTZ, car le TimestampableBlamableTrait mappe `datetime_immutable`).
 * Garantit que `schema:update` restera un no-op quand les entites arriveront
 * (ticket ERP-86).
 *
 * Decision unicite (Matthieu 02/06, alignee Q4 du M1) : unicite metier sur le
 * NOM DE SOCIETE uniquement (uq_supplier_company_name_active, partiel). Pas
 * d'index unique sur siren ni email.
 *
 * Chaque colonne porte un `COMMENT ON COLUMN` (regle ABSOLUE n°12, garde-fou
 * ColumnsHaveSqlCommentTest). Les tables n'etant pas encore mappees par l'ORM
 * (entites a ERP-86), ces commentaires survivent au `schema:update --force` du
 * setup de test (additif, ne drop pas les tables non mappees).
 */
 final class Version20260605130000 extends AbstractMigration
 {
    public function getDescription(): string
    {
        return 'ERP-85 (M2) : tables supplier + sous-collections + jointures M2M (referentiels comptables et CategoryType FOURNISSEUR reutilises).';
    }
    public function up(Schema $schema): void
    {
        $this->createSupplierTable();
        $this->createSupplierCategory();
        $this->createSupplierContact();
        $this->createSupplierAddress();
        $this->createSupplierAddressJoinTables();
        $this->createSupplierRib();
    }
    public function down(Schema $schema): void
    {
        // Ordre inverse des dependances FK : jointures et sous-collections
        // d'abord, puis supplier. Les referentiels comptables et le
        // CategoryType FOURNISSEUR ne sont pas touches (crees ailleurs).
        $this->addSql('DROP TABLE supplier_address_category');
        $this->addSql('DROP TABLE supplier_address_contact');
        $this->addSql('DROP TABLE supplier_address_site');
        $this->addSql('DROP TABLE supplier_rib');
        $this->addSql('DROP TABLE supplier_address');
        $this->addSql('DROP TABLE supplier_contact');
        $this->addSql('DROP TABLE supplier_category');
        $this->addSql('DROP TABLE supplier');
    }
    // =================================================================
    // Table principale `supplier`
    // =================================================================
    private function createSupplierTable(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                company_name VARCHAR(180) NOT NULL,
                description TEXT DEFAULT NULL,
                competitors VARCHAR(255) DEFAULT NULL,
                founded_at DATE DEFAULT NULL,
                employees_count INT DEFAULT NULL,
                revenue_amount NUMERIC(15, 2) DEFAULT NULL,
                director_name VARCHAR(120) DEFAULT NULL,
                profit_amount NUMERIC(15, 2) DEFAULT NULL,
                volume_forecast INT DEFAULT NULL,
                siren VARCHAR(20) DEFAULT NULL,
                account_number VARCHAR(40) DEFAULT NULL,
                tva_mode_id INT DEFAULT NULL,
                n_tva VARCHAR(40) DEFAULT NULL,
                payment_delay_id INT DEFAULT NULL,
                payment_type_id INT DEFAULT NULL,
                bank_id INT DEFAULT NULL,
                is_archived BOOLEAN DEFAULT FALSE NOT NULL,
                archived_at TIMESTAMP(0) WITHOUT TIME ZONE DEFAULT NULL,
                deleted_at TIMESTAMP(0) WITHOUT TIME ZONE DEFAULT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT fk_supplier_tva_mode
                    FOREIGN KEY (tva_mode_id) REFERENCES tva_mode (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_payment_delay
                    FOREIGN KEY (payment_delay_id) REFERENCES payment_delay (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_payment_type
                    FOREIGN KEY (payment_type_id) REFERENCES payment_type (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_bank
                    FOREIGN KEY (bank_id) REFERENCES bank (id) ON DELETE RESTRICT,
                CONSTRAINT fk_supplier_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_is_archived ON supplier (is_archived)');
        $this->addSql('CREATE INDEX idx_supplier_deleted_at ON supplier (deleted_at)');
        $this->addSql('CREATE INDEX idx_supplier_created_by ON supplier (created_by)');
        $this->addSql('CREATE INDEX idx_supplier_updated_by ON supplier (updated_by)');
        // Index sur les FK des referentiels comptables (Postgres n'indexe pas
        // automatiquement les colonnes portant une FOREIGN KEY).
        $this->addSql('CREATE INDEX idx_supplier_tva_mode_id ON supplier (tva_mode_id)');
        $this->addSql('CREATE INDEX idx_supplier_payment_delay_id ON supplier (payment_delay_id)');
        $this->addSql('CREATE INDEX idx_supplier_payment_type_id ON supplier (payment_type_id)');
        $this->addSql('CREATE INDEX idx_supplier_bank_id ON supplier (bank_id)');
        // Unicite metier partielle : nom de societe insensible a la casse, parmi
        // les non-archives ET non soft-deletes uniquement (spec § 2.6). Pas
        // d'index unique sur siren ni email.
        $this->addSql(<<<'SQL'
            CREATE UNIQUE INDEX uq_supplier_company_name_active
            ON supplier (LOWER(company_name))
            WHERE is_archived = FALSE AND deleted_at IS NULL
            SQL);
        $this->comment('supplier', '_table', 'Repertoire fournisseurs (M2 Commercial) — entites archivables (is_archived) et soft-deletables (deleted_at, HP M3).');
        $this->comment('supplier', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier', 'company_name', 'Raison sociale du fournisseur (stockee en MAJUSCULES). Unique case-insensitive parmi les actifs non archives/non supprimes (uq_supplier_company_name_active, § 2.6).');
        $this->comment('supplier', 'description', 'Onglet Information : description libre. Obligatoire pour le role Commerciale (RG-2.03), optionnel sinon.');
        $this->comment('supplier', 'competitors', 'Onglet Information : concurrents identifies (texte libre ≤ 255). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'founded_at', 'Onglet Information : date de creation de l entreprise. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'employees_count', 'Onglet Information : effectif (entier >= 0). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'revenue_amount', 'Onglet Information : chiffre d affaires (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'director_name', 'Onglet Information : nom du dirigeant. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'profit_amount', 'Onglet Information : resultat / benefice (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'volume_forecast', 'Onglet Information : volume previsionnel (entier >= 0) — specifique fournisseur. Obligatoire role Commerciale (RG-2.03).');
        $this->comment('supplier', 'siren', 'Onglet Comptabilite : SIREN (9 chiffres attendus). NON unique — peut etre partage entre etablissements (§ 2.6).');
        $this->comment('supplier', 'account_number', 'Onglet Comptabilite : numero de compte comptable du fournisseur.');
        $this->comment('supplier', 'tva_mode_id', 'Onglet Comptabilite : mode de TVA applique — FK -> tva_mode.id (referentiel partage M1), ON DELETE RESTRICT.');
        $this->comment('supplier', 'n_tva', 'Onglet Comptabilite : numero de TVA intracommunautaire.');
        $this->comment('supplier', 'payment_delay_id', 'Onglet Comptabilite : delai de reglement — FK -> payment_delay.id (M1), ON DELETE RESTRICT.');
        $this->comment('supplier', 'payment_type_id', 'Onglet Comptabilite : type de reglement — FK -> payment_type.id (M1), ON DELETE RESTRICT. Pilote RG-2.07 (Banque si VIREMENT) et RG-2.08 (RIB).');
        $this->comment('supplier', 'bank_id', 'Onglet Comptabilite : banque — FK -> bank.id (M1), ON DELETE RESTRICT. Obligatoire ssi payment_type = VIREMENT (RG-2.07), null sinon.');
        $this->comment('supplier', 'is_archived', 'Drapeau fonctionnel d archivage — masque par defaut dans la liste. Bascule via permission commercial.suppliers.archive.');
        $this->comment('supplier', 'archived_at', 'Horodatage de l archivage — pose quand is_archived passe a vrai, remis a null a la restauration.');
        $this->comment('supplier', 'deleted_at', 'Horodatage du soft-delete technique (HP M3) — non expose par l API au M2. Null = ligne active.');
        $this->addTimestampableBlamableComments('supplier');
    }
    // =================================================================
    // M2M supplier <-> category (type FOURNISSEUR — RG-2.10)
    // =================================================================
    private function createSupplierCategory(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_category (
                supplier_id INT NOT NULL,
                category_id INT NOT NULL,
                PRIMARY KEY (supplier_id, category_id),
                CONSTRAINT fk_supplier_category_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_category_category
                    FOREIGN KEY (category_id) REFERENCES category (id) ON DELETE RESTRICT
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_category_category ON supplier_category (category_id)');
        $this->comment('supplier_category', '_table', 'Jointure M2M supplier <-> category (Catalog) — categories de type FOURNISSEUR du fournisseur, au moins une obligatoire (RG-2.10).');
        $this->comment('supplier_category', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur porteur de la categorie.');
        $this->comment('supplier_category', 'category_id', 'FK -> category.id, ON DELETE RESTRICT — categorie de type FOURNISSEUR rattachee au fournisseur (RG-2.10).');
    }
    // =================================================================
    // Sous-collection : contacts (1:n)
    // =================================================================
    private function createSupplierContact(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_contact (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                first_name VARCHAR(120) DEFAULT NULL,
                last_name VARCHAR(120) DEFAULT NULL,
                job_title VARCHAR(120) DEFAULT NULL,
                phone_primary VARCHAR(20) DEFAULT NULL,
                phone_secondary VARCHAR(20) DEFAULT NULL,
                email VARCHAR(180) DEFAULT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT chk_supplier_contact_name
                    CHECK (first_name IS NOT NULL OR last_name IS NOT NULL),
                CONSTRAINT fk_supplier_contact_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_contact_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_contact_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_contact_supplier ON supplier_contact (supplier_id)');
        $this->comment('supplier_contact', '_table', 'Contacts d un fournisseur (1:n) — au moins firstName OU lastName par contact (RG-2.04).');
        $this->comment('supplier_contact', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_contact', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du contact.');
        $this->comment('supplier_contact', 'first_name', 'Prenom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).');
        $this->comment('supplier_contact', 'last_name', 'Nom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).');
        $this->comment('supplier_contact', 'job_title', 'Fonction / intitule de poste du contact (≤ 120 caracteres).');
        $this->comment('supplier_contact', 'phone_primary', 'Telephone principal du contact — chiffres uniquement (normalisation serveur).');
        $this->comment('supplier_contact', 'phone_secondary', 'Telephone secondaire du contact — chiffres uniquement (normalisation serveur).');
        $this->comment('supplier_contact', 'email', 'Email du contact (lowercase serveur).');
        $this->comment('supplier_contact', 'position', 'Ordre d affichage du contact dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_contact');
    }
    // =================================================================
    // Sous-collection : adresses (1:n)
    // =================================================================
    private function createSupplierAddress(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                address_type VARCHAR(20) NOT NULL,
                country VARCHAR(80) DEFAULT 'France' NOT NULL,
                postal_code VARCHAR(20) NOT NULL,
                city VARCHAR(120) NOT NULL,
                street VARCHAR(255) NOT NULL,
                street_complement VARCHAR(255) DEFAULT NULL,
                bennes INT DEFAULT NULL,
                triage_provider BOOLEAN DEFAULT FALSE NOT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT chk_supplier_address_type
                    CHECK (address_type IN ('PROSPECT', 'DEPART', 'RENDU')),
                CONSTRAINT fk_supplier_address_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_address_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_address_supplier ON supplier_address (supplier_id)');
        $this->comment('supplier_address', '_table', 'Adresses d un fournisseur (1:n) — type PROSPECT/DEPART/RENDU exclusif (RG-2.09), >= 1 site rattache (RG-2.06).');
        $this->comment('supplier_address', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_address', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire de l adresse.');
        $this->comment('supplier_address', 'address_type', 'Type d adresse : PROSPECT | DEPART | RENDU (radio exclusif par construction — RG-2.09, chk_supplier_address_type).');
        $this->comment('supplier_address', 'country', 'Pays de l adresse — defaut France.');
        $this->comment('supplier_address', 'postal_code', 'Code postal (4-5 chiffres attendus).');
        $this->comment('supplier_address', 'city', 'Ville — preremplie depuis le code postal via API BAN cote front.');
        $this->comment('supplier_address', 'street', 'Numero et voie de l adresse.');
        $this->comment('supplier_address', 'street_complement', 'Complement d adresse (etage, batiment...) — optionnel.');
        $this->comment('supplier_address', 'bennes', 'Nombre de bennes sur le site fournisseur (entier nullable) — specifique fournisseur.');
        $this->comment('supplier_address', 'triage_provider', 'Le fournisseur est prestataire de triage sur cette adresse. Faux par defaut.');
        $this->comment('supplier_address', 'position', 'Ordre d affichage de l adresse dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_address');
    }
    // =================================================================
    // Jointures de supplier_address (M2M)
    // =================================================================
    private function createSupplierAddressJoinTables(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_site (
                supplier_address_id INT NOT NULL,
                site_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, site_id),
                CONSTRAINT fk_supplier_address_site_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_site_site
                    FOREIGN KEY (site_id) REFERENCES site (id) ON DELETE RESTRICT
            )
            SQL);
        $this->comment('supplier_address_site', '_table', 'Jointure M2M supplier_address <-> site (Sites) — sites rattaches a l adresse (>= 1 obligatoire, RG-2.06).');
        $this->comment('supplier_address_site', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_site', 'site_id', 'FK -> site.id, ON DELETE RESTRICT — site rattache a l adresse.');
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_contact (
                supplier_address_id INT NOT NULL,
                supplier_contact_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, supplier_contact_id),
                CONSTRAINT fk_supplier_address_contact_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_contact_contact
                    FOREIGN KEY (supplier_contact_id) REFERENCES supplier_contact (id) ON DELETE CASCADE
            )
            SQL);
        $this->comment('supplier_address_contact', '_table', 'Jointure M2M supplier_address <-> supplier_contact — contacts associes a une adresse.');
        $this->comment('supplier_address_contact', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_contact', 'supplier_contact_id', 'FK -> supplier_contact.id, ON DELETE CASCADE — contact associe a l adresse.');
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_address_category (
                supplier_address_id INT NOT NULL,
                category_id INT NOT NULL,
                PRIMARY KEY (supplier_address_id, category_id),
                CONSTRAINT fk_supplier_address_category_address
                    FOREIGN KEY (supplier_address_id) REFERENCES supplier_address (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_address_category_category
                    FOREIGN KEY (category_id) REFERENCES category (id) ON DELETE RESTRICT
            )
            SQL);
        $this->comment('supplier_address_category', '_table', 'Jointure M2M supplier_address <-> category — categories d adresse de type FOURNISSEUR (RG-2.10).');
        $this->comment('supplier_address_category', 'supplier_address_id', 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.');
        $this->comment('supplier_address_category', 'category_id', 'FK -> category.id, ON DELETE RESTRICT — categorie d adresse de type FOURNISSEUR (RG-2.10).');
    }
    // =================================================================
    // Sous-collection : RIB (1:n)
    // =================================================================
    private function createSupplierRib(): void
    {
        $this->addSql(<<<'SQL'
            CREATE TABLE supplier_rib (
                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
                supplier_id INT NOT NULL,
                label VARCHAR(120) NOT NULL,
                bic VARCHAR(20) NOT NULL,
                iban VARCHAR(34) NOT NULL,
                position INT DEFAULT 0 NOT NULL,
                created_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                updated_at TIMESTAMP(0) WITHOUT TIME ZONE NOT NULL,
                created_by INT DEFAULT NULL,
                updated_by INT DEFAULT NULL,
                PRIMARY KEY (id),
                CONSTRAINT fk_supplier_rib_supplier
                    FOREIGN KEY (supplier_id) REFERENCES supplier (id) ON DELETE CASCADE,
                CONSTRAINT fk_supplier_rib_created_by
                    FOREIGN KEY (created_by) REFERENCES "user" (id) ON DELETE SET NULL,
                CONSTRAINT fk_supplier_rib_updated_by
                    FOREIGN KEY (updated_by) REFERENCES "user" (id) ON DELETE SET NULL
            )
            SQL);
        $this->addSql('CREATE INDEX idx_supplier_rib_supplier ON supplier_rib (supplier_id)');
        $this->comment('supplier_rib', '_table', 'Coordonnees bancaires d un fournisseur (1:n) — >= 1 RIB attendu selon le type de reglement (RG-2.08). Tous les champs audites (pas d AuditIgnore).');
        $this->comment('supplier_rib', 'id', 'Identifiant interne auto-incremente.');
        $this->comment('supplier_rib', 'supplier_id', 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du RIB.');
        $this->comment('supplier_rib', 'label', 'Libelle du RIB (ex: compte principal).');
        $this->comment('supplier_rib', 'bic', 'Code BIC/SWIFT de la banque (8 ou 11 caracteres).');
        $this->comment('supplier_rib', 'iban', 'IBAN du compte (≤ 34 caracteres).');
        $this->comment('supplier_rib', 'position', 'Ordre d affichage du RIB dans la liste du fournisseur (croissant).');
        $this->addTimestampableBlamableComments('supplier_rib');
    }
    // =================================================================
    // Helpers
    // =================================================================
    /**
     * Pose les 4 commentaires standardises Timestampable/Blamable sur une table,
     * en reutilisant le catalogue partage (source unique, cf. ERP-67).
     */
    private function addTimestampableBlamableComments(string $table): void
    {
        foreach (ColumnCommentsCatalog::timestampableBlamableComments() as $column => $description) {
            $this->comment($table, $column, $description);
        }
    }
    /**
     * Emet un `COMMENT ON TABLE` (colonne speciale `_table`) ou
     * `COMMENT ON COLUMN` en dollar-quoting Postgres ($_$...$_$) pour eviter
     * tout echappement d apostrophe.
     */
    private function comment(string $table, string $column, string $description): void
    {
        $quotedTable = '"'.str_replace('"', '""', $table).'"';
        if ('_table' === $column) {
            $this->addSql(sprintf('COMMENT ON TABLE %s IS $_$%s$_$', $quotedTable, $description));
            return;
        }
        $this->addSql(sprintf(
            'COMMENT ON COLUMN %s.%s IS $_$%s$_$',
            $quotedTable,
            '"'.str_replace('"', '""', $column).'"',
            $description,
        ));
    }
 }
@@ -23,7 +23,10 @@ interface CategoryRepositoryInterface
    /**
     * Construit un QueryBuilder de liste avec filtre soft-delete et tri par defaut.
     * - $includeDeleted = false : exclut les categories soft-deleted (RG-1.08)
     * - $typeCode non null : ne garde que les categories dont le CategoryType
     *   porte ce code (filtre `?typeCode=`, ex. FOURNISSEUR / CLIENT). Sert au
     *   multi-select Categorie du fournisseur (M2, RG-2.10).
     * - Tri : name ASC (RG-1.10).
     */
-    public function createListQueryBuilder(bool $includeDeleted = false): QueryBuilder;
+    public function createListQueryBuilder(bool $includeDeleted = false, ?string $typeCode = null): QueryBuilder;
 }
@@ -40,7 +40,7 @@ final class CategoryProvider implements ProviderInterface
        $includeDeleted = $this->readIncludeDeleted($context);
        if ($operation instanceof CollectionOperationInterface) {
-            $qb = $this->repository->createListQueryBuilder($includeDeleted);
+            $qb = $this->repository->createListQueryBuilder($includeDeleted, $this->readTypeCode($context));
            // Echappatoire ?pagination=false : retourne la collection complete sans Paginator.
            // Utile pour les drawers Role/Permission/Site/CategoryType qui alimentent un <select>.
@@ -97,4 +97,22 @@ final class CategoryProvider implements ProviderInterface
        return false;
    }
    /**
     * Lit le filtre `?typeCode=` depuis les filtres API Platform. Renvoie le code
     * normalise (trim) ou null si absent / vide. Ne contraint pas la casse : la
     * comparaison SQL se fait sur le code exact stocke (ex. FOURNISSEUR, CLIENT).
     */
    private function readTypeCode(array $context): ?string
    {
        $raw = $context['filters']['typeCode'] ?? null;
        if (!is_string($raw)) {
            return null;
        }
        $raw = trim($raw);
        return '' === $raw ? null : $raw;
    }
 }
@@ -14,14 +14,16 @@ use RuntimeException;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 /**
- * Fixtures dev/test du module Catalog : ~11 categories de demonstration, toutes
+ * Fixtures dev/test du module Catalog : categories de demonstration rattachees
- * rattachees au type unique CLIENT (refonte taxonomie ERP-78). Chaque categorie
+ * a leur CategoryType. Le type CLIENT porte ~11 categories clients (refonte
- * porte un `code` stable. Alimente le repertoire clients (ClientFixtures, module
+ * taxonomie ERP-78) ; le type FOURNISSEUR porte les categories fournisseurs
- * Commercial) avec des donnees realistes couvrant RG-1.03 (codes DISTRIBUTEUR /
+ * (ERP-84 : Negociant, Cooperative...). Chaque categorie porte un `code` stable.
- * COURTIER) et RG-1.29 (codes interdits sur adresse).
+ * Alimente le repertoire clients (ClientFixtures, module Commercial) avec des
 * donnees realistes couvrant RG-1.03 (codes DISTRIBUTEUR / COURTIER) et RG-1.29
 * (codes interdits sur adresse), et le multi-select Categorie fournisseur (M2).
 *
- * Depend de CategoryTypeFixtures : le type CLIENT doit etre seede avant de
+ * Depend de CategoryTypeFixtures : les types CLIENT et FOURNISSEUR doivent etre
- * pouvoir y rattacher des Category.
+ * seedes avant de pouvoir y rattacher des Category.
 *
 * Idempotence : lookup par `code` parmi les categories non supprimees (deletedAt
 * null), coherent avec l'index unique partiel uq_category_code (code WHERE
@@ -39,28 +41,36 @@ use Symfony\Component\DependencyInjection\Attribute\Autowire;
 */
 class CategoryFixtures extends Fixture implements DependentFixtureInterface
 {
    /** Code du type unique (cf. CategoryTypeFixtures, migration ERP-78). */
    private const string CLIENT_TYPE_CODE = 'CLIENT';
    /**
-     * Source unique des categories de demonstration : nom => code stable. Les 4
+     * Categories de demonstration par code de type. Les 4 premieres categories
-     * premieres (Distributeur / Courtier / Secteur / Autre) sont les categories
+     * CLIENT (Distributeur / Courtier / Secteur / Autre) sont les categories
     * « systeme » reportees des anciens types ; leurs codes pilotent les RG.
     * Les categories FOURNISSEUR (ERP-84) miroir de la migration
     * Version20260605120000. Chaque valeur : nom => code stable.
     *
-     * @var array<string, string>
+     * @var array<string, array<string, string>>
     */
-    private const CATEGORIES = [
+    private const CATEGORIES_BY_TYPE = [
-        'Distributeur'         => 'DISTRIBUTEUR',
+        'CLIENT' => [
-        'Courtier'             => 'COURTIER',
+            'Distributeur'         => 'DISTRIBUTEUR',
-        'Secteur'              => 'SECTEUR',
+            'Courtier'             => 'COURTIER',
-        'Autre'                => 'AUTRE',
+            'Secteur'              => 'SECTEUR',
-        'BTP'                  => 'BTP',
+            'Autre'                => 'AUTRE',
-        'Industrie'            => 'INDUSTRIE',
+            'BTP'                  => 'BTP',
-        'Agro-alimentaire'     => 'AGRO_ALIMENTAIRE',
+            'Industrie'            => 'INDUSTRIE',
-        'Transport/Logistique' => 'TRANSPORT_LOGISTIQUE',
+            'Agro-alimentaire'     => 'AGRO_ALIMENTAIRE',
-        'Services'             => 'SERVICES',
+            'Transport/Logistique' => 'TRANSPORT_LOGISTIQUE',
-        'Association'          => 'ASSOCIATION',
+            'Services'             => 'SERVICES',
-        'Indépendant'          => 'INDEPENDANT',
+            'Association'          => 'ASSOCIATION',
            'Indépendant'          => 'INDEPENDANT',
        ],
        'FOURNISSEUR' => [
            'Négociant'   => 'NEGOCIANT',
            'Coopérative' => 'COOPERATIVE',
            'Producteur'  => 'PRODUCTEUR',
            'Grossiste'   => 'GROSSISTE',
            'Importateur' => 'IMPORTATEUR',
        ],
    ];
    public function __construct(
@@ -84,31 +94,33 @@ class CategoryFixtures extends Fixture implements DependentFixtureInterface
            return;
        }
-        $clientType = null;
+        // Index des types presents par code, pour rattacher chaque categorie.
        $typesByCode = [];
        foreach ($this->categoryTypeRepository->findAllOrderedByLabel() as $type) {
-            if (self::CLIENT_TYPE_CODE === $type->getCode()) {
+            $typesByCode[$type->getCode()] = $type;
-                $clientType = $type;
+        }
-                break;
+        foreach (self::CATEGORIES_BY_TYPE as $typeCode => $categories) {
            $type = $typesByCode[$typeCode] ?? null;
            if (!$type instanceof CategoryType) {
                // Misconfiguration : CategoryTypeFixtures n'a pas seede ce type.
                throw new RuntimeException(sprintf(
                    'CategoryTypeFixtures doit avoir seede le type "%s" avant CategoryFixtures.',
                    $typeCode,
                ));
            }
        }
-        if (!$clientType instanceof CategoryType) {
+            foreach ($categories as $name => $code) {
-            // Misconfiguration : CategoryTypeFixtures n'a pas tourne avant.
+                $this->ensureCategory($manager, $name, $code, $type);
-            throw new RuntimeException(
+            }
                'CategoryTypeFixtures doit avoir seede le type "CLIENT" avant CategoryFixtures.',
            );
        }
        foreach (self::CATEGORIES as $name => $code) {
            $this->ensureCategory($manager, $name, $code, $clientType);
        }
        $manager->flush();
    }
    /**
-     * Cree la categorie (name, code) sous le type CLIENT si son code n'existe pas
+     * Cree la categorie (name, code) sous le type fourni si son code n'existe pas
     * encore parmi les categories actives, sinon la laisse en place. Lookup
     * aligne sur l'index unique partiel uq_category_code.
     */
@@ -12,10 +12,14 @@ use Doctrine\Persistence\ObjectManager;
 /**
 * Fixtures du module Catalog : seed du type de categorie (M1).
 *
- * Refonte taxonomie ERP-78 : le modele n'a plus qu'UN SEUL `category_type`,
+ * Refonte taxonomie ERP-78 : le type CLIENT (code CLIENT, label « Client »)
- * CLIENT (code CLIENT, label « Client »). Distributeur / Courtier / Secteur /
+ * porte les categories clients ; Distributeur / Courtier / Secteur / Autre (et
- * Autre (et les categories metier fines) sont desormais des `Category` codees
+ * les categories metier fines) sont des `Category` codees rattachees a ce type
- * rattachees a ce type (cf. CategoryFixtures + migration Version20260602100000).
+ * (cf. CategoryFixtures + migration Version20260602100000).
 *
 * ERP-84 : ajout du type FOURNISSEUR (code FOURNISSEUR, label « Fournisseur »),
 * taxonomie distincte des fournisseurs (Negociant, Cooperative...). Mirroir de
 * la migration Version20260605120000.
 *
 * Pourquoi une fixture EN PLUS du seed de la migration : `category_type` est une
 * entite managee par l ORM, donc le purger Doctrine la vide avant chaque
@@ -31,11 +35,13 @@ use Doctrine\Persistence\ObjectManager;
 class CategoryTypeFixtures extends Fixture
 {
    /**
-     * Source unique du type : code technique => libelle FR. Doit rester aligne
+     * Source unique des types : code technique => libelle FR. Doit rester aligne
-     * sur le seed de la migration Version20260602100000 (type unique CLIENT).
+     * sur le seed des migrations Version20260602100000 (CLIENT) et
     * Version20260605120000 (FOURNISSEUR).
     */
    private const TYPES = [
-        'CLIENT' => 'Client',
+        'CLIENT'      => 'Client',
        'FOURNISSEUR' => 'Fournisseur',
    ];
    public function __construct(
@@ -48,7 +48,7 @@ class DoctrineCategoryRepository extends ServiceEntityRepository implements Cate
        return [] !== $qb->getQuery()->getResult();
    }
-    public function createListQueryBuilder(bool $includeDeleted = false): QueryBuilder
+    public function createListQueryBuilder(bool $includeDeleted = false, ?string $typeCode = null): QueryBuilder
    {
        $qb = $this->createQueryBuilder('c')
            ->orderBy('c.name', 'ASC')
@@ -58,6 +58,16 @@ class DoctrineCategoryRepository extends ServiceEntityRepository implements Cate
            $qb->andWhere('c.deletedAt IS NULL');
        }
        // Filtre `?typeCode=` : jointure sur le CategoryType pour ne garder que
        // les categories du type demande (ex. FOURNISSEUR). La jointure reste
        // compatible avec le Paginator ORM (fetchJoinCollection) du provider.
        if (null !== $typeCode) {
            $qb->join('c.categoryType', 'ct')
                ->andWhere('ct.code = :typeCode')
                ->setParameter('typeCode', $typeCode)
            ;
        }
        return $qb;
    }
 }
@@ -0,0 +1,82 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Service;
 /**
 * Normalisation serveur des champs texte d'un Supplier / SupplierContact,
 * appliquee par le SupplierProcessor (et les processors de sous-ressources,
 * ERP-88) AVANT persistance. Cf. spec-back M2 § 2.11 + RG-2.12. Jumeau de
 * ClientFieldNormalizer (M1) — duplique volontairement (isolation Client /
 * Fournisseur, decision § 2.1).
 *
 * - companyName : UPPERCASE integral (RG-2.12)
 * - firstName / lastName (personnes, sur SupplierContact) : Title Case (RG-2.12)
 * - phone* : chiffres uniquement, ex "06.12.34.56.78" -> "0612345678" (RG-2.12).
 *   Le formatage d'affichage "XX XX XX XX XX" est de la responsabilite du front.
 * - email : lowercase integral (RG-2.12)
 *
 * Toutes les methodes sont null-safe et trim-ent l'entree ; une chaine vide
 * apres trim devient null (evite de persister "" dans des colonnes nullable).
 */
 final class SupplierFieldNormalizer
 {
    /**
     * Nom de societe en majuscules (RG-2.12). Conserve null tel quel ; une
     * chaine non vide est trim + upper. Une chaine vide reste "" (champ
     * obligatoire : c'est l'Assert\NotBlank qui rejette, pas le normalizer).
     */
    public function normalizeCompanyName(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        return mb_strtoupper(trim($value), 'UTF-8');
    }
    /**
     * Nom/prenom de personne en Title Case (RG-2.12) : "JEAN dupont" ->
     * "Jean Dupont". Une chaine vide apres trim devient null.
     */
    public function normalizePersonName(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $value = trim($value);
        return '' === $value ? null : mb_convert_case($value, MB_CASE_TITLE, 'UTF-8');
    }
    /**
     * Email en minuscules (RG-2.12). Une chaine vide apres trim devient null.
     */
    public function normalizeEmail(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $value = trim($value);
        return '' === $value ? null : mb_strtolower($value, 'UTF-8');
    }
    /**
     * Telephone reduit aux chiffres (RG-2.12) : "06.12.34.56.78" ->
     * "0612345678". Une valeur sans aucun chiffre devient null.
     */
    public function normalizePhone(?string $value): ?string
    {
        if (null === $value) {
            return null;
        }
        $digits = preg_replace('/\D+/', '', $value) ?? '';
        return '' === $digits ? null : $digits;
    }
 }
@@ -0,0 +1,77 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Validator;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Domain\Entity\Client;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Validator metier (spec-front § Onglet Comptabilite) : a la soumission complete
 * de l'onglet Comptabilite, les six champs scalaires obligatoires doivent etre
 * renseignes (SIREN, Numero de compte, Mode de TVA, N de TVA, Delai de reglement,
 * Type de reglement). La banque reste conditionnelle (RG-1.12) et les RIB aussi
 * (RG-1.13) : ils ne sont pas couverts ici.
 *
 * Calque sur ClientInformationCompletenessValidator (RG-1.04) : colonnes nullable
 * en base + validateur contextuel, plutot qu'un Assert\NotBlank sur l'entite (qui
 * casserait le POST de l'onglet principal, lequel n'envoie aucun champ comptable).
 *
 * Invoque par le ClientProcessor uniquement quand le payload porte les six champs
 * (= une validation d'onglet), jamais sur un PATCH ciblant un seul champ comptable.
 *
 * Leve une ValidationException (HTTP 422) listant chaque champ manquant, par
 * coherence avec les violations Symfony rendues par API Platform (mapping inline
 * front via useFormErrors, ERP-101).
 */
 final class ClientAccountingCompletenessValidator
 {
    public function validate(Client $client): void
    {
        // Map champ -> valeur courante des champs obligatoires de l'onglet.
        $fields = [
            'siren'         => $client->getSiren(),
            'accountNumber' => $client->getAccountNumber(),
            'tvaMode'       => $client->getTvaMode(),
            'nTva'          => $client->getNTva(),
            'paymentDelay'  => $client->getPaymentDelay(),
            'paymentType'   => $client->getPaymentType(),
        ];
        $violations = new ConstraintViolationList();
        foreach ($fields as $property => $value) {
            if ($this->isMissing($value)) {
                $violations->add(new ConstraintViolation(
                    'Ce champ est obligatoire.',
                    null,
                    [],
                    $client,
                    $property,
                    $value,
                ));
            }
        }
        if (count($violations) > 0) {
            throw new ValidationException($violations);
        }
    }
    /**
     * Une valeur est manquante si null ou, pour une chaine, vide apres trim. Les
     * references (TvaMode / PaymentDelay / PaymentType) ne sont manquantes que
     * lorsqu'elles valent null.
     */
    private function isMissing(mixed $value): bool
    {
        if (null === $value) {
            return true;
        }
        return is_string($value) && '' === trim($value);
    }
 }
@@ -0,0 +1,79 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Application\Validator;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Validator metier RG-2.03 (jumeau du ClientInformationCompletenessValidator M1) :
 * pour un utilisateur portant le role metier Commerciale, TOUS les champs de
 * l'onglet Information sont obligatoires sur POST comme sur tout PATCH,
 * independamment des champs reellement envoyes.
 *
 * Invoque par le SupplierProcessor des que l'utilisateur courant porte le role
 * Commerciale (detection du role cote back). Pour les autres roles, ces champs
 * restent optionnels — le validator n'est pas appele.
 *
 * NEW vs Client : ajoute le champ `volumeForecast` (volume previsionnel),
 * specifique fournisseur.
 *
 * Leve une ValidationException (HTTP 422) listant chaque champ manquant, chaque
 * violation portant son propertyPath (consommable par extractApiViolations,
 * ERP-101), par coherence avec les violations Symfony rendues par API Platform.
 */
 final class SupplierInformationCompletenessValidator
 {
    public function validate(Supplier $supplier): void
    {
        // Map champ -> valeur courante de l'onglet Information.
        $fields = [
            'description'    => $supplier->getDescription(),
            'competitors'    => $supplier->getCompetitors(),
            'foundedAt'      => $supplier->getFoundedAt(),
            'employeesCount' => $supplier->getEmployeesCount(),
            'revenueAmount'  => $supplier->getRevenueAmount(),
            'directorName'   => $supplier->getDirectorName(),
            'profitAmount'   => $supplier->getProfitAmount(),
            'volumeForecast' => $supplier->getVolumeForecast(),
        ];
        $violations = new ConstraintViolationList();
        foreach ($fields as $property => $value) {
            if ($this->isMissing($value)) {
                $violations->add(new ConstraintViolation(
                    sprintf('Ce champ est obligatoire pour le rôle Commerciale (champ "%s").', $property),
                    null,
                    [],
                    $supplier,
                    $property,
                    $value,
                ));
            }
        }
        if (count($violations) > 0) {
            throw new ValidationException($violations);
        }
    }
    /**
     * Une valeur est manquante si null ou, pour une chaine, vide apres trim. Les
     * zeros numeriques (employeesCount = 0, profitAmount = "0.00",
     * volumeForecast = 0) sont des valeurs valides : on ne les considere pas
     * manquants.
     */
    private function isMissing(mixed $value): bool
    {
        if (null === $value) {
            return true;
        }
        return is_string($value) && '' === trim($value);
    }
 }
@@ -39,6 +39,11 @@ final class CommercialModule
            ['code' => 'commercial.clients.accounting.view', 'label' => 'Voir l\'onglet Comptabilité d\'un client'],
            ['code' => 'commercial.clients.accounting.manage', 'label' => 'Modifier l\'onglet Comptabilité d\'un client'],
            ['code' => 'commercial.clients.archive', 'label' => 'Archiver / restaurer un client'],
            ['code' => 'commercial.suppliers.view', 'label' => 'Voir les fournisseurs'],
            ['code' => 'commercial.suppliers.manage', 'label' => 'Créer / modifier les fournisseurs (hors onglet Comptabilité)'],
            ['code' => 'commercial.suppliers.accounting.view', 'label' => 'Voir l\'onglet Comptabilité d\'un fournisseur'],
            ['code' => 'commercial.suppliers.accounting.manage', 'label' => 'Modifier l\'onglet Comptabilité d\'un fournisseur'],
            ['code' => 'commercial.suppliers.archive', 'label' => 'Archiver / restaurer un fournisseur'],
        ];
    }
 }
@@ -25,7 +25,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['bank:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -33,11 +33,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['bank:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view')",
+    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrineBankRepository::class)]
 #[ORM\Table(name: 'bank')]
@@ -63,6 +63,11 @@ use Symfony\Component\Validator\Context\ExecutionContextInterface;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientAddress ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientAddressProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.manage')",
            normalizationContext: ['groups' => ['client_address:read']],
            denormalizationContext: ['groups' => ['client_address:write']],
@@ -50,6 +50,11 @@ use Symfony\Component\Validator\Constraints as Assert;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientContact ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientContactProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.manage')",
            normalizationContext: ['groups' => ['client_contact:read']],
            denormalizationContext: ['groups' => ['client_contact:write']],
@@ -54,6 +54,11 @@ use Symfony\Component\Validator\Constraints as Assert;
            uriVariables: [
                'clientId' => new Link(fromClass: Client::class, toProperty: 'client'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT ClientRib ... WHERE client = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par ClientRibProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.clients.accounting.manage')",
            normalizationContext: ['groups' => ['client_rib:read']],
            denormalizationContext: ['groups' => ['client_rib:write']],
@@ -25,7 +25,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['payment_delay:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -33,11 +33,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['payment_delay:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view')",
+    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrinePaymentDelayRepository::class)]
 #[ORM\Table(name: 'payment_delay')]
@@ -28,7 +28,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['payment_type:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC.
            order: ['position' => 'ASC', 'label' => 'ASC'],
@@ -36,11 +36,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['payment_type:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view')",
+    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrinePaymentTypeRepository::class)]
 #[ORM\Table(name: 'payment_type')]
@@ -0,0 +1,727 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\GetCollection;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierProcessor;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Provider\SupplierProvider;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
 use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use DateTimeImmutable;
 use Doctrine\Common\Collections\ArrayCollection;
 use Doctrine\Common\Collections\Collection;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Serializer\Attribute\SerializedName;
 use Symfony\Component\Validator\Constraints as Assert;
 use Symfony\Component\Validator\Context\ExecutionContextInterface;
 /**
 * Fournisseur (M2 Commercial) — entite racine du repertoire fournisseurs,
 * jumelle du Client (M1). Porte le formulaire principal, l'onglet Information,
 * l'onglet Comptabilite, le mecanisme d'archivage (is_archived / archived_at) et
 * le soft-delete technique prepare mais non expose au M2 (deleted_at, HP M3).
 *
 * Decisions structurantes (cf. spec M2 § 2 / § 3.3) :
 *  - Contact inline RETIRE (V0.2, refonte-contact ERP-106) : firstName / lastName
 *    / phonePrimary / phoneSecondary / email ne sont plus portes par le
 *    fournisseur — ils vivent uniquement dans SupplierContact (onglet Contacts).
 *    La garantie « au moins un contact nomme » est portee par RG-2.04 + RG-2.13.
 *  - PAS d'auto-reference distributor / broker (contrairement au Client).
 *  - Ajout du champ Information volumeForecast (volume previsionnel, entier),
 *    specifique fournisseur.
 *  - Audit complet (#[Auditable]) sur tous les champs (M2M categories audite
 *    automatiquement). Timestampable / Blamable via le trait Shared.
 *  - PAS de #[ORM\UniqueConstraint] : l'unicite du nom de societe (RG-2.11) est
 *    portee par l'index partiel fonctionnel uq_supplier_company_name_active
 *    (LOWER(company_name) WHERE is_archived = FALSE AND deleted_at IS NULL),
 *    inexprimable en attribut ORM, donc possede par la seule migration. SIREN et
 *    email NE SONT PAS uniques (§ 2.6).
 *  - categories : M2M vers Category (module Catalog) via le contrat
 *    CategoryInterface + resolve_target_entities (regle n°1, pas d'import direct).
 *
 * Contrat de serialisation (RETEX M1, 3 maillons — spec § 4.0) : les read-groups
 * sont poses ICI (source unique). L'#[ApiResource] (operations + contextes), le
 * SupplierProvider (liste paginee, exclusion archives, item 404 soft-delete), le
 * SupplierProcessor (normalisation, archivage, gating accounting/manage en mode
 * strict, 409 doublon) et le SupplierReadGroupContextBuilder (ajout conditionnel
 * du groupe supplier:read:accounting selon accounting.view) sont branches ICI
 * (ERP-87).
 */
 #[ApiResource(
    operations: [
        new GetCollection(
            security: "is_granted('commercial.suppliers.view')",
            // La liste embarque les categories (avec leur code/name, groupe
            // category:read) et les sites agreges des adresses (groupe
            // site:read) pour alimenter les colonnes « Catégories » et
            // « Site(s) » du Repertoire (cohérence M1/ERP-62, § 2.12). Cf.
            // getSites(). Fetch-joins/hydratation deleguee au repository (N+1).
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            provider: SupplierProvider::class,
        ),
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            // Detail : fournisseur + sous-collections embarquees (contacts /
            // adresses + leurs sites/categories/contacts).
            //  - supplier:read:accounting est ajoute par SupplierReadGroupContextBuilder
            //    selon la permission (gate les scalaires comptables ET les RIB
            //    embarques), donc volontairement ABSENT ici (parade bug #4 M1).
            //  - category:read / site:read indispensables pour embarquer le
            //    code/name des categories et le name/postalCode des sites (sinon
            //    stub IRI nu — bugs #1/#2 M1).
            normalizationContext: ['groups' => [
                'supplier:read',
                'supplier:item:read',
                'category:read',
                'site:read',
                'default:read',
            ]],
            provider: SupplierProvider::class,
        ),
        new Post(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            denormalizationContext: ['groups' => ['supplier:write:main']],
            processor: SupplierProcessor::class,
        ),
        new Patch(
            // Security elargie : `manage` OU `accounting.manage`. Le role Compta
            // n'a pas `manage` mais doit pouvoir editer l'onglet Comptabilite
            // d'un fournisseur existant (§ 2.9). Le SupplierProcessor re-gate
            // ensuite onglet par onglet (mode strict RG-2.16) :
            //  - champs accounting -> accounting.manage (guardAccounting) ;
            //  - champs main/information -> manage (guardManage : empeche Compta
            //    d'editer les autres onglets) ;
            //  - isArchived -> archive (guardArchive, RG-2.14).
            security: "is_granted('commercial.suppliers.manage') or is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read', 'default:read', 'category:read', 'site:read']],
            denormalizationContext: ['groups' => [
                'supplier:write:main',
                'supplier:write:information',
                'supplier:write:accounting',
                'supplier:write:archive',
            ]],
            provider: SupplierProvider::class,
            processor: SupplierProcessor::class,
        ),
        // Pas de Delete au M2 (HP-M3-1). Archivage via PATCH { isArchived: true }.
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierRepository::class)]
 #[ORM\Table(name: 'supplier')]
 // Index nommes pour matcher la migration (Version20260605130000). L'index unique
 // partiel uq_supplier_company_name_active reste possede par la migration :
 // Doctrine ORM ne sait pas exprimer un index fonctionnel (LOWER) + partiel
 // (WHERE) via attribut. Pas de #[ORM\UniqueConstraint] (§ 2.6).
 #[ORM\Index(name: 'idx_supplier_is_archived', columns: ['is_archived'])]
 #[ORM\Index(name: 'idx_supplier_deleted_at', columns: ['deleted_at'])]
 #[ORM\Index(name: 'idx_supplier_created_by', columns: ['created_by'])]
 #[ORM\Index(name: 'idx_supplier_updated_by', columns: ['updated_by'])]
 #[Auditable]
 class Supplier implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    /**
     * RG-2.10 : seules les categories de ce type sont autorisees sur le
     * fournisseur (entite principale). Miroir de SupplierAddress (ERP-88).
     * S'appuie sur CategoryInterface::getCategoryTypeCode() (pas d'import du
     * module Catalog — regle ABSOLUE n°1).
     */
    private const string REQUIRED_CATEGORY_TYPE_CODE = 'FOURNISSEUR';
    /** RG-2.07 : code du type de reglement imposant une banque. */
    private const string PAYMENT_TYPE_VIREMENT = 'VIREMENT';
    /** RG-2.08 : code du type de reglement imposant au moins un RIB. */
    private const string PAYMENT_TYPE_LCR = 'LCR';
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:read'])]
    private ?int $id = null;
    // === Formulaire principal ===
    #[ORM\Column(length: 180)]
    #[Assert\NotBlank(message: 'Le nom du fournisseur est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(min: 2, max: 180, minMessage: 'Le nom du fournisseur doit comporter au moins {{ limit }} caractères.', maxMessage: 'Le nom du fournisseur ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:main'])]
    private ?string $companyName = null;
    // RG : au moins une categorie (Count min 1), de type FOURNISSEUR (RG-2.10,
    // verifiee au Processor/Validator a ERP-89). M2M vers Category via le contrat
    // CategoryInterface (resolve_target_entities -> Category). Embarquee en LISTE
    // ET DETAIL (coherence M1/ERP-62) ; maillon (c) : le contexte inclut
    // 'category:read' pour exposer id/code/name.
    /** @var Collection<int, CategoryInterface> */
    #[ORM\ManyToMany(targetEntity: CategoryInterface::class)]
    #[ORM\JoinTable(name: 'supplier_category')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'category_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Assert\Count(min: 1, minMessage: 'Au moins une catégorie est obligatoire.')]
    #[Groups(['supplier:read', 'supplier:write:main'])]
    private Collection $categories;
    // === Onglet Information ===
    #[ORM\Column(type: 'text', nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $description = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Ce champ ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $competitors = null;
    #[ORM\Column(type: 'date_immutable', nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?DateTimeImmutable $foundedAt = null;
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'L\'effectif doit être un nombre positif ou nul.')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?int $employeesCount = null;
    #[ORM\Column(type: 'decimal', precision: 15, scale: 2, nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $revenueAmount = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le nom du dirigeant ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $directorName = null;
    #[ORM\Column(type: 'decimal', precision: 15, scale: 2, nullable: true)]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?string $profitAmount = null;
    // NEW vs Client : Volume previsionnel (entier).
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'Le volume prévisionnel doit être un nombre positif ou nul.')]
    #[Groups(['supplier:read', 'supplier:write:information'])]
    private ?int $volumeForecast = null;
    // === Onglet Comptabilite ===
    // Lecture conditionnee via le groupe `supplier:read:accounting` (ajoute au
    // contexte par le SupplierReadGroupContextBuilder si l'user a accounting.view,
    // ERP-87 — un Provider ne peut pas influencer les groupes de serialisation).
    // Ecriture via `supplier:write:accounting` (le Processor exige accounting.manage).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le SIREN ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $siren = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de compte ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $accountNumber = null;
    #[ORM\ManyToOne(targetEntity: TvaMode::class)]
    #[ORM\JoinColumn(name: 'tva_mode_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?TvaMode $tvaMode = null;
    #[ORM\Column(length: 40, nullable: true)]
    #[Assert\Length(max: 40, maxMessage: 'Le numéro de TVA ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $nTva = null;
    #[ORM\ManyToOne(targetEntity: PaymentDelay::class)]
    #[ORM\JoinColumn(name: 'payment_delay_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?PaymentDelay $paymentDelay = null;
    #[ORM\ManyToOne(targetEntity: PaymentType::class)]
    #[ORM\JoinColumn(name: 'payment_type_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?PaymentType $paymentType = null;
    #[ORM\ManyToOne(targetEntity: Bank::class)]
    #[ORM\JoinColumn(name: 'bank_id', referencedColumnName: 'id', nullable: true, onDelete: 'RESTRICT')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?Bank $bank = null;
    // === Sous-collections — EMBARQUEES dans le DETAIL (RETEX M1 §2) ===
    // Maillon (a) : le read-group est porte par le GETTER (getContacts / getAddresses
    // / getRibs) — sans #[Groups], jamais serialisees. Edition via sous-ressources
    // POST/PATCH/DELETE (ERP-88).
    /** @var Collection<int, SupplierContact> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierContact::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $contacts;
    /** @var Collection<int, SupplierAddress> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierAddress::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $addresses;
    /** @var Collection<int, SupplierRib> */
    #[ORM\OneToMany(mappedBy: 'supplier', targetEntity: SupplierRib::class, cascade: ['persist', 'remove'], orphanRemoval: true)]
    private Collection $ribs;
    // === Archive / Soft delete ===
    // Groupe d'ECRITURE uniquement sur la propriete (denormalisation PATCH archive).
    // Le groupe de LECTURE est declare sur le getter isArchived() avec
    // SerializedName('isArchived') : sans cela, Symfony strip le prefixe "is" et
    // exposerait la cle JSON "archived" — en pratique la cle est totalement
    // DROPPEE (piege n°3 du M1). Pattern corrige : Groups + SerializedName sur le getter.
    #[ORM\Column(name: 'is_archived', options: ['default' => false])]
    #[Groups(['supplier:write:archive'])]
    private bool $isArchived = false;
    #[ORM\Column(type: 'datetime_immutable', nullable: true)]
    #[Groups(['supplier:read'])]
    private ?DateTimeImmutable $archivedAt = null;
    // Soft delete technique (HP M3) : non expose en lecture/ecriture au M2.
    #[ORM\Column(type: 'datetime_immutable', nullable: true)]
    private ?DateTimeImmutable $deletedAt = null;
    public function __construct()
    {
        $this->categories = new ArrayCollection();
        $this->contacts   = new ArrayCollection();
        $this->addresses  = new ArrayCollection();
        $this->ribs       = new ArrayCollection();
    }
    /**
     * RG-2.10 : toute categorie posee sur le fournisseur doit etre de type
     * FOURNISSEUR -> sinon 422 avec violation sur le champ `categories`
     * (propertyPath aligne ERP-101, message FR ERP-107). Miroir de
     * SupplierAddress::validateCategoryType (ERP-88). S'appuie sur
     * CategoryInterface::getCategoryTypeCode() (pas d'import du module Catalog —
     * regle ABSOLUE n°1). Joue avant la base via la validation API Platform, sur
     * POST (categories ∈ supplier:write:main) comme sur PATCH.
     */
    #[Assert\Callback]
    public function validateCategoryType(ExecutionContextInterface $context): void
    {
        foreach ($this->categories as $category) {
            if ($category instanceof CategoryInterface
                && self::REQUIRED_CATEGORY_TYPE_CODE !== $category->getCategoryTypeCode()) {
                $context->buildViolation('Type de catégorie non autorisé (FOURNISSEUR attendu).')
                    ->atPath('categories')
                    ->addViolation()
                ;
                return;
            }
        }
    }
    /**
     * RG-2.07 / RG-2.08 : coherence du type de reglement comptable. Decision
     * figee ERP-89 : ces RG inter-champs passent par une contrainte d'entite
     * (Assert\Callback + ->atPath()) et NON par le SupplierProcessor, afin que
     * chaque 422 porte un propertyPath exploitable par extractApiViolations
     * (mapping inline sous le champ, pas un toast — convention ERP-101).
     *  - RG-2.07 : paymentType = VIREMENT impose une banque -> violation sur `bank`.
     *  - RG-2.08 : paymentType = LCR impose au moins un RIB -> violation sur `ribs`
     *    (le 409 sur DELETE du dernier RIB en LCR est porte par ERP-88).
     *
     * Ces champs vivant dans le groupe d'ecriture comptable (absent du POST, qui
     * n'expose que supplier:write:main), la contrainte ne mord en pratique que
     * sur le PATCH de l'onglet Comptabilite.
     */
    #[Assert\Callback]
    public function validatePaymentTypeConsistency(ExecutionContextInterface $context): void
    {
        $paymentCode = $this->paymentType?->getCode();
        if (self::PAYMENT_TYPE_VIREMENT === $paymentCode && null === $this->bank) {
            $context->buildViolation('La banque est obligatoire pour le type de règlement Virement.')
                ->atPath('bank')
                ->addViolation()
            ;
        }
        if (self::PAYMENT_TYPE_LCR === $paymentCode && $this->ribs->isEmpty()) {
            $context->buildViolation('Au moins un RIB est obligatoire pour le type de règlement LCR.')
                ->atPath('ribs')
                ->addViolation()
            ;
        }
    }
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getCompanyName(): ?string
    {
        return $this->companyName;
    }
    public function setCompanyName(string $companyName): static
    {
        $this->companyName = $companyName;
        return $this;
    }
    /** @return Collection<int, CategoryInterface> */
    public function getCategories(): Collection
    {
        return $this->categories;
    }
    public function addCategory(CategoryInterface $category): static
    {
        if (!$this->categories->contains($category)) {
            $this->categories->add($category);
        }
        return $this;
    }
    public function removeCategory(CategoryInterface $category): static
    {
        $this->categories->removeElement($category);
        return $this;
    }
    public function getDescription(): ?string
    {
        return $this->description;
    }
    public function setDescription(?string $description): static
    {
        $this->description = $description;
        return $this;
    }
    public function getCompetitors(): ?string
    {
        return $this->competitors;
    }
    public function setCompetitors(?string $competitors): static
    {
        $this->competitors = $competitors;
        return $this;
    }
    public function getFoundedAt(): ?DateTimeImmutable
    {
        return $this->foundedAt;
    }
    public function setFoundedAt(?DateTimeImmutable $foundedAt): static
    {
        $this->foundedAt = $foundedAt;
        return $this;
    }
    public function getEmployeesCount(): ?int
    {
        return $this->employeesCount;
    }
    public function setEmployeesCount(?int $employeesCount): static
    {
        $this->employeesCount = $employeesCount;
        return $this;
    }
    public function getRevenueAmount(): ?string
    {
        return $this->revenueAmount;
    }
    public function setRevenueAmount(?string $revenueAmount): static
    {
        $this->revenueAmount = $revenueAmount;
        return $this;
    }
    public function getDirectorName(): ?string
    {
        return $this->directorName;
    }
    public function setDirectorName(?string $directorName): static
    {
        $this->directorName = $directorName;
        return $this;
    }
    public function getProfitAmount(): ?string
    {
        return $this->profitAmount;
    }
    public function setProfitAmount(?string $profitAmount): static
    {
        $this->profitAmount = $profitAmount;
        return $this;
    }
    public function getVolumeForecast(): ?int
    {
        return $this->volumeForecast;
    }
    public function setVolumeForecast(?int $volumeForecast): static
    {
        $this->volumeForecast = $volumeForecast;
        return $this;
    }
    public function getSiren(): ?string
    {
        return $this->siren;
    }
    public function setSiren(?string $siren): static
    {
        $this->siren = $siren;
        return $this;
    }
    public function getAccountNumber(): ?string
    {
        return $this->accountNumber;
    }
    public function setAccountNumber(?string $accountNumber): static
    {
        $this->accountNumber = $accountNumber;
        return $this;
    }
    public function getTvaMode(): ?TvaMode
    {
        return $this->tvaMode;
    }
    public function setTvaMode(?TvaMode $tvaMode): static
    {
        $this->tvaMode = $tvaMode;
        return $this;
    }
    public function getNTva(): ?string
    {
        return $this->nTva;
    }
    public function setNTva(?string $nTva): static
    {
        $this->nTva = $nTva;
        return $this;
    }
    public function getPaymentDelay(): ?PaymentDelay
    {
        return $this->paymentDelay;
    }
    public function setPaymentDelay(?PaymentDelay $paymentDelay): static
    {
        $this->paymentDelay = $paymentDelay;
        return $this;
    }
    public function getPaymentType(): ?PaymentType
    {
        return $this->paymentType;
    }
    public function setPaymentType(?PaymentType $paymentType): static
    {
        $this->paymentType = $paymentType;
        return $this;
    }
    public function getBank(): ?Bank
    {
        return $this->bank;
    }
    public function setBank(?Bank $bank): static
    {
        $this->bank = $bank;
        return $this;
    }
    /** @return Collection<int, SupplierContact> */
    #[Groups(['supplier:item:read'])]
    public function getContacts(): Collection
    {
        return $this->contacts;
    }
    public function addContact(SupplierContact $contact): static
    {
        if (!$this->contacts->contains($contact)) {
            $this->contacts->add($contact);
            $contact->setSupplier($this);
        }
        return $this;
    }
    public function removeContact(SupplierContact $contact): static
    {
        if ($this->contacts->removeElement($contact) && $contact->getSupplier() === $this) {
            $contact->setSupplier(null);
        }
        return $this;
    }
    /** @return Collection<int, SupplierAddress> */
    #[Groups(['supplier:item:read'])]
    public function getAddresses(): Collection
    {
        return $this->addresses;
    }
    public function addAddress(SupplierAddress $address): static
    {
        if (!$this->addresses->contains($address)) {
            $this->addresses->add($address);
            $address->setSupplier($this);
        }
        return $this;
    }
    public function removeAddress(SupplierAddress $address): static
    {
        if ($this->addresses->removeElement($address) && $address->getSupplier() === $this) {
            $address->setSupplier(null);
        }
        return $this;
    }
    /**
     * Sites distincts rattaches a au moins une adresse du fournisseur (RG-2.06).
     * Le fournisseur ne porte pas de sites en propre : ils vivent sur les
     * adresses. Agrege en lecture seule pour la colonne « Site(s) » du Repertoire
     * (badges colores) — expose en LISTE via le groupe supplier:read (les adresses
     * completes restent reservees au detail, supplier:item:read). Site n'a pas de
     * champ `code` : libelle = `name`, prefixe = `postalCode` (§ 2.4 / § 4.0.ter).
     *
     * Fetch-join obligatoire (addresses.sites) cote repository pour eviter le N+1
     * a la serialisation de la liste (cf. DoctrineSupplierRepository, § 2.12).
     *
     * @return list<SiteInterface>
     */
    #[Groups(['supplier:read'])]
    public function getSites(): array
    {
        $sites = [];
        foreach ($this->addresses as $address) {
            foreach ($address->getSites() as $site) {
                // Deduplication par identite d'objet : un meme site peut etre
                // rattache a plusieurs adresses du fournisseur.
                $sites[spl_object_id($site)] = $site;
            }
        }
        return array_values($sites);
    }
    // Embed gate sur le groupe COMPTABLE (et non supplier:item:read comme contacts/
    // adresses) : supplier:read:accounting n'est ajoute au contexte que si l'user a
    // accounting.view (SupplierReadGroupContextBuilder, ERP-87). Resultat : la cle `ribs` est
    // TOTALEMENT ABSENTE du detail pour un user sans accounting.view (ex. Commerciale),
    // au meme titre que les scalaires comptables — evite la fuite IBAN/BIC (piege n°4 M1).
    /** @return Collection<int, SupplierRib> */
    #[Groups(['supplier:read:accounting'])]
    public function getRibs(): Collection
    {
        return $this->ribs;
    }
    public function addRib(SupplierRib $rib): static
    {
        if (!$this->ribs->contains($rib)) {
            $this->ribs->add($rib);
            $rib->setSupplier($this);
        }
        return $this;
    }
    public function removeRib(SupplierRib $rib): static
    {
        if ($this->ribs->removeElement($rib) && $rib->getSupplier() === $this) {
            $rib->setSupplier(null);
        }
        return $this;
    }
    // Groupe de lecture + nom serialise explicite : sans SerializedName, Symfony
    // exposerait la cle "archived" (strip du prefixe "is" sur les getters) et
    // droppait silencieusement la cle du JSON (piege n°3 du M1).
    #[Groups(['supplier:read'])]
    #[SerializedName('isArchived')]
    public function isArchived(): bool
    {
        return $this->isArchived;
    }
    public function setIsArchived(bool $isArchived): static
    {
        $this->isArchived = $isArchived;
        return $this;
    }
    public function getArchivedAt(): ?DateTimeImmutable
    {
        return $this->archivedAt;
    }
    public function setArchivedAt(?DateTimeImmutable $archivedAt): static
    {
        $this->archivedAt = $archivedAt;
        return $this;
    }
    public function getDeletedAt(): ?DateTimeImmutable
    {
        return $this->deletedAt;
    }
    public function setDeletedAt(?DateTimeImmutable $deletedAt): static
    {
        $this->deletedAt = $deletedAt;
        return $this;
    }
 }
@@ -0,0 +1,437 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierAddressProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierAddressRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
 use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\Common\Collections\ArrayCollection;
 use Doctrine\Common\Collections\Collection;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Serializer\Attribute\SerializedName;
 use Symfony\Component\Validator\Constraints as Assert;
 use Symfony\Component\Validator\Context\ExecutionContextInterface;
 /**
 * Adresse d'un fournisseur (1:n) — onglet Adresse. Le type d'adresse est un enum
 * exclusif PROSPECT | DEPART | RENDU (radio cote front — RG-2.09), qui remplace
 * les 3 booleens prospect/livraison/facturation du Client (M1) ; pas d'email de
 * facturation au M2. Ajoute deux champs specifiques fournisseur : `bennes`
 * (entier nullable) et `triageProvider` (prestataire de triage, booleen).
 *
 * Relations M2M :
 *  - sites : SiteInterface (module Sites) via resolve_target_entities — au moins
 *    un site obligatoire (RG-2.06, Assert\Count). Site n'a pas de `code`.
 *  - contacts : SupplierContact (meme module).
 *  - categories : CategoryInterface (module Catalog) via resolve_target_entities —
 *    type FOURNISSEUR attendu (RG-2.10, Assert\Callback validateCategoryType).
 *
 * Embarquee sous `supplier.addresses` au detail (groupe supplier:item:read,
 * maillon (a)).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) :
 *  - POST /api/suppliers/{supplierId}/addresses : creation rattachee au
 *    fournisseur parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.manage.
 *  - PATCH / DELETE /api/supplier_addresses/{id} : security
 *    commercial.suppliers.manage.
 *  - GET /api/supplier_addresses/{id} : lecture unitaire (security view) — la
 *    lecture courante reste via le parent. Pas de GET collection autonome.
 * Tout passe par le SupplierAddressProcessor (rattachement parent). Les regles
 * RG-2.05/2.06/2.09/2.10 sont portees par les contraintes de l'entite (jouees
 * avant le processor).
 *
 * Audite (#[Auditable]) + Timestampable / Blamable.
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            // site:read + category:read : embarquent les Site / Category lies
            // (maillon (c)) plutot que des IRI nus dans le retour.
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/addresses',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierAddress ... WHERE supplier = :id)
            // et casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierAddressProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
            denormalizationContext: ['groups' => ['supplier:write:addresses']],
            processor: SupplierAddressProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read', 'site:read', 'category:read', 'default:read']],
            denormalizationContext: ['groups' => ['supplier:write:addresses']],
            processor: SupplierAddressProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.manage')",
            processor: SupplierAddressProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierAddressRepository::class)]
 #[ORM\Table(name: 'supplier_address')]
 #[ORM\Index(name: 'idx_supplier_address_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierAddress implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    /**
     * Valeurs autorisees de address_type (RG-2.09). Miroir applicatif du CHECK BDD
     * chk_supplier_address_type : alimente l'Assert\Choice (422 propre rattachee
     * au champ avant la base) et reste la source des options cote front.
     */
    public const array ADDRESS_TYPES = ['PROSPECT', 'DEPART', 'RENDU'];
    /**
     * RG-2.10 : seules les categories de ce type sont autorisees sur une adresse
     * fournisseur. S'appuie sur CategoryInterface::getCategoryTypeCode() (pas
     * d'import du module Catalog — regle ABSOLUE n°1).
     */
    private const string REQUIRED_CATEGORY_TYPE_CODE = 'FOURNISSEUR';
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:item:read'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'addresses')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    // RG-2.09 : enum exclusif. La valeur est bornee par Assert\Choice (longueur de
    // fait <= 8), d'ou la whitelist du miroir Assert\Length == ORM length (ERP-107,
    // EntityConstraintsHaveFrenchMessageTest::EXCLUDED_LENGTH_MIRROR).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le type d\'adresse est obligatoire.', normalizer: 'trim')]
    #[Assert\Choice(choices: self::ADDRESS_TYPES, message: 'Le type d\'adresse doit être Prospect, Départ ou Rendu.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $addressType = null;
    #[ORM\Column(length: 80, options: ['default' => 'France'])]
    #[Assert\Length(max: 80, maxMessage: 'Le pays ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private string $country = 'France';
    // RG-2.05 : code postal a 4 ou 5 chiffres (pas de controle CP/ville serveur).
    // Le Regex borne deja la longueur (<= 5) : pas de Length redondant (whitelist).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le code postal est obligatoire.', normalizer: 'trim')]
    #[Assert\Regex(pattern: '/^[0-9]{4,5}$/', message: 'Le code postal doit comporter 4 ou 5 chiffres.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $postalCode = null;
    #[ORM\Column(length: 120)]
    #[Assert\NotBlank(message: 'La ville est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 120, maxMessage: 'La ville ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $city = null;
    #[ORM\Column(length: 255)]
    #[Assert\NotBlank(message: 'La rue est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 255, maxMessage: 'La rue ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $street = null;
    #[ORM\Column(length: 255, nullable: true)]
    #[Assert\Length(max: 255, maxMessage: 'Le complément d\'adresse ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?string $streetComplement = null;
    // Specifique fournisseur : nombre de bennes sur le site.
    #[ORM\Column(nullable: true)]
    #[Assert\PositiveOrZero(message: 'Le nombre de bennes doit être un nombre positif ou nul.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private ?int $bennes = null;
    // Specifique fournisseur : prestataire de triage sur cette adresse. Groupe
    // d'ECRITURE uniquement sur la propriete ; le groupe de LECTURE est porte par
    // le getter isTriageProvider() avec SerializedName('triageProvider') — sinon
    // Symfony strip le prefixe "is" et droppe la cle (piege n°3 du M1).
    #[ORM\Column(name: 'triage_provider', options: ['default' => false])]
    #[Groups(['supplier:write:addresses'])]
    private bool $triageProvider = false;
    // Ordre d'affichage de l'adresse (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    // RG-2.06 : au moins un site rattache a chaque adresse.
    /** @var Collection<int, SiteInterface> */
    #[ORM\ManyToMany(targetEntity: SiteInterface::class)]
    #[ORM\JoinTable(name: 'supplier_address_site')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'site_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Assert\Count(min: 1, minMessage: 'Au moins un site est obligatoire.')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $sites;
    /** @var Collection<int, SupplierContact> */
    #[ORM\ManyToMany(targetEntity: SupplierContact::class)]
    #[ORM\JoinTable(name: 'supplier_address_contact')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'supplier_contact_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $contacts;
    // RG-2.10 : categories d'adresse de type FOURNISSEUR (controle au Processor).
    /** @var Collection<int, CategoryInterface> */
    #[ORM\ManyToMany(targetEntity: CategoryInterface::class)]
    #[ORM\JoinTable(name: 'supplier_address_category')]
    #[ORM\JoinColumn(name: 'supplier_address_id', referencedColumnName: 'id', onDelete: 'CASCADE')]
    #[ORM\InverseJoinColumn(name: 'category_id', referencedColumnName: 'id', onDelete: 'RESTRICT')]
    #[Groups(['supplier:item:read', 'supplier:write:addresses'])]
    private Collection $categories;
    public function __construct()
    {
        $this->sites      = new ArrayCollection();
        $this->contacts   = new ArrayCollection();
        $this->categories = new ArrayCollection();
    }
    /**
     * RG-2.10 : toute categorie posee sur une adresse fournisseur doit etre de
     * type FOURNISSEUR -> sinon 422 avec violation sur le champ `categories`
     * (propertyPath aligne ERP-101, message FR ERP-107). S'appuie sur
     * CategoryInterface::getCategoryTypeCode() (pas d'import du module Catalog —
     * regle ABSOLUE n°1). Joue avant la base via la validation API Platform.
     */
    #[Assert\Callback]
    public function validateCategoryType(ExecutionContextInterface $context): void
    {
        foreach ($this->categories as $category) {
            if ($category instanceof CategoryInterface
                && self::REQUIRED_CATEGORY_TYPE_CODE !== $category->getCategoryTypeCode()) {
                $context->buildViolation('Type de catégorie non autorisé (FOURNISSEUR attendu).')
                    ->atPath('categories')
                    ->addViolation()
                ;
                return;
            }
        }
    }
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getAddressType(): ?string
    {
        return $this->addressType;
    }
    public function setAddressType(?string $addressType): static
    {
        $this->addressType = $addressType;
        return $this;
    }
    public function getCountry(): string
    {
        return $this->country;
    }
    public function setCountry(string $country): static
    {
        $this->country = $country;
        return $this;
    }
    public function getPostalCode(): ?string
    {
        return $this->postalCode;
    }
    public function setPostalCode(?string $postalCode): static
    {
        $this->postalCode = $postalCode;
        return $this;
    }
    public function getCity(): ?string
    {
        return $this->city;
    }
    public function setCity(?string $city): static
    {
        $this->city = $city;
        return $this;
    }
    public function getStreet(): ?string
    {
        return $this->street;
    }
    public function setStreet(?string $street): static
    {
        $this->street = $street;
        return $this;
    }
    public function getStreetComplement(): ?string
    {
        return $this->streetComplement;
    }
    public function setStreetComplement(?string $streetComplement): static
    {
        $this->streetComplement = $streetComplement;
        return $this;
    }
    public function getBennes(): ?int
    {
        return $this->bennes;
    }
    public function setBennes(?int $bennes): static
    {
        $this->bennes = $bennes;
        return $this;
    }
    // Groupe de lecture + nom serialise explicite (cf. note sur la propriete) :
    // sans SerializedName, Symfony exposerait la cle "triage" (strip du prefixe
    // "is") et, le groupe etant sur la propriete `triageProvider`, droppait
    // silencieusement la cle du JSON.
    #[Groups(['supplier:item:read'])]
    #[SerializedName('triageProvider')]
    public function isTriageProvider(): bool
    {
        return $this->triageProvider;
    }
    public function setTriageProvider(bool $triageProvider): static
    {
        $this->triageProvider = $triageProvider;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
    /** @return Collection<int, SiteInterface> */
    public function getSites(): Collection
    {
        return $this->sites;
    }
    public function addSite(SiteInterface $site): static
    {
        if (!$this->sites->contains($site)) {
            $this->sites->add($site);
        }
        return $this;
    }
    public function removeSite(SiteInterface $site): static
    {
        $this->sites->removeElement($site);
        return $this;
    }
    /** @return Collection<int, SupplierContact> */
    public function getContacts(): Collection
    {
        return $this->contacts;
    }
    public function addContact(SupplierContact $contact): static
    {
        if (!$this->contacts->contains($contact)) {
            $this->contacts->add($contact);
        }
        return $this;
    }
    public function removeContact(SupplierContact $contact): static
    {
        $this->contacts->removeElement($contact);
        return $this;
    }
    /** @return Collection<int, CategoryInterface> */
    public function getCategories(): Collection
    {
        return $this->categories;
    }
    public function addCategory(CategoryInterface $category): static
    {
        if (!$this->categories->contains($category)) {
            $this->categories->add($category);
        }
        return $this;
    }
    public function removeCategory(CategoryInterface $category): static
    {
        $this->categories->removeElement($category);
        return $this;
    }
 }
@@ -0,0 +1,238 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierContactProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierContactRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Validator\Constraints as Assert;
 /**
 * Contact d'un fournisseur (1:n) — onglet Contacts. Au moins firstName OU
 * lastName doit etre renseigne (RG-2.04) : contrainte portee par un CHECK BDD
 * (chk_supplier_contact_name) et validee au Processor (ERP-88) ; l'entite reste
 * permissive (les deux champs sont nullable).
 *
 * Embarque sous `supplier.contacts` au detail (groupe supplier:item:read,
 * maillon (a) du contrat de serialisation).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) :
 *  - POST /api/suppliers/{supplierId}/contacts : creation rattachee au
 *    fournisseur parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.manage.
 *  - PATCH / DELETE /api/supplier_contacts/{id} : security
 *    commercial.suppliers.manage. Le DELETE est physique et libre (pas de garde
 *    « dernier contact » au M2 — RG-2.13 front-driven, la collection peut rester
 *    vide cote back).
 *  - GET /api/supplier_contacts/{id} : lecture unitaire (security view) — la
 *    lecture courante reste via le parent (le fournisseur embarque ses contacts).
 *    Pas de GET collection autonome.
 * Tout passe par le SupplierContactProcessor (normalisation RG-2.12, RG-2.04).
 *
 * Audite (#[Auditable]) + Timestampable / Blamable (pattern Shared standard).
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['supplier:item:read']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/contacts',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierContact ... WHERE supplier = :id)
            // et casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierContactProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read']],
            denormalizationContext: ['groups' => ['supplier:write:contacts']],
            processor: SupplierContactProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.manage')",
            normalizationContext: ['groups' => ['supplier:item:read']],
            denormalizationContext: ['groups' => ['supplier:write:contacts']],
            processor: SupplierContactProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.manage')",
            processor: SupplierContactProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierContactRepository::class)]
 #[ORM\Table(name: 'supplier_contact')]
 #[ORM\Index(name: 'idx_supplier_contact_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierContact implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:item:read'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'contacts')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    // RG-2.04 : firstName OU lastName obligatoire (CHECK BDD + Processor). Les
    // deux restent nullable au niveau ORM.
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le prénom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $firstName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'Le nom ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $lastName = null;
    #[ORM\Column(length: 120, nullable: true)]
    #[Assert\Length(max: 120, maxMessage: 'La fonction ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $jobTitle = null;
    // RG : pas de validation de format telephone (saisie libre), mais une
    // Assert\Length calee sur la colonne VARCHAR(20) evite l'erreur Postgres
    // (500 non rattachee au champ) au profit d'une 422 propre (ERP-107).
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $phonePrimary = null;
    #[ORM\Column(length: 20, nullable: true)]
    #[Assert\Length(max: 20, maxMessage: 'Le téléphone secondaire ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $phoneSecondary = null;
    #[ORM\Column(length: 180, nullable: true)]
    #[Assert\Email(message: 'L\'adresse email n\'est pas valide.')]
    #[Assert\Length(max: 180, maxMessage: 'L\'email ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:item:read', 'supplier:write:contacts'])]
    private ?string $email = null;
    // Ordre d'affichage du contact (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getFirstName(): ?string
    {
        return $this->firstName;
    }
    public function setFirstName(?string $firstName): static
    {
        $this->firstName = $firstName;
        return $this;
    }
    public function getLastName(): ?string
    {
        return $this->lastName;
    }
    public function setLastName(?string $lastName): static
    {
        $this->lastName = $lastName;
        return $this;
    }
    public function getJobTitle(): ?string
    {
        return $this->jobTitle;
    }
    public function setJobTitle(?string $jobTitle): static
    {
        $this->jobTitle = $jobTitle;
        return $this;
    }
    public function getPhonePrimary(): ?string
    {
        return $this->phonePrimary;
    }
    public function setPhonePrimary(?string $phonePrimary): static
    {
        $this->phonePrimary = $phonePrimary;
        return $this;
    }
    public function getPhoneSecondary(): ?string
    {
        return $this->phoneSecondary;
    }
    public function setPhoneSecondary(?string $phoneSecondary): static
    {
        $this->phoneSecondary = $phoneSecondary;
        return $this;
    }
    public function getEmail(): ?string
    {
        return $this->email;
    }
    public function setEmail(?string $email): static
    {
        $this->email = $email;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
 }
@@ -0,0 +1,188 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Entity;
 use ApiPlatform\Metadata\ApiResource;
 use ApiPlatform\Metadata\Delete;
 use ApiPlatform\Metadata\Get;
 use ApiPlatform\Metadata\Link;
 use ApiPlatform\Metadata\Patch;
 use ApiPlatform\Metadata\Post;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierRibProcessor;
 use App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRibRepository;
 use App\Shared\Domain\Attribute\Auditable;
 use App\Shared\Domain\Contract\BlamableInterface;
 use App\Shared\Domain\Contract\TimestampableInterface;
 use App\Shared\Domain\Trait\TimestampableBlamableTrait;
 use Doctrine\ORM\Mapping as ORM;
 use Symfony\Component\Serializer\Attribute\Groups;
 use Symfony\Component\Validator\Constraints as Assert;
 /**
 * Coordonnees bancaires d'un fournisseur (1:n) — onglet Comptabilite. Au moins un
 * RIB est obligatoire si le type de reglement est LCR (RG-2.08, verifie au
 * Processor : refus du DELETE du dernier RIB sous LCR, ERP-88).
 *
 * Embarque sous `supplier.ribs` UNIQUEMENT si l'user a accounting.view : le
 * read-group est `supplier:read:accounting`, retire du contexte par le
 * SupplierProvider sinon (gating par omission de cle — evite la fuite IBAN/BIC,
 * piege n°4 du M1). Aucun #[AuditIgnore] sur iban/bic : l'audit etant admin-only,
 * la tracabilite RIB est conservee (decision M1 reportee, § 2.7).
 *
 * Sous-ressource API (ERP-88, spec § 4.5) — gating comptable renforce :
 *  - POST /api/suppliers/{supplierId}/ribs : creation rattachee au fournisseur
 *    parent (Link toProperty 'supplier'), security
 *    commercial.suppliers.accounting.manage.
 *  - PATCH / DELETE /api/supplier_ribs/{id} : security
 *    commercial.suppliers.accounting.manage. Le DELETE refuse la suppression du
 *    dernier RIB sous LCR (RG-2.08, 409).
 *  - GET /api/supplier_ribs/{id} : lecture unitaire, security
 *    commercial.suppliers.accounting.view (donnees bancaires sensibles). Pas de
 *    GET collection autonome.
 * Tout passe par le SupplierRibProcessor (RG-2.08 sur DELETE).
 *
 * Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony (pas de controle
 * banque reelle). Audite (#[Auditable]) + Timestampable / Blamable.
 */
 #[ApiResource(
    operations: [
        new Get(
            security: "is_granted('commercial.suppliers.accounting.view')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
        ),
        new Post(
            uriTemplate: '/suppliers/{supplierId}/ribs',
            uriVariables: [
                'supplierId' => new Link(fromClass: Supplier::class, toProperty: 'supplier'),
            ],
            // read:false : pas de stade lecture du parent. Le Link toProperty
            // resoudrait l'enfant (SELECT SupplierRib ... WHERE supplier = :id) et
            // casse en NonUniqueResult des >= 2 enfants. Le parent est rattache
            // manuellement par SupplierRibProcessor::linkParent (404 si absent).
            read: false,
            security: "is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
            denormalizationContext: ['groups' => ['supplier:write:accounting']],
            processor: SupplierRibProcessor::class,
        ),
        new Patch(
            security: "is_granted('commercial.suppliers.accounting.manage')",
            normalizationContext: ['groups' => ['supplier:read:accounting']],
            denormalizationContext: ['groups' => ['supplier:write:accounting']],
            processor: SupplierRibProcessor::class,
        ),
        new Delete(
            security: "is_granted('commercial.suppliers.accounting.manage')",
            processor: SupplierRibProcessor::class,
        ),
    ],
 )]
 #[ORM\Entity(repositoryClass: DoctrineSupplierRibRepository::class)]
 #[ORM\Table(name: 'supplier_rib')]
 #[ORM\Index(name: 'idx_supplier_rib_supplier', columns: ['supplier_id'])]
 #[Auditable]
 class SupplierRib implements TimestampableInterface, BlamableInterface
 {
    use TimestampableBlamableTrait;
    #[ORM\Id]
    #[ORM\GeneratedValue]
    #[ORM\Column]
    #[Groups(['supplier:read:accounting'])]
    private ?int $id = null;
    #[ORM\ManyToOne(targetEntity: Supplier::class, inversedBy: 'ribs')]
    #[ORM\JoinColumn(name: 'supplier_id', referencedColumnName: 'id', nullable: false, onDelete: 'CASCADE')]
    private ?Supplier $supplier = null;
    #[ORM\Column(length: 120)]
    #[Assert\NotBlank(message: 'Le libellé du RIB est obligatoire.', normalizer: 'trim')]
    #[Assert\Length(max: 120, maxMessage: 'Le libellé ne peut dépasser {{ limit }} caractères.', normalizer: 'trim')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $label = null;
    // Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
    // redondant calee sur la colonne (auto-exempte du miroir ERP-107).
    #[ORM\Column(length: 20)]
    #[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
    #[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $bic = null;
    #[ORM\Column(length: 34)]
    #[Assert\NotBlank(message: 'L\'IBAN est obligatoire.', normalizer: 'trim')]
    #[Assert\Iban(message: 'L\'IBAN n\'est pas valide.')]
    #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
    private ?string $iban = null;
    // Ordre d'affichage du RIB (gere serveur, non expose au M2).
    #[ORM\Column(options: ['default' => 0])]
    private int $position = 0;
    public function getId(): ?int
    {
        return $this->id;
    }
    public function getSupplier(): ?Supplier
    {
        return $this->supplier;
    }
    public function setSupplier(?Supplier $supplier): static
    {
        $this->supplier = $supplier;
        return $this;
    }
    public function getLabel(): ?string
    {
        return $this->label;
    }
    public function setLabel(string $label): static
    {
        $this->label = $label;
        return $this;
    }
    public function getBic(): ?string
    {
        return $this->bic;
    }
    public function setBic(string $bic): static
    {
        $this->bic = $bic;
        return $this;
    }
    public function getIban(): ?string
    {
        return $this->iban;
    }
    public function setIban(string $iban): static
    {
        $this->iban = $iban;
        return $this;
    }
    public function getPosition(): int
    {
        return $this->position;
    }
    public function setPosition(int $position): static
    {
        $this->position = $position;
        return $this;
    }
 }
@@ -17,7 +17,8 @@ use Symfony\Component\Serializer\Attribute\Groups;
 * re-seede en dev/test par CommercialReferentialFixtures.
 *
 * Lecture seule au M1 (HP-M2-2) : seules GetCollection et Get sont exposees
- * (ERP-56), sous la permission commercial.clients.view ; aucune ecriture
+ * (ERP-56), sous la permission commercial.clients.view (elargie aux roles
 * fournisseurs au M2 via commercial.suppliers.view, ERP-90) ; aucune ecriture
 * declaree -> POST/PATCH/DELETE renvoient 405.
 *
 * Referentiel statique : pas de Timestampable/Blamable (whiteliste dans
@@ -28,7 +29,7 @@ use Symfony\Component\Serializer\Attribute\Groups;
 #[ApiResource(
    operations: [
        new GetCollection(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['tva_mode:read']],
            // Tri par defaut spec M1 § 4.7 : position ASC puis label ASC
            // (ordre des selecteurs comptables) — provider Doctrine par defaut.
@@ -39,11 +40,11 @@ use Symfony\Component\Serializer\Attribute\Groups;
            paginationClientEnabled: true,
        ),
        new Get(
-            security: "is_granted('commercial.clients.view')",
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
            normalizationContext: ['groups' => ['tva_mode:read']],
        ),
    ],
-    security: "is_granted('commercial.clients.view')",
+    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
 )]
 #[ORM\Entity(repositoryClass: DoctrineTvaModeRepository::class)]
 #[ORM\Table(name: 'tva_mode')]
@@ -0,0 +1,14 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 interface SupplierAddressRepositoryInterface
 {
    public function findById(int $id): ?SupplierAddress;
    public function save(SupplierAddress $address): void;
 }
@@ -0,0 +1,14 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 interface SupplierContactRepositoryInterface
 {
    public function findById(int $id): ?SupplierContact;
    public function save(SupplierContact $contact): void;
 }
@@ -0,0 +1,80 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Doctrine\ORM\QueryBuilder;
 interface SupplierRepositoryInterface
 {
    public function findById(int $id): ?Supplier;
    public function save(Supplier $supplier): void;
    /**
     * Construit un QueryBuilder de liste pour le repertoire fournisseurs.
     * - Exclut toujours les fournisseurs soft-deletes (deleted_at IS NOT NULL, RG-2.17).
     * - Archivage (RG-2.17) :
     *     - $archivedOnly = true  -> uniquement les archives (is_archived = true) ;
     *     - sinon $includeArchived = true -> actifs + archives (echappatoire) ;
     *     - sinon (defaut) -> uniquement les actifs (is_archived = false).
     *   $archivedOnly a la priorite sur $includeArchived.
     * - Tri par defaut : companyName ASC (RG-2.17).
     * - $search : recherche fuzzy insensible a la casse sur companyName + les
     *   contacts lies (firstName / lastName / email) via sous-requete (D1,
     *   refonte-contact §4.1). Metacaracteres LIKE echappes. Ignore si null/vide.
     * - $categoryCodes : restreint aux fournisseurs possedant au moins une
     *   categorie dont le code est dans la liste (OR). Liste vide = pas de filtre.
     * - $siteIds : restreint aux fournisseurs ayant au moins une adresse rattachee
     *   a l'un des sites donnes (OR — RG-2.06). Liste vide = pas de filtre.
     *
     * Filtrage centralise ICI (et non dans le provider/controller) pour que la
     * liste paginee (SupplierProvider) et l'export (SupplierExportController)
     * partagent strictement la meme logique de selection.
     *
     * Contrat = SELECTION uniquement (filtres + tri). Aucun fetch-join to-many :
     * l'hydratation des collections affichees est deleguee a
     * {@see self::hydrateListCollections()} pour ne pas imposer le cout d'un
     * produit cartesien aux chemins non pagines (cf. M1/ERP-100).
     *
     * @param list<string> $categoryCodes
     * @param list<int>    $siteIds
     */
    public function createListQueryBuilder(
        bool $includeArchived = false,
        ?string $search = null,
        array $categoryCodes = [],
        array $siteIds = [],
        bool $archivedOnly = false,
    ): QueryBuilder;
    /**
     * Hydrate en lot les collections affichees par le repertoire (categories,
     * adresses et leurs sites) sur un jeu de fournisseurs DEJA charges, via
     * l'identity map Doctrine (memes instances). A appeler apres une selection
     * bornee (page courante ou jeu d'export) pour eviter le N+1 a la
     * serialisation, sans imposer de fetch-join au QueryBuilder de selection
     * (anti N+1, § 2.12).
     *
     * Charge les categories et les adresses/sites en DEUX requetes distinctes
     * (et non un triple fetch-join) pour ne pas multiplier categories x adresses
     * x sites en un seul produit cartesien.
     *
     * @param list<Supplier> $suppliers
     */
    public function hydrateListCollections(array $suppliers): void;
    /**
     * Hydrate en lot la collection `contacts` sur un jeu de fournisseurs DEJA
     * charges (memes instances via l'identity map). Reservee a l'export XLSX
     * (§ 4.6) qui a besoin du contact principal : la LISTE paginee n'embarque
     * pas les contacts (§ 2.12), d'ou une methode dediee plutot qu'une passe
     * supplementaire dans {@see self::hydrateListCollections()} — on n'impose pas
     * le cout du chargement des contacts au chemin liste.
     *
     * @param list<Supplier> $suppliers
     */
    public function hydrateContacts(array $suppliers): void;
 }
@@ -0,0 +1,14 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Domain\Repository;
 use App\Module\Commercial\Domain\Entity\SupplierRib;
 interface SupplierRibRepositoryInterface
 {
    public function findById(int $id): ?SupplierRib;
    public function save(SupplierRib $rib): void;
 }
@@ -0,0 +1,75 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\Serializer;
 use ApiPlatform\State\SerializerContextBuilderInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\AsDecorator;
 use Symfony\Component\DependencyInjection\Attribute\AutowireDecorated;
 use Symfony\Component\HttpFoundation\Request;
 /**
 * Decore le context builder de serialisation d'API Platform pour ajouter
 * DYNAMIQUEMENT le groupe de lecture `supplier:read:accounting` sur les
 * ressources Supplier, uniquement si l'utilisateur courant a la permission
 * `commercial.suppliers.accounting.view` (cf. spec-back M2 § 2.9 / § 4.1 /
 * § 4.2). Jumeau de ClientReadGroupContextBuilder (M1).
 *
 * Pourquoi un context builder et pas le Provider : un Provider retourne des
 * donnees mais ne peut pas influencer les groupes de serialisation. Le contexte
 * de normalisation est construit ici, en amont du serializer — c'est le point
 * d'extension idiomatique d'API Platform pour conditionner un groupe selon
 * l'utilisateur. Realise l'intention « gating du groupe accounting » de la spec
 * (le groupe n'est jamais pose par defaut sur l'operation : il est AJOUTE ici si
 * la permission est presente — resultat identique au « retrait » decrit en spec).
 *
 * S'applique aux operations de LECTURE (normalization) sur Supplier : liste ET
 * detail. Sans la permission, les champs comptables (siren, accountNumber,
 * tvaMode, nTva, paymentDelay, paymentType, bank) ET les RIB embarques (groupe
 * supplier:read:accounting porte par getRibs()) ne sont jamais serialises — la
 * cle est totalement absente du JSON (gating par omission, parade bug #4 M1).
 *
 * Priorite de decoration -10 : on s'empile APRES ClientReadGroupContextBuilder
 * (priorite par defaut 0) sur le meme service `api_platform.serializer.context_builder`.
 * Les deux decorateurs passent la main pour toute ressource autre que la leur :
 * l'ordre de chainage n'a donc aucun effet fonctionnel, la priorite explicite ne
 * sert qu'a lever l'ambiguite de deux decorateurs sur un meme service.
 */
 #[AsDecorator(decorates: 'api_platform.serializer.context_builder', priority: -10)]
 final readonly class SupplierReadGroupContextBuilder implements SerializerContextBuilderInterface
 {
    public function __construct(
        #[AutowireDecorated]
        private SerializerContextBuilderInterface $decorated,
        private Security $security,
    ) {}
    public function createFromRequest(Request $request, bool $normalization, ?array $extractedAttributes = null): array
    {
        $context = $this->decorated->createFromRequest($request, $normalization, $extractedAttributes);
        // Uniquement en lecture, sur la ressource Supplier, avec la permission.
        if (!$normalization) {
            return $context;
        }
        if (Supplier::class !== ($context['resource_class'] ?? null)) {
            return $context;
        }
        if (!$this->security->isGranted('commercial.suppliers.accounting.view')) {
            return $context;
        }
        $groups = $context['groups'] ?? [];
        if (!in_array('supplier:read:accounting', $groups, true)) {
            $groups[] = 'supplier:read:accounting';
        }
        $context['groups'] = $groups;
        return $context;
    }
 }
@@ -12,6 +12,7 @@ use App\Module\Commercial\Domain\Entity\Client;
 use App\Module\Commercial\Domain\Entity\ClientAddress;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource Adresse d'un client (M1, § 4.5).
@@ -75,9 +76,14 @@ final class ClientAddressProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        if ($client instanceof Client) {
+        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
-            $address->setClient($client);
+        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $address->setClient($client);
    }
    /**
@@ -14,6 +14,7 @@ use App\Module\Commercial\Domain\Entity\ClientContact;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
@@ -88,9 +89,14 @@ final class ClientContactProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        if ($client instanceof Client) {
+        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
-            $contact->setClient($client);
+        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $contact->setClient($client);
    }
    /**
@@ -8,6 +8,7 @@ use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\ClientFieldNormalizer;
 use App\Module\Commercial\Application\Validator\ClientAccountingCompletenessValidator;
 use App\Module\Commercial\Application\Validator\ClientInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Client;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
@@ -75,6 +76,14 @@ final class ClientProcessor implements ProcessorInterface
        'paymentType', 'bank',
    ];
    /**
     * Champs comptables obligatoires a la validation complete de l'onglet
     * (spec-front § Onglet Comptabilite). bank est exclu : conditionnel (RG-1.12).
     */
    private const array ACCOUNTING_REQUIRED_FIELDS = [
        'siren', 'accountNumber', 'tvaMode', 'nTva', 'paymentDelay', 'paymentType',
    ];
    /** Champ d'archivage (groupe client:write:archive). */
    private const string ARCHIVE_FIELD = 'isArchived';
@@ -100,6 +109,7 @@ final class ClientProcessor implements ProcessorInterface
        private readonly ProcessorInterface $persistProcessor,
        private readonly ClientFieldNormalizer $normalizer,
        private readonly ClientInformationCompletenessValidator $informationValidator,
        private readonly ClientAccountingCompletenessValidator $accountingValidator,
        private readonly Security $security,
        private readonly RequestStack $requestStack,
        private readonly EntityManagerInterface $em,
@@ -125,6 +135,7 @@ final class ClientProcessor implements ProcessorInterface
        $this->validateDistributorBroker($data);
        $this->validateAccountingConsistency($data);
        $this->validateAccountingCompleteness($data);
        $this->validateInformationCompleteness($data);
        try {
@@ -486,6 +497,29 @@ final class ClientProcessor implements ProcessorInterface
        }
    }
    /**
     * spec-front § Onglet Comptabilite : a la validation COMPLETE de l'onglet
     * (les six champs obligatoires presents dans le payload — le front les envoie
     * toujours ensemble), chacun doit etre renseigne, sinon 422 par champ. On ne
     * declenche pas sur un PATCH ciblant un sous-ensemble de champs comptables :
     * ce n'est pas une validation d'onglet (edition ponctuelle preservee). bank /
     * RIB restent geres par validateAccountingConsistency (RG-1.12 / RG-1.13).
     *
     * Colonnes nullable en base + validateur contextuel (meme parti que RG-1.04) :
     * un Assert\NotBlank sur l'entite casserait le POST de l'onglet principal, qui
     * n'envoie aucun champ comptable.
     */
    private function validateAccountingCompleteness(Client $data): void
    {
        // Declenche uniquement si TOUS les champs requis sont presents dans le
        // payload (= soumission d'onglet, pas un PATCH partiel cible).
        if ([] !== array_diff(self::ACCOUNTING_REQUIRED_FIELDS, $this->payloadKeys())) {
            return;
        }
        $this->accountingValidator->validate($data);
    }
    /**
     * RG-1.04 (durcie ERP-74) : si l'utilisateur porte le role metier
     * Commerciale, TOUS les champs de l'onglet Information sont obligatoires sur
@@ -12,6 +12,7 @@ use App\Module\Commercial\Domain\Entity\ClientRib;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource RIB d'un client (M1, § 4.5).
@@ -77,9 +78,14 @@ final class ClientRibProcessor implements ProcessorInterface
            ? $clientId
            : $this->em->getRepository(Client::class)->find($clientId);
-        if ($client instanceof Client) {
+        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
-            $rib->setClient($client);
+        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte client_id NOT NULL).
        if (!$client instanceof Client) {
            throw new NotFoundHttpException('Client introuvable.');
        }
        $rib->setClient($client);
    }
    /**
@@ -0,0 +1,90 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\DeleteOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource Adresse d'un fournisseur (M2,
 * spec-back § 4.5). Jumeau du ClientAddressProcessor (M1), recentre sur le
 * perimetre ERP-88.
 *
 * Sequence :
 *  - POST / PATCH : rattachement au fournisseur parent. Aucune normalisation
 *    specifique (pas d'email de facturation au M2). Les regles de l'onglet
 *    Adresse sont garanties en amont par des contraintes sur l'entite, jouees
 *    par API Platform avant ce processor : RG-2.05 (code postal, Assert\Regex),
 *    RG-2.06 (>= 1 site, Assert\Count), RG-2.09 (type d'adresse, Assert\Choice +
 *    CHECK BDD), RG-2.10 (categorie de type FOURNISSEUR, Assert\Callback
 *    SupplierAddress::validateCategoryType).
 *  - DELETE : aucune regle metier specifique (suppression physique directe).
 *
 * La security de l'operation (commercial.suppliers.manage) est appliquee par API
 * Platform en amont, de meme que la validation Symfony des contraintes d'attribut.
 *
 * @implements ProcessorInterface<SupplierAddress, null|SupplierAddress>
 */
 final class SupplierAddressProcessor implements ProcessorInterface
 {
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        #[Autowire(service: 'api_platform.doctrine.orm.state.remove_processor')]
        private readonly ProcessorInterface $removeProcessor,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof SupplierAddress) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        if ($operation instanceof DeleteOperationInterface) {
            return $this->removeProcessor->process($data, $operation, $uriVariables, $context);
        }
        $this->linkParent($data, $uriVariables);
        return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
    }
    /**
     * Rattache l'adresse au fournisseur parent de la sous-ressource POST
     * (/suppliers/{supplierId}/addresses) : la relation n'est pas peuplee
     * automatiquement par le Link sur une ecriture. Sur PATCH, no-op.
     */
    private function linkParent(SupplierAddress $address, array $uriVariables): void
    {
        if (null !== $address->getSupplier()) {
            return;
        }
        $supplierId = $uriVariables['supplierId'] ?? null;
        if (null === $supplierId) {
            return;
        }
        $supplier = $supplierId instanceof Supplier
            ? $supplierId
            : $this->em->getRepository(Supplier::class)->find($supplierId);
        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte supplier_id NOT NULL).
        if (!$supplier instanceof Supplier) {
            throw new NotFoundHttpException('Fournisseur introuvable.');
        }
        $address->setSupplier($supplier);
    }
 }
@@ -0,0 +1,135 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\DeleteOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\SupplierFieldNormalizer;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 use Symfony\Component\Validator\ConstraintViolation;
 use Symfony\Component\Validator\ConstraintViolationList;
 /**
 * Processor d'ecriture de la sous-ressource Contact d'un fournisseur (M2,
 * spec-back § 4.5). Jumeau du ClientContactProcessor (M1), recentre sur le
 * perimetre ERP-88.
 *
 * Sequence :
 *  - POST / PATCH : rattachement au fournisseur parent, normalisation serveur
 *    (RG-2.12 : prenom/nom Title Case, telephones reduits aux chiffres, email
 *    lowercase) via le SupplierFieldNormalizer partage, puis validation RG-2.04
 *    (au moins prenom OU nom) avant persistance.
 *  - DELETE : aucune garde « dernier contact » au M2 — contrairement au M1, la
 *    collection peut rester vide cote back (RG-2.13 front-driven, spec § 4.5).
 *    Suppression physique directe.
 *
 * La security de l'operation (commercial.suppliers.manage) est appliquee par API
 * Platform en amont, de meme que la validation Symfony des contraintes d'attribut
 * (Assert\Email, Assert\Length...).
 *
 * @implements ProcessorInterface<SupplierContact, null|SupplierContact>
 */
 final class SupplierContactProcessor implements ProcessorInterface
 {
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        #[Autowire(service: 'api_platform.doctrine.orm.state.remove_processor')]
        private readonly ProcessorInterface $removeProcessor,
        private readonly SupplierFieldNormalizer $normalizer,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof SupplierContact) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        if ($operation instanceof DeleteOperationInterface) {
            return $this->removeProcessor->process($data, $operation, $uriVariables, $context);
        }
        $this->linkParent($data, $uriVariables);
        $this->normalize($data);
        $this->validateName($data);
        return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
    }
    /**
     * Rattache le contact au fournisseur parent de la sous-ressource POST
     * (/suppliers/{supplierId}/contacts). La relation n'est pas peuplee
     * automatiquement par le Link sur une operation d'ecriture : on resout le
     * parent depuis l'uri variable. Sur PATCH (entite existante), le fournisseur
     * est deja present -> no-op.
     */
    private function linkParent(SupplierContact $contact, array $uriVariables): void
    {
        if (null !== $contact->getSupplier()) {
            return;
        }
        $supplierId = $uriVariables['supplierId'] ?? null;
        if (null === $supplierId) {
            return;
        }
        $supplier = $supplierId instanceof Supplier
            ? $supplierId
            : $this->em->getRepository(Supplier::class)->find($supplierId);
        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte supplier_id NOT NULL).
        if (!$supplier instanceof Supplier) {
            throw new NotFoundHttpException('Fournisseur introuvable.');
        }
        $contact->setSupplier($supplier);
    }
    /**
     * Normalisation serveur (RG-2.12). Toutes les methodes du normalizer sont
     * null-safe : une chaine vide apres trim devient null.
     */
    private function normalize(SupplierContact $contact): void
    {
        $contact->setFirstName($this->normalizer->normalizePersonName($contact->getFirstName()));
        $contact->setLastName($this->normalizer->normalizePersonName($contact->getLastName()));
        $contact->setPhonePrimary($this->normalizer->normalizePhone($contact->getPhonePrimary()));
        $contact->setPhoneSecondary($this->normalizer->normalizePhone($contact->getPhoneSecondary()));
        $contact->setEmail($this->normalizer->normalizeEmail($contact->getEmail()));
    }
    /**
     * RG-2.04 : au moins le prenom OU le nom est obligatoire (double garde avec le
     * CHECK BDD chk_supplier_contact_name — leve une 422 propre rattachee au champ
     * `firstName` plutot qu'une 500 SQL). Joue apres normalisation, donc les
     * chaines vides sont deja ramenees a null.
     */
    private function validateName(SupplierContact $contact): void
    {
        if (null === $contact->getFirstName() && null === $contact->getLastName()) {
            $violations = new ConstraintViolationList();
            $violations->add(new ConstraintViolation(
                'Le prénom ou le nom du contact est obligatoire.',
                null,
                [],
                $contact,
                'firstName',
                null,
            ));
            throw new ValidationException($violations);
        }
    }
 }
@@ -0,0 +1,527 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Commercial\Application\Service\SupplierFieldNormalizer;
 use App\Module\Commercial\Application\Validator\SupplierInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
 use App\Shared\Domain\Security\BusinessRoles;
 use DateTimeImmutable;
 use Doctrine\DBAL\Exception\UniqueConstraintViolationException;
 use Doctrine\ORM\EntityManagerInterface;
 use Doctrine\ORM\PersistentCollection;
 use JsonException;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpFoundation\RequestStack;
 use Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\UnprocessableEntityHttpException;
 /**
 * Processor d'ecriture du repertoire fournisseurs (M2). Cf. spec-back M2 § 4.3 /
 * § 4.4 + RG-2.11 / RG-2.12 / RG-2.14 / RG-2.15 / RG-2.16. Jumeau du
 * ClientProcessor (M1), recentre sur le perimetre ERP-87.
 *
 * Sequence (POST / PATCH) :
 *  1. Autorisation additionnelle par groupe d'onglet (mode strict RG-2.16). La
 *     security d'operation du PATCH est elargie a `manage` OU `accounting.manage`
 *     pour laisser entrer le role Compta ; ce processor re-gate alors finement :
 *     - champ comptable modifie dans le payload -> exige accounting.manage (403) ;
 *     - champ main/information modifie -> exige manage (guardManage, 403) :
 *       empeche Compta d'editer un autre onglet que la Comptabilite (§ 2.9) ;
 *     - champ isArchived dans le payload -> exige archive (RG-2.14, 403) et
 *       interdit toute autre modification dans la meme requete (RG-2.14, 422).
 *  2. Normalisation serveur (RG-2.12) via SupplierFieldNormalizer.
 *  3. Pose / retrait de archivedAt (RG-2.14 true=now, RG-2.15 false=null).
 *  4. Persistance via le persist_processor Doctrine, avec traduction des
 *     collisions d'unicite en 409 (RG-2.11 doublon de nom ; RG-2.15 conflit de
 *     restauration).
 *
 * Validators metier (ERP-89). Decision figee : ce processor ne porte QUE
 * RG-2.03 (completude Information exigee pour le role Commerciale — detection du
 * role cote back, non exprimable en contrainte d'entite). Les RG inter-champs
 * RG-2.07 (Virement -> banque), RG-2.08 (LCR -> >= 1 RIB) et RG-2.10 (categorie
 * de type FOURNISSEUR) sont portees par des Assert\Callback + ->atPath() sur
 * l'entite Supplier (jouees par API Platform AVANT ce processor), pour que
 * chaque 422 porte un propertyPath consommable par extractApiViolations
 * (mapping inline, pas un toast — convention ERP-101).
 *
 * Note : la validation Symfony (Assert\NotBlank, Assert\Count sur categories,
 * les Callback RG-2.07/2.08/2.10...) est jouee par API Platform AVANT ce
 * processor ; on n'y traite donc que les regles non exprimables en simples
 * contraintes d'entite (RG-2.03, qui depend du role de l'utilisateur courant).
 *
 * @implements ProcessorInterface<Supplier, Supplier>
 */
 final class SupplierProcessor implements ProcessorInterface
 {
    /** Champs de l'onglet principal (groupe supplier:write:main). */
    private const array MAIN_FIELDS = [
        'companyName', 'categories',
    ];
    /** Champs de l'onglet Information (groupe supplier:write:information). */
    private const array INFORMATION_FIELDS = [
        'description', 'competitors', 'foundedAt', 'employeesCount',
        'revenueAmount', 'directorName', 'profitAmount', 'volumeForecast',
    ];
    /** Champs de l'onglet Comptabilite (groupe supplier:write:accounting). */
    private const array ACCOUNTING_FIELDS = [
        'siren', 'accountNumber', 'tvaMode', 'nTva', 'paymentDelay',
        'paymentType', 'bank',
    ];
    /** Champ d'archivage (groupe supplier:write:archive). */
    private const string ARCHIVE_FIELD = 'isArchived';
    private const string PERM_MANAGE            = 'commercial.suppliers.manage';
    private const string PERM_ACCOUNTING_MANAGE = 'commercial.suppliers.accounting.manage';
    private const string PERM_ARCHIVE           = 'commercial.suppliers.archive';
    /**
     * Memoisation du dernier corps de requete decode, clos par le contenu brut.
     * payloadKeys() est appele plusieurs fois par requete (writablePayloadKeys,
     * categoriesChanged...) : on evite de rejouer json_decode a chaque appel. La
     * cle etant le contenu lui-meme et le calcul une fonction pure de ce contenu,
     * aucune fuite n'est possible entre requetes sur ce service partage (un meme
     * corps redonne les memes cles).
     */
    private ?string $decodedContent = null;
    /** @var list<string> Cles de premier niveau correspondant au corps memoise. */
    private array $decodedPayloadKeys = [];
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        private readonly SupplierFieldNormalizer $normalizer,
        private readonly SupplierInformationCompletenessValidator $informationValidator,
        private readonly Security $security,
        private readonly RequestStack $requestStack,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof Supplier) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        $writableKeys = $this->writablePayloadKeys();
        $isArchiveRequest = $this->guardArchive($data, $writableKeys);
        $this->guardAccounting($data);
        $this->normalize($data);
        // guardManage apres normalize : la comparaison « change vs etat
        // persiste » des champs texte (companyName...) se fait sur des valeurs
        // normalisees des deux cotes (l'etat persiste l'a deja ete).
        $this->guardManage($data);
        $this->validateInformationCompleteness($data);
        try {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        } catch (UniqueConstraintViolationException $e) {
            // Le seul index unique partiel est uq_supplier_company_name_active
            // (LOWER(company_name) parmi non-archives/non-deletes — § 2.6).
            if ($isArchiveRequest && false === $data->isArchived()) {
                // RG-2.15 : restauration en conflit avec un homonyme actif.
                throw new ConflictHttpException(
                    'Restauration impossible : un autre fournisseur a pris le nom entre-temps.',
                    $e,
                );
            }
            // RG-2.11 : doublon de nom de societe.
            throw new ConflictHttpException(
                sprintf('Un fournisseur nommé "%s" existe déjà.', (string) $data->getCompanyName()),
                $e,
            );
        }
    }
    /**
     * RG-2.14 / RG-2.15 : si le payload bascule reellement isArchived, exige la
     * permission archive (403), interdit toute autre modification (422) et
     * pose/retire archivedAt. Retourne true si la requete est une requete
     * d'archivage.
     *
     * Le gating est restreint a la mise a jour d'un fournisseur existant ET au
     * seul cas ou isArchived change vraiment : un POST (entite non encore geree
     * par l'ORM) ou un PATCH « representation complete » renvoyant isArchived
     * inchange ne doit declencher ni 403 ni 422 parasite.
     *
     * @param list<string> $writableKeys cles ecrivables du payload (hors @* et champs inconnus)
     */
    private function guardArchive(Supplier $data, array $writableKeys): bool
    {
        // POST / entite non geree : l'archivage est une action de mise a jour.
        if (!$this->em->contains($data)) {
            return false;
        }
        // isArchived inchange par rapport a l'etat persiste : pas une requete
        // d'archivage (cas du PATCH representation complete).
        if (!$this->fieldChanged($data, 'isArchived', $data->isArchived())) {
            return false;
        }
        if (!$this->security->isGranted(self::PERM_ARCHIVE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                self::ARCHIVE_FIELD,
                self::PERM_ARCHIVE,
            ));
        }
        // RG-2.14 : une requete d'archivage ne modifie aucun autre champ ecrivable.
        if ([] !== array_diff($writableKeys, [self::ARCHIVE_FIELD])) {
            throw new UnprocessableEntityHttpException(
                'Une requête d\'archivage ne peut modifier aucun autre champ que "isArchived".',
            );
        }
        // RG-2.14 (true -> now) / RG-2.15 (false -> null).
        $data->setArchivedAt($data->isArchived() ? new DateTimeImmutable() : null);
        return true;
    }
    /**
     * RG-2.16 : la modification effective d'un champ comptable exige
     * accounting.manage, sinon 403 sur l'ensemble du payload (mode strict, pas
     * de filtrage silencieux). On ne gate que si un champ change reellement par
     * rapport a l'etat persiste : un POST/PATCH renvoyant des champs comptables
     * inchanges (ou null en creation) ne declenche pas de 403 parasite. Le
     * message precise le premier champ fautif.
     */
    private function guardAccounting(Supplier $data): void
    {
        $changed = $this->changedAccountingFields($data);
        if ([] === $changed) {
            return;
        }
        if (!$this->security->isGranted(self::PERM_ACCOUNTING_MANAGE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                $changed[0],
                self::PERM_ACCOUNTING_MANAGE,
            ));
        }
    }
    /**
     * § 2.9 / RG-2.16 : la modification effective d'un champ « metier » (onglets
     * principal ou Information) exige `commercial.suppliers.manage`. Sans cette
     * permission -> 403 sur l'ensemble du payload (mode strict, miroir de
     * guardAccounting). C'est ce qui empeche le role Compta — qui entre dans le
     * PATCH via `accounting.manage` (security d'operation elargie) — d'editer
     * autre chose que l'onglet Comptabilite.
     *
     * Ne s'applique qu'aux mises a jour (entite geree) : la creation (POST) est
     * deja gardee par la security d'operation `manage`, donc inutile de la
     * re-gater ici (et un POST par un porteur de `manage` passerait de toute
     * facon).
     */
    private function guardManage(Supplier $data): void
    {
        if (!$this->em->contains($data)) {
            return;
        }
        $changed = $this->changedBusinessFields($data);
        if ([] === $changed) {
            return;
        }
        if (!$this->security->isGranted(self::PERM_MANAGE)) {
            throw new AccessDeniedHttpException(sprintf(
                'Le champ "%s" requiert la permission "%s".',
                $changed[0],
                self::PERM_MANAGE,
            ));
        }
    }
    /**
     * RG-2.03 : si l'utilisateur porte le role metier Commerciale, TOUS les
     * champs de l'onglet Information sont obligatoires sur POST comme sur TOUT
     * PATCH — independamment des champs reellement envoyes. Garantit qu'un
     * fournisseur cree/edite par une Commerciale ne reste jamais avec un onglet
     * Information incomplet. Pour les autres roles, ces champs restent optionnels.
     *
     * Consequence (cf. spec § 7, miroir RG-1.04) : le POST n'exposant que
     * supplier:write:main, une Commerciale obtient 422 sur tout POST tant que
     * l'Information n'est pas complete -> la completude se fait via les PATCH
     * supplier:write:information.
     */
    private function validateInformationCompleteness(Supplier $data): void
    {
        if ($this->currentUserIsCommerciale()) {
            $this->informationValidator->validate($data);
        }
    }
    /**
     * Detection du role metier Commerciale cote back (jamais front), via le
     * contrat BusinessRoleAwareInterface (pas d'import de User — regle ABSOLUE
     * n°1). Identique au ClientProcessor (M1).
     */
    private function currentUserIsCommerciale(): bool
    {
        $user = $this->security->getUser();
        return $user instanceof BusinessRoleAwareInterface
            && $user->hasBusinessRole(BusinessRoles::COMMERCIALE);
    }
    /**
     * Champs « metier » (onglets principal + Information, hors comptabilite et
     * archivage) dont la valeur courante differe de l'etat persiste. Memes
     * regles de comparaison que changedAccountingFields (scalaires par valeur).
     *
     * Cas particulier `categories` (M2M) : non trace par getOriginalEntityData,
     * compare par valeur via le snapshot de la PersistentCollection (cf.
     * categoriesChanged) — la simple presence dans le payload ne suffit pas, sous
     * peine de 403 parasite sur un PATCH representation complete reincluant des
     * categories inchangees.
     *
     * @return list<string>
     */
    private function changedBusinessFields(Supplier $data): array
    {
        $newValues = [
            'companyName'    => $data->getCompanyName(),
            'description'    => $data->getDescription(),
            'competitors'    => $data->getCompetitors(),
            'foundedAt'      => $data->getFoundedAt(),
            'employeesCount' => $data->getEmployeesCount(),
            'revenueAmount'  => $data->getRevenueAmount(),
            'directorName'   => $data->getDirectorName(),
            'profitAmount'   => $data->getProfitAmount(),
            'volumeForecast' => $data->getVolumeForecast(),
        ];
        $changed = [];
        foreach ($newValues as $field => $newValue) {
            if ($this->fieldChanged($data, $field, $newValue)) {
                $changed[] = $field;
            }
        }
        if ($this->categoriesChanged($data)) {
            $changed[] = 'categories';
        }
        return $changed;
    }
    /**
     * Vrai si l'ensemble des categories (M2M) differe reellement de l'etat
     * persiste. La collection n'etant pas tracee par getOriginalEntityData, on
     * compare par identifiants (independamment de l'ordre) le snapshot de la
     * PersistentCollection (etat charge depuis la base) a l'etat courant (apres
     * application du payload). Symetrique de changedAccountingFields : seul un
     * changement effectif compte, pas la simple presence dans le payload.
     *
     * - POST / entite non geree : fournir des categories est un acte metier
     *   (branche defensive, guardManage ne s'execute de toute facon que sur
     *   entite geree).
     * - categories absent du payload (PATCH partiel) : aucun changement.
     */
    private function categoriesChanged(Supplier $data): bool
    {
        if (!$this->em->contains($data)) {
            return true;
        }
        if (!in_array('categories', $this->payloadKeys(), true)) {
            return false;
        }
        $collection = $data->getCategories();
        // Hors PersistentCollection (cas limite hors flux PATCH reel) : faute
        // d'etat persiste comparable, on se rabat sur la presence payload.
        if (!$collection instanceof PersistentCollection) {
            return true;
        }
        return $this->categoryIdSet($collection->toArray())
            !== $this->categoryIdSet($collection->getSnapshot());
    }
    /**
     * Ensemble trie des identifiants d'une liste de categories — pour une
     * comparaison par valeur independante de l'ordre.
     *
     * @param array<int, object> $categories
     *
     * @return list<mixed>
     */
    private function categoryIdSet(array $categories): array
    {
        $ids = array_map(
            static fn (object $category): mixed => method_exists($category, 'getId')
                ? $category->getId()
                : spl_object_id($category),
            array_values($categories),
        );
        sort($ids);
        return $ids;
    }
    /**
     * Champs comptables dont la valeur courante differe de l'etat persiste. Les
     * relations (tvaMode, paymentDelay, paymentType, bank) sont comparees par
     * identite d'objet : l'identity map Doctrine renvoie la meme instance tant
     * que la reference est inchangee.
     *
     * @return list<string>
     */
    private function changedAccountingFields(Supplier $data): array
    {
        $changed = [];
        foreach (self::ACCOUNTING_FIELDS as $field) {
            $newValue = match ($field) {
                'siren'         => $data->getSiren(),
                'accountNumber' => $data->getAccountNumber(),
                'tvaMode'       => $data->getTvaMode(),
                'nTva'          => $data->getNTva(),
                'paymentDelay'  => $data->getPaymentDelay(),
                'paymentType'   => $data->getPaymentType(),
                'bank'          => $data->getBank(),
            };
            if ($this->fieldChanged($data, $field, $newValue)) {
                $changed[] = $field;
            }
        }
        return $changed;
    }
    /**
     * Vrai si la valeur courante d'un champ differe de l'etat persiste. Pour une
     * entite non geree (creation/POST), l'etat persiste est vide : toute valeur
     * non-null est alors un changement.
     */
    private function fieldChanged(Supplier $data, string $field, mixed $newValue): bool
    {
        $original = $this->originalData($data);
        return $newValue !== ($original[$field] ?? null);
    }
    /**
     * Snapshot des valeurs persistees de l'entite (telles que chargees, avant
     * application du payload). Vide pour une entite non geree (POST).
     *
     * @return array<string, mixed>
     */
    private function originalData(Supplier $data): array
    {
        if (!$this->em->contains($data)) {
            return [];
        }
        return $this->em->getUnitOfWork()->getOriginalEntityData($data);
    }
    /**
     * Normalisation serveur du formulaire principal (RG-2.12). Seul companyName
     * subsiste cote Supplier (le contact inline a ete retire en V1 — les champs
     * de contact sont normalises par SupplierContactProcessor, ERP-88). Le setter
     * non-nullable n'est touche que si une valeur est presente, pour ne jamais
     * ecraser l'existant lors d'un PATCH partiel.
     */
    private function normalize(Supplier $data): void
    {
        if (null !== $data->getCompanyName()) {
            $data->setCompanyName((string) $this->normalizer->normalizeCompanyName($data->getCompanyName()));
        }
    }
    /**
     * Cles ecrivables effectivement presentes dans le payload : on retire les
     * cles JSON-LD (@id, @context, @var...) et tout champ non rattache a un
     * groupe d'ecriture connu. C'est la base du 422 d'archivage (RG-2.14) —
     * sans elles, un PATCH « representation complete » porteur de @id ferait
     * croire a une modification multi-onglets.
     *
     * @return list<string>
     */
    private function writablePayloadKeys(): array
    {
        $writable = array_merge(
            self::MAIN_FIELDS,
            self::INFORMATION_FIELDS,
            self::ACCOUNTING_FIELDS,
            [self::ARCHIVE_FIELD],
        );
        return array_values(array_intersect($this->payloadKeys(), $writable));
    }
    /**
     * Cles de premier niveau effectivement envoyees par le client (payload JSON
     * brut), filtrage compris. Pour un PATCH merge-patch+json, ce sont les seuls
     * champs modifies.
     *
     * @return list<string>
     */
    private function payloadKeys(): array
    {
        $request = $this->requestStack->getCurrentRequest();
        if (null === $request) {
            return [];
        }
        $content = $request->getContent();
        // Cache hit : meme corps brut que le dernier decodage -> memes cles.
        if ($content === $this->decodedContent) {
            return $this->decodedPayloadKeys;
        }
        $this->decodedContent     = $content;
        $this->decodedPayloadKeys = $this->extractPayloadKeys($content);
        return $this->decodedPayloadKeys;
    }
    /**
     * Decode le corps brut et en extrait les cles de premier niveau (chaines).
     * Corps vide ou JSON invalide -> aucune cle.
     *
     * @return list<string>
     */
    private function extractPayloadKeys(string $content): array
    {
        if ('' === $content) {
            return [];
        }
        try {
            $decoded = json_decode($content, true, 512, JSON_THROW_ON_ERROR);
        } catch (JsonException) {
            return [];
        }
        return is_array($decoded) ? array_values(array_filter(array_keys($decoded), 'is_string')) : [];
    }
 }
@@ -0,0 +1,114 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor;
 use ApiPlatform\Metadata\DeleteOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierRib;
 use Doctrine\ORM\EntityManagerInterface;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpKernel\Exception\ConflictHttpException;
 use Symfony\Component\HttpKernel\Exception\NotFoundHttpException;
 /**
 * Processor d'ecriture de la sous-ressource RIB d'un fournisseur (M2, spec-back
 * § 4.5). Jumeau du ClientRibProcessor (M1), recentre sur le perimetre ERP-88.
 *
 * Sequence :
 *  - POST / PATCH : rattachement au fournisseur parent. Aucune normalisation
 *    specifique ; la validite de l'IBAN et du BIC est garantie par Assert\Iban /
 *    Assert\Bic sur l'entite (jouees en amont par API Platform). Aucun
 *    #[AuditIgnore] sur iban/bic : la tracabilite comptable est volontaire
 *    (decision M1 reportee, spec § 2.7).
 *  - DELETE : RG-2.08 — si le fournisseur est en reglement LCR, la suppression de
 *    son DERNIER RIB est refusee (409), car LCR exige au moins un RIB.
 *
 * La security de l'operation (commercial.suppliers.accounting.manage) est
 * appliquee par API Platform en amont : un utilisateur sans cette permission
 * recoit 403 sur POST/PATCH/DELETE avant d'atteindre ce processor — c'est le
 * niveau de gating renforce des donnees bancaires (distinct de manage, spec
 * § 4.5).
 *
 * @implements ProcessorInterface<SupplierRib, null|SupplierRib>
 */
 final class SupplierRibProcessor implements ProcessorInterface
 {
    public function __construct(
        #[Autowire(service: 'api_platform.doctrine.orm.state.persist_processor')]
        private readonly ProcessorInterface $persistProcessor,
        #[Autowire(service: 'api_platform.doctrine.orm.state.remove_processor')]
        private readonly ProcessorInterface $removeProcessor,
        private readonly EntityManagerInterface $em,
    ) {}
    public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
    {
        if (!$data instanceof SupplierRib) {
            return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
        }
        if ($operation instanceof DeleteOperationInterface) {
            $this->guardLastRibDeletionUnderLcr($data);
            return $this->removeProcessor->process($data, $operation, $uriVariables, $context);
        }
        $this->linkParent($data, $uriVariables);
        return $this->persistProcessor->process($data, $operation, $uriVariables, $context);
    }
    /**
     * Rattache le RIB au fournisseur parent de la sous-ressource POST
     * (/suppliers/{supplierId}/ribs) : la relation n'est pas peuplee
     * automatiquement par le Link sur une ecriture. Sur PATCH, no-op.
     */
    private function linkParent(SupplierRib $rib, array $uriVariables): void
    {
        if (null !== $rib->getSupplier()) {
            return;
        }
        $supplierId = $uriVariables['supplierId'] ?? null;
        if (null === $supplierId) {
            return;
        }
        $supplier = $supplierId instanceof Supplier
            ? $supplierId
            : $this->em->getRepository(Supplier::class)->find($supplierId);
        // read:false sur le POST : sans stade lecture, un parent introuvable n'est
        // plus intercepte en amont -> 404 explicite (sinon 500 au persist sur la
        // contrainte supplier_id NOT NULL).
        if (!$supplier instanceof Supplier) {
            throw new NotFoundHttpException('Fournisseur introuvable.');
        }
        $rib->setSupplier($supplier);
    }
    /**
     * RG-2.08 : un fournisseur dont le type de reglement est LCR doit conserver au
     * moins un RIB. La collection inclut le RIB en cours de suppression : un
     * effectif <= 1 signifie qu'il ne resterait aucun RIB -> 409. Pour tout autre
     * type de reglement, les RIBs sont optionnels (suppression libre).
     */
    private function guardLastRibDeletionUnderLcr(SupplierRib $rib): void
    {
        $supplier = $rib->getSupplier();
        if (null === $supplier) {
            return;
        }
        if ('LCR' === $supplier->getPaymentType()?->getCode() && $supplier->getRibs()->count() <= 1) {
            throw new ConflictHttpException(
                'Impossible de supprimer le dernier RIB : le type de règlement LCR exige au moins un RIB.',
            );
        }
    }
 }
@@ -0,0 +1,191 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\ApiPlatform\State\Provider;
 use ApiPlatform\Doctrine\Orm\Paginator;
 use ApiPlatform\Metadata\CollectionOperationInterface;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\Pagination\Pagination;
 use ApiPlatform\State\ProviderInterface;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Repository\SupplierRepositoryInterface;
 use Doctrine\ORM\Tools\Pagination\Paginator as DoctrinePaginator;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 /**
 * Provider du repertoire fournisseurs (M2). Cf. spec-back M2 § 4.1 / § 4.2 +
 * RG-2.17. Jumeau du ClientProvider (M1).
 *
 * Collection (GET /api/suppliers) :
 *  - exclut par defaut les archives (is_archived = true) ET les soft-deletes
 *    (deleted_at IS NOT NULL) — RG-2.17 ;
 *  - ?includeArchived=true reintegre les archives (les soft-deletes restent
 *    exclus au M2) — RG-2.17 ;
 *  - tri par defaut companyName ASC — RG-2.17 ;
 *  - filtres ?search=... (fuzzy companyName + contacts lies : firstName /
 *    lastName / email — D1 refonte-contact), ?categoryCode=<code> (fournisseurs
 *    ayant >= 1 categorie de ce code, repetable) et ?siteId=<id> (fournisseurs
 *    ayant >= 1 adresse rattachee a ce site, repetable) ;
 *  - pagination obligatoire (regle ABSOLUE n°13) : Paginator ORM ; echappatoire
 *    ?pagination=false pour alimenter un <select> sans pagination.
 *
 * Item (GET /api/suppliers/{id} + provider de PATCH) :
 *  - 404 si introuvable OU soft-delete (deleted_at non null, jamais expose au
 *    M2) ; les archives restent consultables/restaurables en detail.
 *
 * Le filtrage des champs comptables en lecture (groupe supplier:read:accounting)
 * n'est PAS fait ici mais dans SupplierReadGroupContextBuilder : un Provider
 * retourne des donnees mais ne peut pas influencer les groupes de serialisation.
 * Le contexte de normalisation est construit par le SerializerContextBuilder, en
 * amont du serializer — c'est le point d'extension idiomatique d'API Platform
 * pour conditionner le groupe accounting selon la permission de l'utilisateur.
 *
 * @implements ProviderInterface<Supplier>
 */
 final class SupplierProvider implements ProviderInterface
 {
    public function __construct(
        #[Autowire(service: 'App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRepository')]
        private readonly SupplierRepositoryInterface $repository,
        private readonly Pagination $pagination,
    ) {}
    public function provide(Operation $operation, array $uriVariables = [], array $context = []): iterable|Paginator|Supplier|null
    {
        if ($operation instanceof CollectionOperationInterface) {
            return $this->provideCollection($operation, $context);
        }
        return $this->provideItem($uriVariables);
    }
    /**
     * @param array<string, mixed> $context
     *
     * @return list<Supplier>|Paginator<Supplier>
     */
    private function provideCollection(Operation $operation, array $context): array|Paginator
    {
        $filters         = $context['filters'] ?? [];
        $includeArchived = $this->readBool($filters['includeArchived'] ?? false);
        $archivedOnly    = $this->readBool($filters['archivedOnly'] ?? false);
        $search          = $filters['search'] ?? null;
        // categoryCode accepte un code unique (?categoryCode=NEGOCIANT, selects)
        // OU une liste (?categoryCode[]=A&categoryCode[]=B, drawer multi).
        $categoryCodes = $this->readStringList($filters['categoryCode'] ?? []);
        $siteIds       = $this->readIntList($filters['siteId'] ?? []);
        // Filtrage delegue au repository (logique partagee avec l'export XLSX).
        $qb = $this->repository->createListQueryBuilder(
            $includeArchived,
            is_string($search) ? $search : null,
            $categoryCodes,
            $siteIds,
            $archivedOnly,
        );
        // Echappatoire ?pagination=false : collection complete sans Paginator
        // (regle n°13 — utile pour un <select> cote front).
        if (!$this->pagination->isEnabled($operation, $context)) {
            /** @var list<Supplier> $suppliers */
            $suppliers = $qb->getQuery()->getResult();
            // Hydratation batchee des collections affichees (§ 2.12) : evite le
            // N+1 si la serialisation touche categories/sites, sans cartesien.
            $this->repository->hydrateListCollections($suppliers);
            return $suppliers;
        }
        $limit  = $this->pagination->getLimit($operation, $context);
        $page   = max(1, $this->pagination->getPage($context));
        $offset = ($page - 1) * $limit;
        $qb->setFirstResult($offset)->setMaxResults($limit);
        // Le QB de selection ne porte pas de fetch-join to-many (§ 2.12) : le
        // COUNT est simple, fetchJoinCollection inutile. On materialise la page
        // puis on hydrate ses collections en lot (memes entites managees).
        $paginator = new Paginator(new DoctrinePaginator($qb->getQuery(), fetchJoinCollection: false));
        $this->repository->hydrateListCollections(iterator_to_array($paginator));
        return $paginator;
    }
    /**
     * @param array<string, mixed> $uriVariables
     */
    private function provideItem(array $uriVariables): ?Supplier
    {
        $id = $uriVariables['id'] ?? null;
        if (!is_int($id) && !(is_string($id) && ctype_digit($id))) {
            return null;
        }
        $supplier = $this->repository->findById((int) $id);
        if (null === $supplier) {
            return null;
        }
        // Soft-delete : jamais expose au M2 (HP-M3-1) — 404 via retour null.
        // Les archives restent visibles en detail (consultation + restauration).
        if (null !== $supplier->getDeletedAt()) {
            return null;
        }
        return $supplier;
    }
    /**
     * Lit un flag booleen issu des query params. Accepte true / "true" / "1".
     */
    private function readBool(mixed $raw): bool
    {
        if (is_bool($raw)) {
            return $raw;
        }
        return is_string($raw) && in_array(strtolower($raw), ['true', '1'], true);
    }
    /**
     * Normalise un filtre en liste de chaines. Tolere un code unique (string)
     * ou une liste (?key[]=a&key[]=b). Trim + retrait des vides.
     *
     * @return list<string>
     */
    private function readStringList(mixed $raw): array
    {
        $values = is_array($raw) ? $raw : [$raw];
        $out = [];
        foreach ($values as $value) {
            if (is_string($value) && '' !== trim($value)) {
                $out[] = trim($value);
            }
        }
        return $out;
    }
    /**
     * Normalise un filtre en liste d'identifiants entiers positifs. Tolere une
     * valeur unique ou une liste (?key[]=1&key[]=2).
     *
     * @return list<int>
     */
    private function readIntList(mixed $raw): array
    {
        $values = is_array($raw) ? $raw : [$raw];
        $out = [];
        foreach ($values as $value) {
            if ((is_int($value) || (is_string($value) && ctype_digit($value))) && (int) $value > 0) {
                $out[] = (int) $value;
            }
        }
        return $out;
    }
 }
@@ -0,0 +1,291 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\Controller;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 use App\Module\Commercial\Domain\Repository\SupplierRepositoryInterface;
 use App\Shared\Domain\Contract\CategoryInterface;
 use App\Shared\Domain\Contract\SiteInterface;
 use App\Shared\Domain\Contract\SpreadsheetExporterInterface;
 use DateTimeImmutable;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\DependencyInjection\Attribute\Autowire;
 use Symfony\Component\HttpFoundation\Request;
 use Symfony\Component\HttpFoundation\Response;
 use Symfony\Component\HttpKernel\Attribute\AsController;
 use Symfony\Component\Routing\Attribute\Route;
 use Symfony\Component\Security\Http\Attribute\IsGranted;
 /**
 * Export XLSX du repertoire fournisseurs (M2, spec-back § 4.6). Jumeau du
 * {@see ClientExportController} (M1).
 *
 * Controller Symfony custom (et non operation API Platform) car il produit un
 * binaire de fichier, pas une representation Hydra. `priority: 1` est
 * OBLIGATOIRE sur la route : sans cela API Platform capterait
 * `/api/suppliers/export.xlsx` comme l'item `GET /api/suppliers/{id}.{_format}`
 * (id="export", _format="xlsx") — cf. CLAUDE.md « controller custom sous /api ».
 *
 * Separation des responsabilites :
 *  - le COMMENT (generation du fichier) est delegue au service Shared
 *    {@see SpreadsheetExporterInterface} — generique, reutilisable, sans metier ;
 *  - le QUOI vit ICI : selection des fournisseurs (memes filtres que
 *    `GET /api/suppliers`, via {@see SupplierRepositoryInterface::createListQueryBuilder()})
 *    et mapping metier des colonnes.
 *
 * Colonnes de contact : depuis la suppression du contact inline (ERP-106), elles
 * sont alimentees par le CONTACT PRINCIPAL du fournisseur — le SupplierContact de
 * plus petit `position` (decision D2, spec § 4.6).
 *
 * La colonne SIREN n'est ajoutee que si l'utilisateur a la permission
 * `commercial.suppliers.accounting.view` (gating identique a la lecture).
 */
 #[AsController]
 final class SupplierExportController
 {
    public function __construct(
        #[Autowire(service: 'App\Module\Commercial\Infrastructure\Doctrine\DoctrineSupplierRepository')]
        private readonly SupplierRepositoryInterface $repository,
        private readonly SpreadsheetExporterInterface $exporter,
        private readonly Security $security,
    ) {}
    #[Route('/api/suppliers/export.xlsx', name: 'commercial_suppliers_export_xlsx', methods: ['GET'], priority: 1)]
    #[IsGranted('commercial.suppliers.view')]
    public function __invoke(Request $request): Response
    {
        $includeArchived = $this->readBool($request->query->get('includeArchived'));
        $archivedOnly    = $this->readBool($request->query->get('archivedOnly'));
        $search          = $request->query->getString('search') ?: null;
        // Memes filtres que la vue liste : categoryCode/siteId tolerent une valeur
        // unique ou une liste (?categoryCode[]=A&siteId[]=1). On lit via all() pour
        // ne pas lever d'exception sur une valeur scalaire.
        $query         = $request->query->all();
        $categoryCodes = $this->readStringList($query['categoryCode'] ?? []);
        $siteIds       = $this->readIntList($query['siteId'] ?? []);
        /** @var list<Supplier> $suppliers */
        $suppliers = $this->repository
            ->createListQueryBuilder($includeArchived, $search, $categoryCodes, $siteIds, $archivedOnly)
            ->getQuery()
            ->getResult()
        ;
        // Hydratation batchee des collections affichees (§ 2.12) : le QB de
        // selection ne fetch-join pas les to-many. On remplit categories + sites en
        // lot (colonnes « Catégories » / « Sites »), puis les contacts (colonnes du
        // contact principal) — chacune en requetes IN bornees, anti N+1.
        $this->repository->hydrateListCollections($suppliers);
        $this->repository->hydrateContacts($suppliers);
        $withSiren = $this->security->isGranted('commercial.suppliers.accounting.view');
        $binary = $this->exporter->export(
            'Répertoire fournisseurs',
            $this->buildHeaders($withSiren),
            $this->buildRows($suppliers, $withSiren),
        );
        return $this->buildResponse($binary);
    }
    /**
     * Colonnes de l'export (spec § 4.6). SIREN inseree avant la date de creation,
     * uniquement si l'utilisateur a accounting.view.
     *
     * @return list<string>
     */
    private function buildHeaders(bool $withSiren): array
    {
        $headers = [
            'Nom fournisseur',
            'Contact principal',
            'Téléphone principal',
            'Téléphone secondaire',
            'Email',
            'Catégories',
            'Sites',
        ];
        if ($withSiren) {
            $headers[] = 'SIREN';
        }
        $headers[] = 'Date de création';
        return $headers;
    }
    /**
     * @param list<Supplier> $suppliers
     *
     * @return iterable<list<null|scalar>>
     */
    private function buildRows(array $suppliers, bool $withSiren): iterable
    {
        foreach ($suppliers as $supplier) {
            $contact = $this->principalContact($supplier);
            $row = [
                $supplier->getCompanyName(),
                null !== $contact ? $this->formatContactName($contact) : '',
                $contact?->getPhonePrimary() ?? '',
                $contact?->getPhoneSecondary() ?? '',
                $contact?->getEmail() ?? '',
                $this->formatCategories($supplier),
                $this->formatSites($supplier),
            ];
            if ($withSiren) {
                $row[] = $supplier->getSiren();
            }
            $row[] = $supplier->getCreatedAt()?->format('d/m/Y');
            yield $row;
        }
    }
    /**
     * Contact principal du fournisseur : le SupplierContact de plus petit
     * `position` (decision D2, spec § 4.6). Null si le fournisseur n'a aucun
     * contact (les colonnes contact restent vides).
     */
    private function principalContact(Supplier $supplier): ?SupplierContact
    {
        $contacts = $supplier->getContacts()->toArray();
        if ([] === $contacts) {
            return null;
        }
        usort(
            $contacts,
            static fn (SupplierContact $a, SupplierContact $b): int => $a->getPosition() <=> $b->getPosition(),
        );
        return $contacts[0];
    }
    /**
     * Libelle du contact principal « Nom Prénom » (spec § 4.6). Les deux parties
     * sont optionnelles (RG-2.04 : au moins l'une des deux), d'ou le trim final.
     */
    private function formatContactName(SupplierContact $contact): string
    {
        return trim(sprintf('%s %s', $contact->getLastName() ?? '', $contact->getFirstName() ?? ''));
    }
    /**
     * Libelles des categories du fournisseur, dedupliques, tries, joints par
     * virgule.
     */
    private function formatCategories(Supplier $supplier): string
    {
        $names = [];
        foreach ($supplier->getCategories() as $category) {
            // @var CategoryInterface $category
            $name = $category->getName();
            if (null !== $name && '' !== $name) {
                $names[$name] = true;
            }
        }
        return $this->joinSorted($names);
    }
    /**
     * Le fournisseur ne porte pas de sites en propre : ils sont rattaches aux
     * adresses (RG-2.06). La colonne « Sites » agrege donc l'union distincte des
     * sites de toutes les adresses du fournisseur.
     */
    private function formatSites(Supplier $supplier): string
    {
        $names = [];
        foreach ($supplier->getAddresses() as $address) {
            foreach ($address->getSites() as $site) {
                // @var SiteInterface $site
                $name = $site->getName();
                if (null !== $name && '' !== $name) {
                    $names[$name] = true;
                }
            }
        }
        return $this->joinSorted($names);
    }
    /**
     * @param array<string, true> $names ensemble de libelles (cles)
     */
    private function joinSorted(array $names): string
    {
        $list = array_keys($names);
        sort($list);
        return implode(', ', $list);
    }
    private function buildResponse(string $binary): Response
    {
        $filename = sprintf('repertoire-fournisseurs-%s.xlsx', new DateTimeImmutable()->format('Ymd'));
        $response = new Response($binary);
        $response->headers->set('Content-Type', 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet');
        $response->headers->set('Content-Disposition', sprintf('attachment; filename="%s"', $filename));
        return $response;
    }
    /**
     * Lit un flag booleen issu des query params. Accepte true / "true" / "1".
     * Aligne sur SupplierProvider pour un comportement identique a la liste.
     */
    private function readBool(mixed $raw): bool
    {
        return is_string($raw) && in_array(strtolower($raw), ['true', '1'], true);
    }
    /**
     * Normalise un filtre en liste de chaines (valeur unique ou liste).
     * Aligne sur SupplierProvider pour un comportement identique a la liste.
     *
     * @return list<string>
     */
    private function readStringList(mixed $raw): array
    {
        $values = is_array($raw) ? $raw : [$raw];
        $out = [];
        foreach ($values as $value) {
            if (is_string($value) && '' !== trim($value)) {
                $out[] = trim($value);
            }
        }
        return $out;
    }
    /**
     * Normalise un filtre en liste d'identifiants entiers positifs (valeur unique
     * ou liste). Aligne sur SupplierProvider.
     *
     * @return list<int>
     */
    private function readIntList(mixed $raw): array
    {
        $values = is_array($raw) ? $raw : [$raw];
        $out = [];
        foreach ($values as $value) {
            if ((is_int($value) || (is_string($value) && ctype_digit($value))) && (int) $value > 0) {
                $out[] = (int) $value;
            }
        }
        return $out;
    }
 }
@@ -0,0 +1,32 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\Doctrine;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 use App\Module\Commercial\Domain\Repository\SupplierAddressRepositoryInterface;
 use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
 use Doctrine\Persistence\ManagerRegistry;
 /**
 * @extends ServiceEntityRepository<SupplierAddress>
 */
 class DoctrineSupplierAddressRepository extends ServiceEntityRepository implements SupplierAddressRepositoryInterface
 {
    public function __construct(ManagerRegistry $registry)
    {
        parent::__construct($registry, SupplierAddress::class);
    }
    public function findById(int $id): ?SupplierAddress
    {
        return $this->find($id);
    }
    public function save(SupplierAddress $address): void
    {
        $this->getEntityManager()->persist($address);
        $this->getEntityManager()->flush();
    }
 }
@@ -0,0 +1,32 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\Doctrine;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 use App\Module\Commercial\Domain\Repository\SupplierContactRepositoryInterface;
 use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
 use Doctrine\Persistence\ManagerRegistry;
 /**
 * @extends ServiceEntityRepository<SupplierContact>
 */
 class DoctrineSupplierContactRepository extends ServiceEntityRepository implements SupplierContactRepositoryInterface
 {
    public function __construct(ManagerRegistry $registry)
    {
        parent::__construct($registry, SupplierContact::class);
    }
    public function findById(int $id): ?SupplierContact
    {
        return $this->find($id);
    }
    public function save(SupplierContact $contact): void
    {
        $this->getEntityManager()->persist($contact);
        $this->getEntityManager()->flush();
    }
 }
@@ -0,0 +1,264 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\Doctrine;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Repository\SupplierRepositoryInterface;
 use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
 use Doctrine\ORM\QueryBuilder;
 use Doctrine\Persistence\ManagerRegistry;
 /**
 * @extends ServiceEntityRepository<Supplier>
 */
 class DoctrineSupplierRepository extends ServiceEntityRepository implements SupplierRepositoryInterface
 {
    public function __construct(ManagerRegistry $registry)
    {
        parent::__construct($registry, Supplier::class);
    }
    public function findById(int $id): ?Supplier
    {
        return $this->find($id);
    }
    public function save(Supplier $supplier): void
    {
        $this->getEntityManager()->persist($supplier);
        $this->getEntityManager()->flush();
    }
    public function createListQueryBuilder(
        bool $includeArchived = false,
        ?string $search = null,
        array $categoryCodes = [],
        array $siteIds = [],
        bool $archivedOnly = false,
    ): QueryBuilder {
        // SELECTION uniquement (filtres + tri) : pas de fetch-join to-many ici.
        // L'hydratation des collections affichees (Catégories / Site(s)) est
        // deleguee a hydrateListCollections() une fois le jeu borne, pour ne pas
        // imposer un produit cartesien aux chemins non pagines (export,
        // ?pagination=false) — § 2.12 (cf. M1/ERP-100).
        $qb = $this->createQueryBuilder('s')
            ->andWhere('s.deletedAt IS NULL')
            ->orderBy('s.companyName', 'ASC')
        ;
        // Perimetre d'archivage : archivedOnly prioritaire sur includeArchived.
        if ($archivedOnly) {
            $qb->andWhere('s.isArchived = true');
        } elseif (!$includeArchived) {
            $qb->andWhere('s.isArchived = false');
        }
        $this->applySearch($qb, $search);
        $this->applyCategoryCodes($qb, $categoryCodes);
        $this->applySiteIds($qb, $siteIds);
        return $qb;
    }
    public function hydrateListCollections(array $suppliers): void
    {
        if ([] === $suppliers) {
            return;
        }
        // Ids des fournisseurs deja charges (entites managees). Les requetes
        // ci-dessous renvoient les MEMES instances Supplier (identity map), dont
        // les collections sont alors remplies — anti N+1 a la serialisation.
        $ids = [];
        foreach ($suppliers as $supplier) {
            $id = $supplier->getId();
            if (null !== $id) {
                $ids[] = $id;
            }
        }
        if ([] === $ids) {
            return;
        }
        // 1re passe : categories (colonne « Catégories »). Produit s x cat seul.
        $this->createQueryBuilder('s')
            ->leftJoin('s.categories', 'cat')->addSelect('cat')
            ->where('s.id IN (:ids)')->setParameter('ids', $ids)
            ->getQuery()
            ->getResult()
        ;
        // 2e passe : adresses + sites (colonne « Site(s) », sites portes par les
        // adresses — RG-2.06). Le join addr -> site reste imbrique mais n'est plus
        // multiplie par les categories : le cartesien global est casse.
        $this->createQueryBuilder('s')
            ->leftJoin('s.addresses', 'addr')->addSelect('addr')
            ->leftJoin('addr.sites', 'site')->addSelect('site')
            ->where('s.id IN (:ids)')->setParameter('ids', $ids)
            ->getQuery()
            ->getResult()
        ;
    }
    public function hydrateContacts(array $suppliers): void
    {
        $ids = [];
        foreach ($suppliers as $supplier) {
            $id = $supplier->getId();
            if (null !== $id) {
                $ids[] = $id;
            }
        }
        if ([] === $ids) {
            return;
        }
        // Une seule requete IN bornee : remplit la collection `contacts` des MEMES
        // instances Supplier (identity map). Tri par position pour que le « contact
        // principal » (plus petit position) soit deterministe a l'export (§ 4.6).
        $this->createQueryBuilder('s')
            ->leftJoin('s.contacts', 'sc')->addSelect('sc')
            ->where('s.id IN (:ids)')->setParameter('ids', $ids)
            ->orderBy('sc.position', 'ASC')
            ->getQuery()
            ->getResult()
        ;
    }
    /**
     * Recherche fuzzy insensible a la casse sur companyName ET sur les contacts
     * lies (firstName / lastName / email) — decision D1, refonte-contact (§ 4.1).
     * Les deux criteres sont unis par OR : un fournisseur matche si son nom de
     * societe OU l'un de ses contacts matche. Le critere contact passe par une
     * sous-requete IN (plutot qu'un JOIN sur la collection) pour ne pas perturber
     * le DISTINCT / ORDER BY / pagination principal. Les metacaracteres LIKE
     * (%, _, \) saisis sont echappes pour rester litteraux.
     */
    private function applySearch(QueryBuilder $qb, ?string $search): void
    {
        if (null === $search || '' === trim($search)) {
            return;
        }
        $escaped = str_replace(['\\', '%', '_'], ['\\\\', '\%', '\_'], trim($search));
        $pattern = '%'.mb_strtolower($escaped, 'UTF-8').'%';
        $contactSub = $this->getEntityManager()->createQueryBuilder()
            ->select('s2.id')
            ->from(Supplier::class, 's2')
            ->join('s2.contacts', 'sc2')
            ->where('LOWER(sc2.firstName) LIKE :search')
            ->orWhere('LOWER(sc2.lastName) LIKE :search')
            ->orWhere('LOWER(sc2.email) LIKE :search')
        ;
        $qb->andWhere(
            $qb->expr()->orX(
                'LOWER(s.companyName) LIKE :search',
                $qb->expr()->in('s.id', $contactSub->getDQL()),
            ),
        )->setParameter('search', $pattern);
    }
    /**
     * Restreint aux fournisseurs possedant au moins une categorie dont le code
     * figure dans la liste (OR). Alimente le filtre « Catégories » du drawer.
     * Sous-requete IN (plutot qu'un JOIN sur la collection M2M) pour ne pas
     * perturber le DISTINCT / ORDER BY principal.
     *
     * @param list<string> $categoryCodes
     */
    private function applyCategoryCodes(QueryBuilder $qb, array $categoryCodes): void
    {
        $codes = $this->normalizeStringList($categoryCodes);
        if ([] === $codes) {
            return;
        }
        $sub = $this->getEntityManager()->createQueryBuilder()
            ->select('s3.id')
            ->from(Supplier::class, 's3')
            ->join('s3.categories', 'cat3')
            ->where('cat3.code IN (:categoryCodes)')
        ;
        $qb->andWhere($qb->expr()->in('s.id', $sub->getDQL()))
            ->setParameter('categoryCodes', $codes)
        ;
    }
    /**
     * Restreint aux fournisseurs ayant au moins une adresse rattachee a l'un des
     * sites donnes (OR — RG-2.06 : les sites vivent sur les adresses). Sous-requete
     * IN pour ne pas perturber le tri/pagination principal.
     *
     * @param list<int> $siteIds
     */
    private function applySiteIds(QueryBuilder $qb, array $siteIds): void
    {
        $ids = $this->normalizeIntList($siteIds);
        if ([] === $ids) {
            return;
        }
        $sub = $this->getEntityManager()->createQueryBuilder()
            ->select('s4.id')
            ->from(Supplier::class, 's4')
            ->join('s4.addresses', 'addr4')
            ->join('addr4.sites', 'site4')
            ->where('site4.id IN (:siteIds)')
        ;
        $qb->andWhere($qb->expr()->in('s.id', $sub->getDQL()))
            ->setParameter('siteIds', $ids)
        ;
    }
    /**
     * Nettoie une liste de chaines : trim, retrait des vides, reindexation.
     * Defensive : tolere des elements scalaires non-string (cast) et ignore le
     * reste sans lever de TypeError, le contrat etant de normaliser une entree
     * potentiellement brute (query params).
     *
     * @param array<mixed> $values
     *
     * @return list<string>
     */
    private function normalizeStringList(array $values): array
    {
        $out = [];
        foreach ($values as $value) {
            if (is_string($value) || is_int($value) || is_float($value)) {
                $trimmed = trim((string) $value);
                if ('' !== $trimmed) {
                    $out[] = $trimmed;
                }
            }
        }
        return $out;
    }
    /**
     * Nettoie une liste d'identifiants : cast int, retrait des <= 0, reindexation.
     * Defensive (cf. normalizeStringList) : accepte des entiers ou des chaines
     * numeriques ('1', '2') sans TypeError, ignore le reste.
     *
     * @param array<mixed> $values
     *
     * @return list<int>
     */
    private function normalizeIntList(array $values): array
    {
        $out = [];
        foreach ($values as $value) {
            if (is_numeric($value) && (int) $value > 0) {
                $out[] = (int) $value;
            }
        }
        return $out;
    }
 }
@@ -0,0 +1,32 @@
 <?php
 declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\Doctrine;
 use App\Module\Commercial\Domain\Entity\SupplierRib;
 use App\Module\Commercial\Domain\Repository\SupplierRibRepositoryInterface;
 use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
 use Doctrine\Persistence\ManagerRegistry;
 /**
 * @extends ServiceEntityRepository<SupplierRib>
 */
 class DoctrineSupplierRibRepository extends ServiceEntityRepository implements SupplierRibRepositoryInterface
 {
    public function __construct(ManagerRegistry $registry)
    {
        parent::__construct($registry, SupplierRib::class);
    }
    public function findById(int $id): ?SupplierRib
    {
        return $this->find($id);
    }
    public function save(SupplierRib $rib): void
    {
        $this->getEntityManager()->persist($rib);
        $this->getEntityManager()->flush();
    }
 }
@@ -51,8 +51,9 @@ final class RbacSeeder
     * Definition unique des 4 roles + matrice § 2.7. La cle est le code du role,
     * `label` le libelle FR affichable, `permissions` la liste des codes RBAC a
     * attacher (vide pour usine : aucun acces ; admin n'apparait pas car il
-     * bypass tout via isAdmin ; `commercial.clients.archive` n'est attache a
+     * bypass tout via isAdmin ; `commercial.clients.archive` et
-     * aucun role metier — admin seul).
+     * `commercial.suppliers.archive` ne sont attaches a aucun role metier —
     * admin seul).
     *
     * @var array<string, array{label: string, permissions: list<string>}>
     */
@@ -62,6 +63,9 @@ final class RbacSeeder
            'permissions' => [
                'commercial.clients.view',
                'commercial.clients.manage',
                // Fournisseurs (M2 § 2.9, ERP-90) : view + manage (hors Comptabilite).
                'commercial.suppliers.view',
                'commercial.suppliers.manage',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
@@ -73,6 +77,11 @@ final class RbacSeeder
                'commercial.clients.view',
                'commercial.clients.accounting.view',
                'commercial.clients.accounting.manage',
                // Fournisseurs (M2 § 2.9, ERP-90) : view + onglet Comptabilite uniquement
                // (pas de manage global -> ne peut pas creer un fournisseur).
                'commercial.suppliers.view',
                'commercial.suppliers.accounting.view',
                'commercial.suppliers.accounting.manage',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
@@ -83,6 +92,10 @@ final class RbacSeeder
            'permissions' => [
                'commercial.clients.view',
                'commercial.clients.manage',
                // Fournisseurs (M2 § 2.9, ERP-90) : view + manage, sans accounting
                // (onglet Comptabilite masque/filtre pour la Commerciale).
                'commercial.suppliers.view',
                'commercial.suppliers.manage',
                // Lecture des referentiels transverses pour les selects client (ERP-102).
                'catalog.categories.read_ref',
                'sites.read_ref',
@@ -195,6 +195,14 @@ final class SeedE2ECommand extends Command
                    'commercial.clients.accounting.view',
                    'commercial.clients.accounting.manage',
                    'commercial.clients.archive',
                    // Commercial — Repertoire fournisseurs (M2, ERP-90). Meme
                    // logique que les clients : mappe sur le persona "tout".
                    // Miroir de frontend/tests/e2e/_fixtures/personas.ts.
                    'commercial.suppliers.view',
                    'commercial.suppliers.manage',
                    'commercial.suppliers.accounting.view',
                    'commercial.suppliers.accounting.manage',
                    'commercial.suppliers.archive',
                ],
            ],
            [
@@ -256,6 +256,95 @@ final class ColumnCommentsCatalog
                'iban'      => 'IBAN du compte (≤ 34 caracteres).',
                'position'  => 'Ordre d affichage du RIB dans la liste du client (croissant).',
            ] + self::timestampableBlamableComments(),
            // === M2 Commercial (ERP-85) — miroir des COMMENT de la migration
            // Version20260605130000 pour le chemin schema:update (dev/test). ===
            'supplier' => [
                '_table'           => 'Repertoire fournisseurs (M2 Commercial) — entites archivables (is_archived) et soft-deletables (deleted_at, HP M3).',
                'id'               => 'Identifiant interne auto-incremente.',
                'company_name'     => 'Raison sociale du fournisseur (stockee en MAJUSCULES). Unique case-insensitive parmi les actifs non archives/non supprimes (uq_supplier_company_name_active, § 2.6).',
                'description'      => 'Onglet Information : description libre. Obligatoire pour le role Commerciale (RG-2.03), optionnel sinon.',
                'competitors'      => 'Onglet Information : concurrents identifies (texte libre ≤ 255). Obligatoire role Commerciale (RG-2.03).',
                'founded_at'       => 'Onglet Information : date de creation de l entreprise. Obligatoire role Commerciale (RG-2.03).',
                'employees_count'  => 'Onglet Information : effectif (entier >= 0). Obligatoire role Commerciale (RG-2.03).',
                'revenue_amount'   => 'Onglet Information : chiffre d affaires (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).',
                'director_name'    => 'Onglet Information : nom du dirigeant. Obligatoire role Commerciale (RG-2.03).',
                'profit_amount'    => 'Onglet Information : resultat / benefice (NUMERIC 15,2). Obligatoire role Commerciale (RG-2.03).',
                'volume_forecast'  => 'Onglet Information : volume previsionnel (entier >= 0) — specifique fournisseur. Obligatoire role Commerciale (RG-2.03).',
                'siren'            => 'Onglet Comptabilite : SIREN (9 chiffres attendus). NON unique — peut etre partage entre etablissements (§ 2.6).',
                'account_number'   => 'Onglet Comptabilite : numero de compte comptable du fournisseur.',
                'tva_mode_id'      => 'Onglet Comptabilite : mode de TVA applique — FK -> tva_mode.id (referentiel partage M1), ON DELETE RESTRICT.',
                'n_tva'            => 'Onglet Comptabilite : numero de TVA intracommunautaire.',
                'payment_delay_id' => 'Onglet Comptabilite : delai de reglement — FK -> payment_delay.id (M1), ON DELETE RESTRICT.',
                'payment_type_id'  => 'Onglet Comptabilite : type de reglement — FK -> payment_type.id (M1), ON DELETE RESTRICT. Pilote RG-2.07 (Banque si VIREMENT) et RG-2.08 (RIB).',
                'bank_id'          => 'Onglet Comptabilite : banque — FK -> bank.id (M1), ON DELETE RESTRICT. Obligatoire ssi payment_type = VIREMENT (RG-2.07), null sinon.',
                'is_archived'      => 'Drapeau fonctionnel d archivage — masque par defaut dans la liste. Bascule via permission commercial.suppliers.archive.',
                'archived_at'      => 'Horodatage de l archivage — pose quand is_archived passe a vrai, remis a null a la restauration.',
                'deleted_at'       => 'Horodatage du soft-delete technique (HP M3) — non expose par l API au M2. Null = ligne active.',
            ] + self::timestampableBlamableComments(),
            'supplier_category' => [
                '_table'      => 'Jointure M2M supplier <-> category (Catalog) — categories de type FOURNISSEUR du fournisseur, au moins une obligatoire (RG-2.10).',
                'supplier_id' => 'FK -> supplier.id, ON DELETE CASCADE — fournisseur porteur de la categorie.',
                'category_id' => 'FK -> category.id, ON DELETE RESTRICT — categorie de type FOURNISSEUR rattachee au fournisseur (RG-2.10).',
            ],
            'supplier_contact' => [
                '_table'          => 'Contacts d un fournisseur (1:n) — au moins firstName OU lastName par contact (RG-2.04).',
                'id'              => 'Identifiant interne auto-incremente.',
                'supplier_id'     => 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du contact.',
                'first_name'      => 'Prenom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).',
                'last_name'       => 'Nom du contact (capitalise serveur). first_name OU last_name obligatoire (RG-2.04, chk_supplier_contact_name).',
                'job_title'       => 'Fonction / intitule de poste du contact (≤ 120 caracteres).',
                'phone_primary'   => 'Telephone principal du contact — chiffres uniquement (normalisation serveur).',
                'phone_secondary' => 'Telephone secondaire du contact — chiffres uniquement (normalisation serveur).',
                'email'           => 'Email du contact (lowercase serveur).',
                'position'        => 'Ordre d affichage du contact dans la liste du fournisseur (croissant).',
            ] + self::timestampableBlamableComments(),
            'supplier_address' => [
                '_table'            => 'Adresses d un fournisseur (1:n) — type PROSPECT/DEPART/RENDU exclusif (RG-2.09), >= 1 site rattache (RG-2.06).',
                'id'                => 'Identifiant interne auto-incremente.',
                'supplier_id'       => 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire de l adresse.',
                'address_type'      => 'Type d adresse : PROSPECT | DEPART | RENDU (radio exclusif par construction — RG-2.09, chk_supplier_address_type).',
                'country'           => 'Pays de l adresse — defaut France.',
                'postal_code'       => 'Code postal (4-5 chiffres attendus).',
                'city'              => 'Ville — preremplie depuis le code postal via API BAN cote front.',
                'street'            => 'Numero et voie de l adresse.',
                'street_complement' => 'Complement d adresse (etage, batiment...) — optionnel.',
                'bennes'            => 'Nombre de bennes sur le site fournisseur (entier nullable) — specifique fournisseur.',
                'triage_provider'   => 'Le fournisseur est prestataire de triage sur cette adresse. Faux par defaut.',
                'position'          => 'Ordre d affichage de l adresse dans la liste du fournisseur (croissant).',
            ] + self::timestampableBlamableComments(),
            'supplier_address_site' => [
                '_table'              => 'Jointure M2M supplier_address <-> site (Sites) — sites rattaches a l adresse (>= 1 obligatoire, RG-2.06).',
                'supplier_address_id' => 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.',
                'site_id'             => 'FK -> site.id, ON DELETE RESTRICT — site rattache a l adresse.',
            ],
            'supplier_address_contact' => [
                '_table'              => 'Jointure M2M supplier_address <-> supplier_contact — contacts associes a une adresse.',
                'supplier_address_id' => 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.',
                'supplier_contact_id' => 'FK -> supplier_contact.id, ON DELETE CASCADE — contact associe a l adresse.',
            ],
            'supplier_address_category' => [
                '_table'              => 'Jointure M2M supplier_address <-> category — categories d adresse de type FOURNISSEUR (RG-2.10).',
                'supplier_address_id' => 'FK -> supplier_address.id, ON DELETE CASCADE — adresse concernee.',
                'category_id'         => 'FK -> category.id, ON DELETE RESTRICT — categorie d adresse de type FOURNISSEUR (RG-2.10).',
            ],
            'supplier_rib' => [
                '_table'      => 'Coordonnees bancaires d un fournisseur (1:n) — >= 1 RIB attendu selon le type de reglement (RG-2.08). Tous les champs audites (pas d AuditIgnore).',
                'id'          => 'Identifiant interne auto-incremente.',
                'supplier_id' => 'FK -> supplier.id, ON DELETE CASCADE — fournisseur proprietaire du RIB.',
                'label'       => 'Libelle du RIB (ex: compte principal).',
                'bic'         => 'Code BIC/SWIFT de la banque (8 ou 11 caracteres).',
                'iban'        => 'IBAN du compte (≤ 34 caracteres).',
                'position'    => 'Ordre d affichage du RIB dans la liste du fournisseur (croissant).',
            ] + self::timestampableBlamableComments(),
        ];
    }
@@ -52,6 +52,10 @@ final class EntityConstraintsHaveFrenchMessageTest extends TestCase
    private const array EXCLUDED_LENGTH_MIRROR = [
        // Le Regex /^[0-9]{4,5}$/ borne deja la longueur a 5 caracteres (< 20).
        'ClientAddress::postalCode' => 'Regex {4,5} borne deja la longueur.',
        // Idem cote fournisseur (meme Regex CP).
        'SupplierAddress::postalCode' => 'Regex {4,5} borne deja la longueur.',
        // Le Choice {PROSPECT,DEPART,RENDU} borne les valeurs (<= 8 < 20).
        'SupplierAddress::addressType' => 'Choice {PROSPECT,DEPART,RENDU} borne deja les valeurs.',
        // Le Regex /^#[0-9A-Fa-f]{6}$/ borne la longueur a exactement 7 caracteres.
        'Site::color' => 'Regex code hex #RRGGBB borne deja la longueur.',
    ];
@@ -70,6 +74,7 @@ final class EntityConstraintsHaveFrenchMessageTest extends TestCase
        Assert\NotBlank::class,
        Assert\NotNull::class,
        Assert\Email::class,
        Assert\Choice::class,
        Assert\Regex::class,
        Assert\Bic::class,
        Assert\Iban::class,
@@ -0,0 +1,86 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Module\Catalog\Api;
 /**
 * Tests du filtre `?typeCode=` sur GET /api/categories (ERP-84).
 *
 * Brique manquante avant le M2 : le filtre n'existait pas en prod (ERP-78 avait
 * unifie sur un type unique CLIENT). Apres implementation :
 *  - `?typeCode=FOURNISSEUR` ne renvoie QUE les categories du type FOURNISSEUR ;
 *  - le filtre n'altere pas l'echappatoire `?pagination=false` ;
 *  - un code inexistant renvoie une liste vide (pas d'erreur).
 *
 * @internal
 */
 final class CategoryTypeCodeFilterTest extends AbstractCatalogApiTestCase
 {
    public function testTypeCodeFilterReturnsOnlyMatchingType(): void
    {
        $clientType   = $this->createCategoryType('TEST_CLIENT');
        $supplierType = $this->createCategoryType('TEST_FOURNISSEUR');
        $this->createCategory(self::TEST_CATEGORY_PREFIX.'client_one', $clientType);
        $this->createCategory(self::TEST_CATEGORY_PREFIX.'supplier_one', $supplierType);
        $this->createCategory(self::TEST_CATEGORY_PREFIX.'supplier_two', $supplierType);
        $client   = $this->createAdminClient();
        $response = $client->request('GET', '/api/categories?typeCode=TEST_FOURNISSEUR&pagination=false');
        self::assertSame(200, $response->getStatusCode());
        $members  = $response->toArray()['member'];
        $names    = array_map(fn (array $m): string => $m['name'], $members);
        $testOnly = array_values(array_filter(
            $names,
            fn (string $n): bool => str_starts_with($n, self::TEST_CATEGORY_PREFIX),
        ));
        sort($testOnly);
        self::assertSame(
            [
                self::TEST_CATEGORY_PREFIX.'supplier_one',
                self::TEST_CATEGORY_PREFIX.'supplier_two',
            ],
            $testOnly,
            'Le filtre ?typeCode= doit ne renvoyer QUE les categories du type demande.',
        );
        // Tous les types embarques doivent etre le type filtre.
        foreach ($members as $member) {
            self::assertSame('TEST_FOURNISSEUR', $member['categoryType']['code']);
        }
    }
    public function testTypeCodeFilterWorksWithPagination(): void
    {
        $supplierType = $this->createCategoryType('TEST_FOURNISSEUR');
        $this->createCategory(self::TEST_CATEGORY_PREFIX.'paginated', $supplierType);
        $client   = $this->createAdminClient();
        // Sans ?pagination=false : on doit obtenir l'enveloppe Hydra paginee.
        $response = $client->request('GET', '/api/categories?typeCode=TEST_FOURNISSEUR');
        self::assertSame(200, $response->getStatusCode());
        $data = $response->toArray();
        self::assertArrayHasKey('totalItems', $data, 'Le filtre ne doit pas casser la pagination Hydra.');
        self::assertArrayHasKey('member', $data);
        foreach ($data['member'] as $member) {
            self::assertSame('TEST_FOURNISSEUR', $member['categoryType']['code']);
        }
    }
    public function testUnknownTypeCodeReturnsEmptyList(): void
    {
        $type = $this->createCategoryType('TEST_CLIENT');
        $this->createCategory(self::TEST_CATEGORY_PREFIX.'lonely', $type);
        $client   = $this->createAdminClient();
        $response = $client->request('GET', '/api/categories?typeCode=TEST_DOES_NOT_EXIST&pagination=false');
        self::assertSame(200, $response->getStatusCode());
        self::assertSame([], $response->toArray()['member']);
    }
 }
@@ -5,6 +5,7 @@ declare(strict_types=1);
 namespace App\Tests\Module\Commercial\Api;
 use App\Module\Commercial\Domain\Entity\Client as ClientEntity;
 use App\Module\Commercial\Domain\Entity\ClientAddress;
 use App\Module\Commercial\Domain\Entity\ClientContact;
 use App\Module\Commercial\Domain\Entity\ClientRib;
 use App\Module\Commercial\Domain\Entity\PaymentType;
@@ -94,6 +95,70 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
        self::assertSame('L\'adresse email n\'est pas valide.', $byPath['email']);
    }
    /**
     * Regression ERP-110 (bug subresource Link toProperty) : POST d'un contact sur
     * un client qui en a DEJA >= 2 ne doit pas exploser en 500
     * (NonUniqueResultException sur la resolution du parent), mais creer (201).
     */
    public function testPostContactOnClientWithTwoExistingContactsReturns201(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Contact Multi');
        $this->seedContact($seed, 'Alpha');
        $this->seedContact($seed, 'Beta');
        $client->request('POST', '/api/clients/'.$seed->getId().'/contacts', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['firstName' => 'Gamma'],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
    /**
     * Meme contexte (>= 2 contacts existants) : un email invalide doit produire
     * une 422 par champ (la validation est bien atteinte), pas une 500.
     */
    public function testPostInvalidContactOnPopulatedClientReturns422OnField(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Contact Multi Bad');
        $this->seedContact($seed, 'Alpha');
        $this->seedContact($seed, 'Beta');
        $response = $client->request('POST', '/api/clients/'.$seed->getId().'/contacts', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['firstName' => 'Gamma', 'email' => 'pas-un-email'],
        ]);
        self::assertResponseStatusCodeSame(422);
        $byPath = [];
        foreach ($response->toArray(false)['violations'] ?? [] as $v) {
            $byPath[$v['propertyPath']] = $v['message'];
        }
        self::assertArrayHasKey('email', $byPath);
        self::assertSame('L\'adresse email n\'est pas valide.', $byPath['email']);
    }
    /**
     * ERP-110 : avec read:false sur le POST, un parent introuvable n'est plus
     * intercepte au stade lecture. Le 404 est desormais porte par
     * ClientContactProcessor::linkParent (sinon 500 au persist sur client_id
     * NOT NULL). Le payload est valide pour atteindre le processor (apres la
     * validation).
     */
    public function testPostContactOnMissingClientReturns404(): void
    {
        $client = $this->createAdminClient();
        $client->request('POST', '/api/clients/999999/contacts', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['firstName' => 'Orphan'],
        ]);
        self::assertResponseStatusCodeSame(404);
    }
    public function testPatchContactNormalizes(): void
    {
        $client  = $this->createAdminClient();
@@ -201,6 +266,61 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
        self::assertResponseStatusCodeSame(422);
    }
    /**
     * Regression ERP-110 : POST d'une adresse sur un client qui en a DEJA >= 2 ne
     * doit pas exploser en 500 (NonUniqueResult sur la resolution du parent). Le
     * POST porte un site + une categorie (RG-1.10 / RG-1.29) pour etre valide.
     */
    public function testPostAddressOnClientWithTwoExistingAddressesReturns201(): void
    {
        $this->skipIfSitesModuleDisabled();
        $client   = $this->createAdminClient();
        $seed     = $this->seedClient('Addr Multi');
        $siteIri  = $this->firstSiteIri();
        $category = $this->createCategory('SECTEUR');
        $this->seedAddress($seed, 'Bordeaux');
        $this->seedAddress($seed, 'Lyon');
        $client->request('POST', '/api/clients/'.$seed->getId().'/addresses', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => [
                'postalCode' => '75001',
                'city'       => 'Paris',
                'street'     => '2 rue Neuve',
                'sites'      => [$siteIri],
                'categories' => ['/api/categories/'.$category->getId()],
            ],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
    /**
     * ERP-110 : POST adresse sur un client inexistant -> 404 porte par
     * ClientAddressProcessor::linkParent (read:false). Payload valide (site +
     * categorie, RG-1.10 / RG-1.29) pour atteindre le processor.
     */
    public function testPostAddressOnMissingClientReturns404(): void
    {
        $this->skipIfSitesModuleDisabled();
        $client   = $this->createAdminClient();
        $siteIri  = $this->firstSiteIri();
        $category = $this->createCategory('SECTEUR');
        $client->request('POST', '/api/clients/999999/addresses', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => [
                'postalCode' => '75001',
                'city'       => 'Paris',
                'street'     => '2 rue Neuve',
                'sites'      => [$siteIri],
                'categories' => ['/api/categories/'.$category->getId()],
            ],
        ]);
        self::assertResponseStatusCodeSame(404);
    }
    // === RIBs ===
    public function testPostRibByAdminReturns201(): void
@@ -239,6 +359,43 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
        self::assertResponseStatusCodeSame(422);
    }
    /**
     * Regression ERP-110 : POST d'un RIB sur un client qui en a DEJA >= 2 ne doit
     * pas exploser en 500 (NonUniqueResult sur la resolution du parent). L'admin
     * porte commercial.clients.accounting.manage requis par le POST.
     */
    public function testPostRibOnClientWithTwoExistingRibsReturns201(): void
    {
        $client = $this->createAdminClient();
        $seed   = $this->seedClient('Rib Multi');
        $this->seedRib($seed, 'Compte 1');
        $this->seedRib($seed, 'Compte 2');
        $client->request('POST', '/api/clients/'.$seed->getId().'/ribs', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['label' => 'Compte 3', 'bic' => self::VALID_BIC, 'iban' => self::VALID_IBAN],
        ]);
        self::assertResponseStatusCodeSame(201);
    }
    /**
     * ERP-110 : POST RIB sur un client inexistant -> 404 porte par
     * ClientRibProcessor::linkParent (read:false). L'admin porte
     * commercial.clients.accounting.manage ; payload valide (BIC / IBAN).
     */
    public function testPostRibOnMissingClientReturns404(): void
    {
        $client = $this->createAdminClient();
        $client->request('POST', '/api/clients/999999/ribs', [
            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
            'json'    => ['label' => 'Orphan', 'bic' => self::VALID_BIC, 'iban' => self::VALID_IBAN],
        ]);
        self::assertResponseStatusCodeSame(404);
    }
    public function testDeleteRibNonLcrReturns204(): void
    {
        $client = $this->createAdminClient();
@@ -306,13 +463,34 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
    }
    /**
-     * Seede un ClientRib valide rattache a un client (sans passer par l'API).
+     * Seede une adresse minimale valide en base (sans passer par l'API) : seules
     * les colonnes NOT NULL sont posees (CP / ville / rue). Les M2M sites /
     * categories restent vides — non contraints en base, suffisant pour peupler
     * un client de plusieurs adresses.
     */
-    private function seedRib(ClientEntity $client): ClientRib
+    private function seedAddress(ClientEntity $client, string $city): ClientAddress
    {
        $em      = $this->getEm();
        $address = new ClientAddress();
        $address->setClient($client);
        $address->setPostalCode('33000');
        $address->setCity($city);
        $address->setStreet('1 rue du Test');
        $em->persist($address);
        $em->flush();
        return $address;
    }
    /**
     * Seede un ClientRib valide rattache a un client (sans passer par l'API). Le
     * libelle est parametrable pour seeder plusieurs RIB distincts.
     */
    private function seedRib(ClientEntity $client, string $label = 'Seed RIB'): ClientRib
    {
        $em  = $this->getEm();
        $rib = new ClientRib();
-        $rib->setLabel('Seed RIB');
+        $rib->setLabel($label);
        $rib->setBic(self::VALID_BIC);
        $rib->setIban(self::VALID_IBAN);
        $rib->setClient($client);
@@ -0,0 +1,312 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Module\Commercial\Api;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierAddress;
 use App\Module\Commercial\Domain\Entity\SupplierContact;
 use App\Module\Sites\Domain\Entity\Site;
 use DateTimeImmutable;
 use PhpOffice\PhpSpreadsheet\IOFactory;
 /**
 * Tests fonctionnels de l'export XLSX du repertoire fournisseurs (M2, § 4.6).
 * Jumeau du {@see ClientExportControllerTest} (M1).
 *
 * Couvre : reponse 200 (Content-Type + Content-Disposition), exclusion des
 * archives par defaut, respect du filtre ?search, peuplement des colonnes
 * contact principal / categories / sites, gating de la colonne SIREN selon
 * commercial.suppliers.accounting.view, 403 sans commercial.suppliers.view,
 * 401 anonyme.
 *
 * @internal
 */
 final class SupplierExportControllerTest extends AbstractCommercialApiTestCase
 {
    private const string XLSX_MIME  = 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet';
    private const string EXPORT_URL = '/api/suppliers/export.xlsx';
    /**
     * Les fournisseurs doivent etre purges AVANT les categories de test (le parent
     * supprime les categories `test_cli_cat_*`) : la jointure supplier_category est
     * en ON DELETE CASCADE cote supplier mais RESTRICT cote category. Le DELETE DQL
     * sur Supplier declenche le cascade BDD sur supplier_category / _contact /
     * _address (et leurs sous-jointures), liberant les categories pour le parent.
     */
    protected function tearDown(): void
    {
        $this->getEm()->createQuery('DELETE FROM '.Supplier::class)->execute();
        parent::tearDown();
    }
    public function testExportReturnsXlsxResponseWithAttachmentFilename(): void
    {
        $client = $this->createAdminClient();
        $this->seedSupplier('Export Alpha');
        $response = $client->request('GET', self::EXPORT_URL);
        self::assertResponseIsSuccessful();
        $headers = $response->getHeaders(false);
        self::assertStringContainsString(self::XLSX_MIME, $headers['content-type'][0] ?? '');
        $disposition = $headers['content-disposition'][0] ?? '';
        self::assertStringContainsString('attachment; filename="repertoire-fournisseurs-', $disposition);
        self::assertMatchesRegularExpression(
            '/filename="repertoire-fournisseurs-\d{8}\.xlsx"/',
            $disposition,
        );
        // Le binaire est un XLSX relisible dont la 1re ligne porte les en-tetes.
        $grid    = $this->gridFromResponse($response->getContent());
        $headers = $grid[0];
        self::assertSame('Nom fournisseur', $headers[0]);
        self::assertContains('Contact principal', $headers);
        self::assertContains('Téléphone principal', $headers);
        self::assertContains('Téléphone secondaire', $headers);
        self::assertContains('Email', $headers);
        self::assertContains('Catégories', $headers);
        self::assertContains('Sites', $headers);
        self::assertContains('Date de création', $headers);
    }
    public function testExportExcludesArchivedByDefault(): void
    {
        $client = $this->createAdminClient();
        $this->seedSupplier('Active One');
        $this->seedSupplier('Archived One', true);
        $names = $this->companyNames($client->request('GET', self::EXPORT_URL)->getContent());
        self::assertContains('ACTIVE ONE', $names);
        self::assertNotContains('ARCHIVED ONE', $names);
    }
    public function testExportRespectsSearchFilter(): void
    {
        $client = $this->createAdminClient();
        $this->seedSupplier('Searchable Alpha');
        $this->seedSupplier('Other Beta');
        $names = $this->companyNames(
            $client->request('GET', self::EXPORT_URL.'?search=alpha')->getContent(),
        );
        self::assertContains('SEARCHABLE ALPHA', $names);
        self::assertNotContains('OTHER BETA', $names);
    }
    /**
     * Les colonnes contact sont alimentees par le CONTACT PRINCIPAL : le contact
     * de plus petit `position` (decision D2, § 4.6). On seede deux contacts en
     * ordre de position inverse pour garantir que c'est bien le principal (et non
     * le premier insere) qui alimente la ligne.
     */
    public function testExportUsesPrincipalContactColumns(): void
    {
        $client   = $this->createAdminClient();
        $supplier = $this->seedSupplier('Contact Co');
        // position 1 (secondaire) insere en premier...
        $this->addContact($supplier, 'Secondaire', 'Bob', 1, '0600000001', '0600000002', 'bob@contact.co');
        // ...position 0 (principal) insere ensuite : c'est lui qui doit gagner.
        $this->addContact($supplier, 'Principal', 'Alice', 0, '0612345678', '0698765432', 'alice@contact.co');
        $row = $this->rowFor($client->request('GET', self::EXPORT_URL)->getContent(), 'CONTACT CO');
        self::assertNotNull($row, 'Ligne « CONTACT CO » introuvable dans l\'export.');
        self::assertSame('Principal Alice', $row[1]);
        self::assertSame('0612345678', $row[2]);
        self::assertSame('0698765432', $row[3]);
        self::assertSame('alice@contact.co', $row[4]);
    }
    /**
     * Colonnes « Catégories » et « Sites » : un oubli d'hydratation les rendrait
     * vides sans erreur (cf. ERP-100 cote client). Le site est porte par l'adresse
     * (RG-2.06).
     */
    public function testExportPopulatesCategoryAndSiteColumns(): void
    {
        $client   = $this->createAdminClient();
        $supplier = $this->seedSupplier('Hydrate Co', false, 'NEGOCIANT');
        $em   = $this->getEm();
        $site = $em->getRepository(Site::class)->findOneBy([]);
        self::assertNotNull($site, 'Aucun site seede : impossible de tester la colonne Sites.');
        $address = new SupplierAddress();
        $address->setSupplier($supplier);
        $address->setAddressType('DEPART');
        $address->setPostalCode('86100');
        $address->setCity('Châtellerault');
        $address->setStreet('1 rue du Test');
        $address->addSite($site);
        $em->persist($address);
        $em->flush();
        $flat = $this->flatten($this->gridFromResponse($client->request('GET', self::EXPORT_URL)->getContent()));
        // Colonne « Catégories » : libelle de la categorie du fournisseur (getName()).
        self::assertStringContainsString('test_cli_cat_negociant', $flat);
        // Colonne « Sites » : site agrege depuis l'adresse (RG-2.06).
        self::assertStringContainsString((string) $site->getName(), $flat);
    }
    public function testSirenColumnPresentWithAccountingView(): void
    {
        // L'admin bypass le RBAC : il a donc accounting.view -> colonne SIREN.
        $client   = $this->createAdminClient();
        $supplier = $this->seedSupplier('Siren Co');
        $em       = $this->getEm();
        $supplier->setSiren('123456789');
        $em->flush();
        $grid = $this->gridFromResponse($client->request('GET', self::EXPORT_URL)->getContent());
        self::assertContains('SIREN', $grid[0]);
        self::assertStringContainsString('123456789', $this->flatten($grid));
    }
    public function testSirenColumnAbsentWithoutAccountingView(): void
    {
        // Seed via admin, puis relecture par un user qui n'a QUE suppliers.view.
        $admin    = $this->createAdminClient();
        $supplier = $this->seedSupplier('No Siren Co');
        $em       = $this->getEm();
        $supplier->setSiren('987654321');
        $em->flush();
        $creds  = $this->createUserWithPermission('commercial.suppliers.view');
        $viewer = $this->authenticatedClient($creds['username'], $creds['password']);
        $grid = $this->gridFromResponse($viewer->request('GET', self::EXPORT_URL)->getContent());
        self::assertNotContains('SIREN', $grid[0]);
        self::assertStringNotContainsString('987654321', $this->flatten($grid));
    }
    public function testForbiddenWithoutSuppliersViewPermission(): void
    {
        $creds  = $this->createUserWithPermission('core.users.view');
        $client = $this->authenticatedClient($creds['username'], $creds['password']);
        $client->request('GET', self::EXPORT_URL);
        self::assertResponseStatusCodeSame(403);
    }
    public function testUnauthorizedWhenAnonymous(): void
    {
        $client = self::createClient();
        $client->request('GET', self::EXPORT_URL);
        self::assertResponseStatusCodeSame(401);
    }
    /**
     * Seede directement un Supplier en base (sans passer par l'API), pour les
     * tests de liste / archivage. Stocke le nom en MAJUSCULES pour refleter l'etat
     * normalise (RG-2.12) qu'aurait produit le SupplierProcessor via l'API.
     */
    private function seedSupplier(string $companyName, bool $isArchived = false, string $categoryCode = 'SECTEUR'): Supplier
    {
        $em       = $this->getEm();
        $supplier = new Supplier();
        $supplier->setCompanyName(mb_strtoupper($companyName, 'UTF-8'));
        $supplier->addCategory($this->createCategory($categoryCode));
        $supplier->setIsArchived($isArchived);
        if ($isArchived) {
            $supplier->setArchivedAt(new DateTimeImmutable());
        }
        $em->persist($supplier);
        $em->flush();
        return $supplier;
    }
    private function addContact(
        Supplier $supplier,
        string $lastName,
        string $firstName,
        int $position,
        ?string $phonePrimary = null,
        ?string $phoneSecondary = null,
        ?string $email = null,
    ): void {
        $contact = new SupplierContact();
        $contact->setSupplier($supplier);
        $contact->setLastName($lastName);
        $contact->setFirstName($firstName);
        $contact->setPosition($position);
        $contact->setPhonePrimary($phonePrimary);
        $contact->setPhoneSecondary($phoneSecondary);
        $contact->setEmail($email);
        $supplier->addContact($contact);
        $this->getEm()->persist($contact);
        $this->getEm()->flush();
    }
    /**
     * Relit le binaire XLSX d'une reponse et renvoie la grille de cellules.
     *
     * @return array<int, array<int, mixed>>
     */
    private function gridFromResponse(string $binary): array
    {
        $tmp = tempnam(sys_get_temp_dir(), 'xlsx_export_test_');
        self::assertIsString($tmp);
        file_put_contents($tmp, $binary);
        try {
            return IOFactory::load($tmp)->getActiveSheet()->toArray();
        } finally {
            @unlink($tmp);
        }
    }
    /**
     * Extrait la colonne « Nom fournisseur » (1re colonne) des lignes de donnees.
     *
     * @return list<string>
     */
    private function companyNames(string $binary): array
    {
        $grid = $this->gridFromResponse($binary);
        $rows = array_slice($grid, 1); // saute l'en-tete
        return array_values(array_map(static fn (array $row): string => (string) ($row[0] ?? ''), $rows));
    }
    /**
     * Renvoie la ligne de donnees dont la 1re colonne (nom) vaut $companyName.
     *
     * @return array<int, mixed>|null
     */
    private function rowFor(string $binary, string $companyName): ?array
    {
        foreach (array_slice($this->gridFromResponse($binary), 1) as $row) {
            if ((string) ($row[0] ?? '') === $companyName) {
                return $row;
            }
        }
        return null;
    }
    /**
     * Aplatit toute la grille en une chaine, pour les assertions de presence.
     *
     * @param array<int, array<int, mixed>> $grid
     */
    private function flatten(array $grid): string
    {
        return implode('|', array_map(
            static fn (array $row): string => implode('|', array_map(static fn ($cell): string => (string) $cell, $row)),
            $grid,
        ));
    }
 }
@@ -0,0 +1,172 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Module\Commercial\Domain\Entity;
 use App\Module\Commercial\Domain\Entity\Bank;
 use App\Module\Commercial\Domain\Entity\PaymentType;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Domain\Entity\SupplierRib;
 use App\Shared\Domain\Contract\CategoryInterface;
 use PHPUnit\Framework\TestCase;
 use Symfony\Component\Validator\Validation;
 use Symfony\Component\Validator\Validator\ValidatorInterface;
 /**
 * Tests des contraintes inter-champs de l'entite Supplier portees par
 * Assert\Callback (decision figee ERP-89) : RG-2.10 (categorie de type
 * FOURNISSEUR), RG-2.07 (Virement -> banque), RG-2.08 (LCR -> >= 1 RIB).
 *
 * On valide l'entite avec le validator Symfony (mapping par attributs) et on
 * assert le propertyPath exact de chaque violation (contrat ERP-101 :
 * exploitable par extractApiViolations). Pas de base : les Callback ne touchent
 * que des champs en memoire (categories via un double CategoryInterface).
 *
 * @internal
 */
 final class SupplierValidationTest extends TestCase
 {
    private ValidatorInterface $validator;
    protected function setUp(): void
    {
        $this->validator = Validation::createValidatorBuilder()
            ->enableAttributeMapping()
            ->getValidator()
        ;
    }
    // === RG-2.10 : categories de type FOURNISSEUR ===
    public function testFournisseurCategoryIsAccepted(): void
    {
        $supplier = $this->validSupplier();
        self::assertSame([], $this->violationPaths($supplier));
    }
    public function testNonFournisseurCategoryIsRejectedOnCategoriesPath(): void
    {
        $supplier = new Supplier();
        $supplier->setCompanyName('Recycla SAS');
        $supplier->addCategory($this->category('CLIENT'));
        self::assertContains('categories', $this->violationPaths($supplier));
    }
    // === RG-2.07 : Virement impose une banque ===
    public function testVirementWithoutBankIsRejectedOnBankPath(): void
    {
        $supplier = $this->validSupplier();
        $supplier->setPaymentType($this->paymentType('VIREMENT'));
        self::assertContains('bank', $this->violationPaths($supplier));
    }
    public function testVirementWithBankPasses(): void
    {
        $supplier = $this->validSupplier();
        $supplier->setPaymentType($this->paymentType('VIREMENT'));
        $supplier->setBank(new Bank());
        self::assertNotContains('bank', $this->violationPaths($supplier));
    }
    // === RG-2.08 : LCR impose au moins un RIB ===
    public function testLcrWithoutRibIsRejectedOnRibsPath(): void
    {
        $supplier = $this->validSupplier();
        $supplier->setPaymentType($this->paymentType('LCR'));
        self::assertContains('ribs', $this->violationPaths($supplier));
    }
    public function testLcrWithRibPasses(): void
    {
        $supplier = $this->validSupplier();
        $supplier->setPaymentType($this->paymentType('LCR'));
        $supplier->addRib(new SupplierRib());
        self::assertNotContains('ribs', $this->violationPaths($supplier));
    }
    public function testNeutralPaymentTypeRequiresNeitherBankNorRib(): void
    {
        // Un type de reglement neutre (ni VIREMENT ni LCR) n'exige ni banque ni RIB.
        $supplier = $this->validSupplier();
        $supplier->setPaymentType($this->paymentType('CHEQUE'));
        $paths = $this->violationPaths($supplier);
        self::assertNotContains('bank', $paths);
        self::assertNotContains('ribs', $paths);
    }
    /**
     * Fournisseur valide (nom + 1 categorie FOURNISSEUR), sans onglet
     * Comptabilite renseigne : sert de base aux tests RG-2.07/2.08.
     */
    private function validSupplier(): Supplier
    {
        $supplier = new Supplier();
        $supplier->setCompanyName('Recycla SAS');
        $supplier->addCategory($this->category('FOURNISSEUR'));
        return $supplier;
    }
    /**
     * @return list<string> propertyPaths des violations levees par le validator
     */
    private function violationPaths(Supplier $supplier): array
    {
        $paths = [];
        foreach ($this->validator->validate($supplier) as $violation) {
            $paths[] = $violation->getPropertyPath();
        }
        return $paths;
    }
    /**
     * Double minimal de CategoryInterface (pas d'acces base) renvoyant le code de
     * type de categorie voulu — seul element regarde par validateCategoryType.
     */
    private function category(string $typeCode): CategoryInterface
    {
        return new class($typeCode) implements CategoryInterface {
            public function __construct(private readonly string $typeCode) {}
            public function getId(): ?int
            {
                return 1;
            }
            public function getName(): ?string
            {
                return 'Categorie test';
            }
            public function getCode(): ?string
            {
                return 'TEST';
            }
            public function getCategoryTypeCode(): ?string
            {
                return $this->typeCode;
            }
        };
    }
    private function paymentType(string $code): PaymentType
    {
        $type = new PaymentType();
        $type->setCode($code);
        $type->setLabel($code);
        return $type;
    }
 }
@@ -8,11 +8,14 @@ use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\ClientFieldNormalizer;
 use App\Module\Commercial\Application\Validator\ClientAccountingCompletenessValidator;
 use App\Module\Commercial\Application\Validator\ClientInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Bank;
 use App\Module\Commercial\Domain\Entity\Client;
 use App\Module\Commercial\Domain\Entity\ClientRib;
 use App\Module\Commercial\Domain\Entity\PaymentDelay;
 use App\Module\Commercial\Domain\Entity\PaymentType;
 use App\Module\Commercial\Domain\Entity\TvaMode;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\ClientProcessor;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
 use App\Shared\Domain\Security\BusinessRoles;
@@ -280,6 +283,65 @@ final class ClientProcessorTest extends TestCase
        self::assertInstanceOf(Client::class, $processor->process($client, $this->operation()));
    }
    public function testFullAccountingSubmitWithEmptyFieldsIsUnprocessable(): void
    {
        // spec-front § Onglet Comptabilite : une validation complete de l'onglet
        // (les 6 champs presents dans le payload) avec des valeurs vides -> 422.
        // C'est le bug corrige : avant, le back acceptait un onglet tout vide.
        $client = $this->minimalClient(); // aucun champ comptable renseigne
        $processor = $this->makeProcessor(
            granted: ['commercial.clients.accounting.manage'],
            payload: $this->emptyAccountingPayload(),
        );
        $this->expectException(ValidationException::class);
        $processor->process($client, $this->operation());
    }
    public function testFullAccountingSubmitWithAllFieldsPasses(): void
    {
        // Les 6 champs obligatoires renseignes + type de reglement neutre
        // (ni VIREMENT ni LCR -> ni banque ni RIB requis) -> 200.
        $client = $this->minimalClient();
        $client->setSiren('123456789');
        $client->setAccountNumber('00012345678');
        $client->setTvaMode(new TvaMode());
        $client->setNTva('FR12345678901');
        $client->setPaymentDelay(new PaymentDelay());
        $client->setPaymentType($this->paymentType('CHEQUE'));
        $processor = $this->makeProcessor(
            granted: ['commercial.clients.accounting.manage'],
            payload: $this->emptyAccountingPayload(),
        );
        self::assertInstanceOf(Client::class, $processor->process($client, $this->operation()));
    }
    public function testPartialAccountingPatchSkipsCompleteness(): void
    {
        // Un PATCH ciblant un seul champ comptable n'est pas une validation
        // d'onglet : la completude n'est pas exigee (les autres champs restent
        // vides) -> 200. Preserve l'edition ponctuelle (ex. Compta corrige le SIREN).
        $client = $this->minimalClient();
        $client->setSiren('999999999');
        $processor = $this->makeProcessor(
            granted: ['commercial.clients.accounting.manage'],
            payload: ['siren' => '999999999'],
            managed: true,
            originalData: [
                'siren'         => '111111111',
                'companyName'   => 'TEST CO',
                'triageService' => false,
                'isArchived'    => false,
            ],
        );
        self::assertInstanceOf(Client::class, $processor->process($client, $this->operation()));
    }
    public function testCommercialeIncompleteInformationIsUnprocessable(): void
    {
        // RG-1.04 : role Commerciale + onglet Information incomplet -> 422.
@@ -379,6 +441,7 @@ final class ClientProcessorTest extends TestCase
            $persist,
            new ClientFieldNormalizer(),
            new ClientInformationCompletenessValidator(),
            new ClientAccountingCompletenessValidator(),
            $security,
            $requestStack,
            $em,
@@ -398,6 +461,25 @@ final class ClientProcessorTest extends TestCase
        return $client;
    }
    /**
     * Payload simulant une validation complete de l'onglet Comptabilite : les 6
     * champs obligatoires presents (le front les envoie toujours ensemble). Les
     * valeurs importent peu — la completude est evaluee sur l'etat de l'entite.
     *
     * @return array<string, mixed>
     */
    private function emptyAccountingPayload(): array
    {
        return [
            'siren'         => null,
            'accountNumber' => null,
            'tvaMode'       => null,
            'nTva'          => null,
            'paymentDelay'  => null,
            'paymentType'   => null,
        ];
    }
    private function paymentType(string $code): PaymentType
    {
        $type = new PaymentType();
@@ -0,0 +1,129 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Module\Commercial\Unit;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Validator\SupplierInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use DateTimeImmutable;
 use PHPUnit\Framework\TestCase;
 /**
 * Tests unitaires du SupplierInformationCompletenessValidator (RG-2.03) : pour le
 * role Commerciale, TOUS les champs de l'onglet Information sont obligatoires.
 * Chaque champ manquant produit une violation portant son propertyPath (ERP-101).
 *
 * @internal
 */
 final class SupplierInformationCompletenessValidatorTest extends TestCase
 {
    public function testCompleteInformationPasses(): void
    {
        $supplier = $this->completeSupplier();
        $this->validator()->validate($supplier);
        // Aucune exception levee : la completude est satisfaite.
        $this->addToAssertionCount(1);
    }
    public function testEmptyInformationListsEveryMissingField(): void
    {
        $supplier = new Supplier();
        $supplier->setCompanyName('Recycla SAS'); // onglet principal, hors Information
        try {
            $this->validator()->validate($supplier);
            self::fail('Une ValidationException etait attendue (onglet Information vide).');
        } catch (ValidationException $e) {
            $paths = [];
            foreach ($e->getConstraintViolationList() as $violation) {
                $paths[] = $violation->getPropertyPath();
            }
            // Les 8 champs Information (dont volumeForecast, NEW vs Client) sont
            // tous signales d'un coup, chacun sous son propre propertyPath.
            sort($paths);
            self::assertSame([
                'competitors',
                'description',
                'directorName',
                'employeesCount',
                'foundedAt',
                'profitAmount',
                'revenueAmount',
                'volumeForecast',
            ], $paths);
        }
    }
    public function testPartialInformationReportsOnlyMissingFields(): void
    {
        $supplier = $this->completeSupplier();
        $supplier->setDirectorName(null);
        $supplier->setVolumeForecast(null);
        try {
            $this->validator()->validate($supplier);
            self::fail('Une ValidationException etait attendue (2 champs manquants).');
        } catch (ValidationException $e) {
            $paths = [];
            foreach ($e->getConstraintViolationList() as $violation) {
                $paths[] = $violation->getPropertyPath();
            }
            sort($paths);
            self::assertSame(['directorName', 'volumeForecast'], $paths);
        }
    }
    public function testZeroNumericValuesAreNotMissing(): void
    {
        // employeesCount = 0, profitAmount = "0.00", volumeForecast = 0 sont des
        // valeurs valides (un zero n'est pas une absence) -> pas de violation.
        $supplier = $this->completeSupplier();
        $supplier->setEmployeesCount(0);
        $supplier->setProfitAmount('0.00');
        $supplier->setVolumeForecast(0);
        $this->validator()->validate($supplier);
        $this->addToAssertionCount(1);
    }
    public function testBlankStringIsMissing(): void
    {
        // Une chaine vide apres trim compte comme manquante.
        $supplier = $this->completeSupplier();
        $supplier->setDescription('   ');
        $this->expectException(ValidationException::class);
        $this->validator()->validate($supplier);
    }
    /**
     * Fournisseur dont l'onglet Information est entierement renseigne.
     */
    private function completeSupplier(): Supplier
    {
        $supplier = new Supplier();
        $supplier->setCompanyName('Recycla SAS');
        $supplier->setDescription('Specialiste du recyclage');
        $supplier->setCompetitors('Concurrent A, Concurrent B');
        $supplier->setFoundedAt(new DateTimeImmutable('2010-01-01'));
        $supplier->setEmployeesCount(42);
        $supplier->setRevenueAmount('1000000.00');
        $supplier->setDirectorName('Marie Durand');
        $supplier->setProfitAmount('150000.00');
        $supplier->setVolumeForecast(5000);
        return $supplier;
    }
    private function validator(): SupplierInformationCompletenessValidator
    {
        return new SupplierInformationCompletenessValidator();
    }
 }
@@ -0,0 +1,199 @@
 <?php
 declare(strict_types=1);
 namespace App\Tests\Module\Commercial\Unit;
 use ApiPlatform\Metadata\Operation;
 use ApiPlatform\State\ProcessorInterface;
 use ApiPlatform\Validator\Exception\ValidationException;
 use App\Module\Commercial\Application\Service\SupplierFieldNormalizer;
 use App\Module\Commercial\Application\Validator\SupplierInformationCompletenessValidator;
 use App\Module\Commercial\Domain\Entity\Supplier;
 use App\Module\Commercial\Infrastructure\ApiPlatform\State\Processor\SupplierProcessor;
 use App\Shared\Domain\Contract\BusinessRoleAwareInterface;
 use App\Shared\Domain\Security\BusinessRoles;
 use DateTimeImmutable;
 use Doctrine\ORM\EntityManagerInterface;
 use Doctrine\ORM\UnitOfWork;
 use PHPUnit\Framework\TestCase;
 use Symfony\Bundle\SecurityBundle\Security;
 use Symfony\Component\HttpFoundation\Request;
 use Symfony\Component\HttpFoundation\RequestStack;
 use Symfony\Component\Security\Core\User\UserInterface;
 /**
 * Tests unitaires du SupplierProcessor — perimetre ERP-89 : detection du role
 * Commerciale cote back (RG-2.03). Les autres responsabilites du processor
 * (gating accounting / archive / mode strict) sont heritees d'ERP-87 et testees
 * a leur niveau ; les RG inter-champs (RG-2.07/2.08/2.10) sont des contraintes
 * d'entite (cf. SupplierValidationTest), non portees ici.
 *
 * @internal
 */
 final class SupplierProcessorTest extends TestCase
 {
    public function testCommercialeIncompleteInformationIsUnprocessable(): void
    {
        // RG-2.03 : role Commerciale + onglet Information incomplet -> 422, meme
        // sur un POST (les champs Information n'y sont pas renseignables).
        $supplier = $this->minimalSupplier();
        $supplier->setDescription('Une description'); // les autres champs Information restent null
        $processor = $this->makeProcessor(
            payload: ['description' => 'Une description'],
            user: $this->commercialeUser(),
        );
        $this->expectException(ValidationException::class);
        $processor->process($supplier, $this->operation());
    }
    public function testCommercialeIncompleteInformationOnMainOnlyPatchIsUnprocessable(): void
    {
        // RG-2.03 : pour une Commerciale, la completude Information est exigee
        // meme quand le payload ne touche PAS l'onglet Information (ici
        // companyName seul) -> 422.
        $supplier = $this->minimalSupplier();
        $supplier->setCompanyName('Renamed Co');
        $processor = $this->makeProcessor(
            granted: ['commercial.suppliers.manage'],
            payload: ['companyName' => 'Renamed Co'],
            user: $this->commercialeUser(),
            managed: true,
            originalData: [
                'companyName' => 'TEST CO',
                'isArchived'  => false,
            ],
        );
        $this->expectException(ValidationException::class);
        $processor->process($supplier, $this->operation());
    }
    public function testCommercialeCompleteInformationPasses(): void
    {
        // RG-2.03 satisfaite : tous les champs Information renseignes -> 200.
        $supplier = $this->completeInformationSupplier();
        $processor = $this->makeProcessor(
            granted: ['commercial.suppliers.manage'],
            payload: ['description' => 'desc'],
            user: $this->commercialeUser(),
        );
        self::assertInstanceOf(Supplier::class, $processor->process($supplier, $this->operation()));
    }
    public function testNonCommercialeSkipsInformationCompleteness(): void
    {
        // Meme onglet Information incomplet, mais user non-Commerciale -> aucun
        // blocage (la completude est specifique a la Commerciale).
        $supplier = $this->minimalSupplier();
        $supplier->setDescription('Une description');
        $processor = $this->makeProcessor(
            payload: ['description' => 'Une description'],
            user: null,
        );
        self::assertInstanceOf(Supplier::class, $processor->process($supplier, $this->operation()));
    }
    /**
     * @param list<string>         $granted      Permissions accordees a l'utilisateur courant
     * @param array<string, mixed> $payload      Corps JSON simule de la requete
     * @param bool                 $managed      true = entite geree par l'ORM (PATCH), false = creation (POST)
     * @param array<string, mixed> $originalData Etat persiste simule (getOriginalEntityData)
     */
    private function makeProcessor(
        array $granted = [],
        array $payload = [],
        ?UserInterface $user = null,
        bool $managed = false,
        array $originalData = [],
    ): SupplierProcessor {
        $persist = new class implements ProcessorInterface {
            public function process(mixed $data, Operation $operation, array $uriVariables = [], array $context = []): mixed
            {
                return $data;
            }
        };
        $security = $this->createStub(Security::class);
        $security->method('isGranted')->willReturnCallback(
            static fn (mixed $attribute): bool => is_string($attribute) && in_array($attribute, $granted, true),
        );
        $security->method('getUser')->willReturn($user);
        $requestStack = new RequestStack();
        $requestStack->push(new Request([], [], [], [], [], [], json_encode($payload, JSON_THROW_ON_ERROR)));
        $uow = $this->createMock(UnitOfWork::class);
        $uow->method('getOriginalEntityData')->willReturn($originalData);
        $em = $this->createMock(EntityManagerInterface::class);
        $em->method('contains')->willReturn($managed);
        $em->method('getUnitOfWork')->willReturn($uow);
        return new SupplierProcessor(
            $persist,
            new SupplierFieldNormalizer(),
            new SupplierInformationCompletenessValidator(),
            $security,
            $requestStack,
            $em,
        );
    }
    private function minimalSupplier(): Supplier
    {
        $supplier = new Supplier();
        $supplier->setCompanyName('Test Co');
        return $supplier;
    }
    private function completeInformationSupplier(): Supplier
    {
        $supplier = $this->minimalSupplier();
        $supplier->setDescription('desc');
        $supplier->setCompetitors('concurrents');
        $supplier->setFoundedAt(new DateTimeImmutable('2010-01-01'));
        $supplier->setEmployeesCount(10);
        $supplier->setRevenueAmount('1000.00');
        $supplier->setDirectorName('Marie Durand');
        $supplier->setProfitAmount('100.00');
        $supplier->setVolumeForecast(500);
        return $supplier;
    }
    private function operation(): Operation
    {
        return $this->createStub(Operation::class);
    }
    private function commercialeUser(): UserInterface
    {
        return new class implements UserInterface, BusinessRoleAwareInterface {
            public function hasBusinessRole(string $roleCode): bool
            {
                return BusinessRoles::COMMERCIALE === $roleCode;
            }
            public function getRoles(): array
            {
                return ['ROLE_USER'];
            }
            public function eraseCredentials(): void {}
            public function getUserIdentifier(): string
            {
                return 'commerciale-test';
            }
        };
    }
 }
Author	SHA1	Message	Date
Matthieu	e917c413dc	feat(commercial) : export XLSX fournisseurs (SupplierExportController, SIREN gaté accounting.view) (ERP-91) Export XLSX du répertoire fournisseurs (spec § 4.6), jumeau de l'export client M1. - SupplierExportController avec #[Route(priority: 1)] (anti-conflit API Platform {id}), is_granted('commercial.suppliers.view'). Mêmes filtres que la liste (includeArchived/archivedOnly/search/categoryCode/siteId) via createListQueryBuilder() partagé avec le SupplierProvider ; non archivés par défaut. - Colonnes : Nom, Contact principal (SupplierContact de plus petit position — ERP-106), Tél principal/secondaire, Email, Catégories (CSV), Sites (CSV), SIREN (omis sans accounting.view), Date de création. - hydrateContacts() ajouté au repository (chargement batché des contacts en une requête IN, anti-N+1) — méthode dédiée à l'export, la liste paginée n'embarque pas les contacts. - Tables supplier* ajoutées à ColumnCommentsCatalog : leurs COMMENT (posés par la migration ERP-85) étaient dropés par le schema:update --force du test-db-setup et non restaurés, cassant ColumnsHaveSqlCommentTest dès un re-setup de la base de test. - Test fonctionnel SupplierExportControllerTest (9 cas).	2026-06-05 14:56:50 +02:00
Matthieu	48d1904d03	feat(commercial) : RBAC fournisseurs (permissions + 3 sources + seed par rôle + sécurité référentiels) (ERP-90) - 5 permissions commercial.suppliers.* (view/manage/accounting.view/accounting.manage/archive) dans CommercialModule::permissions() - 3 sources RBAC synchronisées (règle n°8) : sidebar.php (/suppliers + suppliers.view), personas.ts (user-full), SeedE2ECommand.php (miroir back) - Assignation par rôle dans RbacSeeder::MATRIX (§ 2.9, idempotent) : Bureau view+manage, Compta view+accounting.view+accounting.manage, Commerciale view+manage, Usine aucune, archive Admin seul - Sécurité des référentiels (tva_modes/payment_delays/payment_types/banks) élargie : view client OR view fournisseur	2026-06-05 14:21:19 +02:00
Matthieu	b580bb6576	feat(commercial) : validators M2 fournisseurs (RG-2.03/2.07/2.08/2.10) (ERP-89) RG inter-champs via Assert\Callback->atPath() sur l'entite Supplier (decision figee ERP-89), pour un 422 a propertyPath consommable par extractApiViolations : - RG-2.10 : categories de type FOURNISSEUR (supplier.categories) -> atPath('categories') - RG-2.07 : VIREMENT impose une banque -> atPath('bank') - RG-2.08 : LCR impose au moins un RIB -> atPath('ribs') RG-2.03 (completude Information pour le role Commerciale, detection back via BusinessRoleAwareInterface) portee par SupplierInformationCompletenessValidator, invoque par le SupplierProcessor. Tests : SupplierValidationTest (Callbacks 2.07/2.08/2.10), SupplierInformationCompletenessValidatorTest, SupplierProcessorTest (RG-2.03).	2026-06-05 13:55:17 +02:00
Matthieu	3548224298	feat(commercial) : sous-ressources M2 fournisseurs (contacts/adresses/ribs) (ERP-88) Ajoute les opérations API Platform et les Processors d'écriture des sous-collections du fournisseur (POST/PATCH/DELETE + GET unitaire) : - SupplierContactProcessor : rattachement parent, normalisation serveur (RG-2.12), validation RG-2.04 (prénom OU nom). DELETE libre (RG-2.13). - SupplierAddressProcessor : rattachement parent. RG-2.05/2.06/2.09 portées par les contraintes d'entité ; RG-2.10 (catégorie type FOURNISSEUR) via Assert\Callback validateCategoryType. - SupplierRibProcessor : rattachement parent, RG-2.08 (refus DELETE du dernier RIB sous LCR -> 409). Security différenciée : contacts/adresses -> commercial.suppliers.manage ; ribs -> commercial.suppliers.accounting.manage (+ .view pour le GET). POST en read:false (parent rattaché manuellement, 404 si absent) — parade NonUniqueResult du M1. Messages FR (ERP-107) + propertyPath aligné (ERP-101).	2026-06-05 11:57:25 +02:00
Matthieu	3838473876	feat(commercial) : SupplierProvider + SupplierProcessor + gating compta (ERP-87) Branche les operations API du repertoire fournisseurs (M2), jumelles du M1 : - SupplierProvider : liste paginee (Paginator ORM), exclusion archives + soft-deletes par defaut, filtres includeArchived/categoryCode/siteId/search, echappatoire ?pagination=false, item 404 si soft-delete (RG-2.17). - SupplierProcessor : normalisation companyName, archivage isArchived/archivedAt (RG-2.14/2.15), gating fin accounting/manage en mode strict (403 sur tout le payload hors-permission, RG-2.16), 409 doublon companyName + conflit de restauration (RG-2.11). - SupplierReadGroupContextBuilder : ajoute supplier:read:accounting au contexte de lecture si accounting.view (gating compta + RIB par omission de cle). Un Provider ne peut pas influencer les groupes de serialisation : c'est le point d'extension idiomatique, miroir de ClientReadGroupContextBuilder. - SupplierFieldNormalizer : normalisation serveur (RG-2.12). - Supplier : ajout #[ApiResource] (GetCollection/Get/Post/Patch) wirant Provider/Processor. Validators metier (RG-2.03/2.07/2.08/2.10) = ticket suivant. make test vert (483/483), php-cs-fixer applique.	2026-06-05 11:24:55 +02:00
Matthieu	ff47af07d2	feat(commercial) : entités M2 fournisseurs + repositories (ERP-86) Entités jumelles du M1 client, mapping ORM aligné sur la migration ERP-85, sans contact inline (ERP-106) : - Supplier (#[Auditable] + Timestampable/Blamable) : formulaire principal, Information (+ volumeForecast), Comptabilité (FK référentiels M1), archivage, soft-delete préparé. Catégories M2M via CategoryInterface (règle n°1). - SupplierContact / SupplierAddress (enum addressType, bennes, triageProvider) / SupplierRib. - Repositories : interfaces Domain + impls Doctrine. DoctrineSupplierRepository porte les fetch-joins anti-N+1 de la liste (categories + addresses.sites en 2 passes, pattern ERP-100) et les filtres (search companyName + contacts, categoryCode, siteId, archivage). Contrat de sérialisation (RETEX M1, 3 maillons posés sur l'entité) : read-groups sur les propriétés, getters isArchived/isTriageProvider avec SerializedName, embed contacts/addresses (supplier:item:read) et ribs (supplier:read:accounting). L'#[ApiResource] + Provider/Processor sont au ticket suivant (ERP-87). Validation FR (ERP-107) : messages FR sur toutes les contraintes, Length(max) calé sur les colonnes. Garde-fou EntityConstraintsHaveFrenchMessageTest étendu (Assert\Choice + whitelist addressType/postalCode). Clés i18n audit des 4 entités ajoutées. make test : 483/483 OK.	2026-06-05 10:55:04 +02:00
Matthieu	1d9a656504	feat(commercial) : migration BDD M2 fournisseurs (supplier + sous-collections + M2M) (ERP-85) Cree le schema M2 sous le module Commercial, jumeau du M1 client : - supplier (formulaire + Information + Comptabilite + archive + soft-delete) sans contact inline (ERP-106) ni auto-reference distributor/broker ; ajout volume_forecast. - Sous-collections : supplier_category (M2M), supplier_contact, supplier_address, supplier_rib + jointures supplier_address_site/_contact/_category. - supplier_address : enum address_type (PROSPECT\|DEPART\|RENDU, CHECK exclusif), bennes + triage_provider, sans billing_email. - Index partiel unique uq_supplier_company_name_active (nom seul, hors archives/soft-delete). - COMMENT ON COLUMN sur chaque colonne (regle n12) + helper Timestampable/Blamable. Referentiels comptables (tva_mode/payment_delay/payment_type/bank) et CategoryType FOURNISSEUR reutilises (zero duplication). Namespace racine DoctrineMigrations (FK cross-module, exception regle n11).	2026-06-05 10:18:56 +02:00
Matthieu	92a2d4f763	feat(catalog) : taxonomie FOURNISSEUR (type + filtre ?typeCode= + seed) (ERP-84) Recree le CategoryType FOURNISSEUR (unifie sur CLIENT par ERP-78) et implemente un vrai filtre ?typeCode= sur GET /api/categories (inexistant en prod). - CategoryProvider lit ?typeCode= depuis les filtres (meme pattern que includeDeleted) et le passe au repository ; naltere pas ?pagination=false. - DoctrineCategoryRepository::createListQueryBuilder joint le CategoryType et filtre sur son code (compatible Paginator ORM fetchJoinCollection). - Migration racine Version20260605120000 : seed du type FOURNISSEUR en ON CONFLICT + 5 categories de demo (Negociant, Cooperative, Producteur, Grossiste, Importateur) en NOT EXISTS. Aucune colonne creee. - CategoryTypeFixtures / CategoryFixtures etendus a FOURNISSEUR (idempotent, survit a make db-reset). - Test CategoryTypeCodeFilterTest : filtre exclusif, compat pagination Hydra, code inexistant -> liste vide.	2026-06-05 09:59:37 +02:00
gitea-actions	786638a02f	chore: bump version to v0.1.83 Auto Tag Develop / tag (push) Successful in 6s Details Build & Push Docker Image / build (push) Successful in 22s Details	2026-06-04 14:51:46 +00:00
matthieu	fcacde2a34	docs(claude) : allege backend.md (pointeurs + skill) + ref ecran Client pour les formulaires (#62 ) Auto Tag Develop / tag (push) Successful in 7s Details Allege le contexte CLAUDE charge a chaque session, sans perdre de garantie de comportement (pur deplacement de doc, zero fichier de code touche). ## backend.md (1771 -> 702 mots) Les 5 sections deja couvertes par un test Architecture deterministe deviennent des pointeurs courts (enonce + nom du test garde-fou). Le detail (patterns, tableaux, exemples) part dans un nouveau skill `backend-entity-conventions` charge a la demande : - Messages de validation FR -> EntityConstraintsHaveFrenchMessageTest - Pagination -> CollectionsArePaginatedTest - Libelle i18n audit -> AuditableEntitiesHaveI18nLabelTest - Timestampable/Blamable -> EntitiesAreTimestampableBlamableTest - COMMENT ON COLUMN -> ColumnsHaveSqlCommentTest ## frontend.md Ajoute une reference : tout nouvel ecran de formulaire doit ressembler a l'ecran Client (structure, marges, blocs de collection, validation inline 422). ## Garanties - Aucun test modifie : les tests Architecture restent le juge, le build casse comme avant. - Chaque regle garde son pointeur (enonce + test) charge a chaque session ; le detail revient via le skill. - Reversible en un revert. --------- Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #62 Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr> Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>	2026-06-04 14:51:38 +00:00
gitea-actions	fea325e10f	chore: bump version to v0.1.82 Auto Tag Develop / tag (push) Successful in 6s Details Build & Push Docker Image / build (push) Successful in 41s Details	2026-06-04 14:06:12 +00:00
matthieu	e139d234a9	fix(commercial) : validation tous-blocs des onglets collection client + fix 500 NonUniqueResult (ERP-110) (#61 ) Auto Tag Develop / tag (push) Successful in 8s Details ## Contexte (ERP-110, dérivé de ERP-107) Sur les onglets à blocs dynamiques d'un client (Contacts / Adresses / RIB), le POST d'une sous-ressource sur un client ayant déjà ≥2 enfants renvoyait une 500 `NonUniqueResultException`, court-circuitant la validation (aucune 422 par champ). ## Cause racine Au stade « read » du POST, le `Link` `toProperty` faisait résoudre la collection enfant via `getOneOrNullResult()` (`ItemProvider`) : `SELECT o FROM ClientContact o INNER JOIN o.client c WHERE c.id = :clientId`. Dès 2 enfants → `NonUniqueResult` → 500 avant la déserialisation/validation. Les 3 sous-ressources partageaient la même config (même bug latent). Cause secondaire front : la boucle de soumission s'arrêtait au 1er bloc en erreur (`return` dans le `catch`). ## Correctif Back — `read: false` sur les 3 opérations `Post` (`ClientContact` / `ClientAddress` / `ClientRib`) : le parent est déjà rattaché manuellement par le `Processor::linkParent`. Les 3 `linkParent` sont durcis (`NotFoundHttpException` si parent absent → 404 préservé, sinon régression 500 au persist sur `client_id NOT NULL`). Front* — nouveau helper `useClientFormErrors().submitRows()` qui tente tous les blocs et collecte les erreurs 422 par index (`hasError`), branché sur les 6 sites (`new.vue` + `edit.vue` × contacts/adresses/RIB). Feedback inline seul : pas de toast récap, pas de toast succès tant qu'un bloc reste en erreur. ## Tests - Back : non-régression POST contact/adresse/RIB sur client déjà peuplé (≥2 enfants) → 201, + 422 `propertyPath=email` (validation atteinte). Rouge avant fix (500), vert après. - Front : `submitRows` (Vitest) — tente tous les blocs, mappe les erreurs par index, n'arrête pas au 1er échec, délègue le fallback non-422, saute les blocs filtrés. ## Vérifications - `make test` : 474/474 OK - `make php-cs-fixer-allow-risky` : 0 fichier à corriger - `make nuxt-test` : 219/219 OK > Golden path manuel navigateur non exécuté (couvert par les tests automatisés). --------- Co-authored-by: tristan <tristan@yuno.malio.fr> Co-authored-by: Matthieu <contact@malio.fr> Reviewed-on: #61 Co-authored-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr> Co-committed-by: THOLOT DECHENE Matthieu <matthieu@yuno.malio.fr>	2026-06-04 14:06:03 +00:00
`@@ -1,2 +1,2 @@`
	`parameters:`	`parameters:`
	`app.version: '0.1.81'`	`app.version: '0.1.83'`