fix(commercial) : merge pays embed dans countryOptions (clients) + desc migration (ERP-116)

- edit.vue : countryOptions merge la valeur country deja stockee sur chaque
  adresse, comme les autres selects de l'ecran (resilience ERP-102 : le select
  ne se vide plus si /countries echoue ou si un pays est hors referentiel).
- new.vue : France garantie en fallback dans les options si /countries echoue
  (coherent avec la preselection par defaut du draft d'adresse).
- migration : getDescription corrigee (7 pays seedes, Suisse incluse).

config/version.yaml

@@ -1,2 +1,2 @@
 parameters:
-    app.version: '0.1.99'
+    app.version: '0.1.100'

frontend/modules/commercial/composables/__tests__/useClientReferentials.spec.ts

@@ -30,6 +30,10 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
             if (url === '/sites') {
                 return Promise.resolve({ member: [{ '@id': '/api/sites/1', name: 'Chatellerault', postalCode: '86100' }] })
             }
+            if (url === '/countries') {
+                // Pays : value === label === name (l'adresse stocke le nom).
+                return Promise.resolve({ member: [{ '@id': '/api/countries/1', code: 'FR', name: 'France' }] })
+            }
             return Promise.resolve({
                 member: [{ '@id': '/api/x/1', code: 'X', label: 'Libelle X' }],
             })
@@ -44,6 +48,8 @@ describe('useClientReferentials.loadCommon (resilience ERP-102)', () => {
         expect(refs.sites.value).toEqual([{ value: '/api/sites/1', label: '86' }])
         expect(refs.tvaModes.value).toEqual([{ value: '/api/x/1', label: 'Libelle X' }])
         expect(refs.banks.value).toEqual([{ value: '/api/x/1', label: 'Libelle X' }])
+        // Pays : value = nom du pays (et non l'IRI).
+        expect(refs.countries.value).toEqual([{ value: 'France', label: 'France' }])
 
         // Seul le select en echec reste vide.
         expect(refs.categories.value).toEqual([])

frontend/modules/commercial/composables/useClientReferentials.ts

@@ -3,7 +3,7 @@ import { ref } from 'vue'
 /**
  * Charge les referentiels (listes courtes) alimentant les selects de l'ecran
  * « Ajouter un client » : categories, sites, modes de TVA, delais et types de
- * reglement, banques, et les listes distributeurs / courtiers.
+ * reglement, banques, pays, et les listes distributeurs / courtiers.
  *
  * Toutes les collections sont recuperees en entier via l'echappatoire prevue
  * `?pagination=false` (referentiels de quelques dizaines d'entrees max), avec
@@ -57,6 +57,11 @@ interface ClientMember extends HydraMember {
     companyName: string
 }
 
+interface CountryMember extends HydraMember {
+    code: string
+    name: string
+}
+
 const LD_JSON_HEADERS = { Accept: 'application/ld+json' }
 
 export function useClientReferentials() {
@@ -68,6 +73,7 @@ export function useClientReferentials() {
     const paymentDelays = ref<RefOption[]>([])
     const paymentTypes = ref<PaymentTypeOption[]>([])
     const banks = ref<RefOption[]>([])
+    const countries = ref<RefOption[]>([])
     const distributors = ref<ClientOption[]>([])
     const brokers = ref<ClientOption[]>([])
 
@@ -116,6 +122,12 @@ export function useClientReferentials() {
                 .then((types) => { paymentTypes.value = types.map(t => ({ value: t['@id'], label: t.label, code: t.code })) }),
             fetchAll<ReferentialMember>('/banks')
                 .then((banksList) => { banks.value = banksList.map(b => ({ value: b['@id'], label: b.label })) }),
+            // Pays (ERP-116) : la valeur d'option est le NOM du pays (et non l'IRI),
+            // car l'adresse stocke `country` en chaine libre (« France »...). On
+            // conserve ainsi la compatibilite avec les adresses existantes sans FK
+            // ni migration de donnees a ce stade. value === label.
+            fetchAll<CountryMember>('/countries')
+                .then((list) => { countries.value = list.map(c => ({ value: c.name, label: c.name })) }),
         ])
     }
 
@@ -144,6 +156,7 @@ export function useClientReferentials() {
         paymentDelays,
         paymentTypes,
         banks,
+        countries,
         distributors,
         brokers,
         loadCommon,

frontend/modules/commercial/pages/clients/[id]/edit.vue

@@ -554,10 +554,21 @@ const contactOptions = computed<RefOption[]>(() =>
         })),
 )
 
-const countryOptions: RefOption[] = [
-    { value: 'France', label: 'France' },
-    { value: 'Espagne', label: 'Espagne' },
-]
+// Pays : referentiel `country` charge via l'API (ERP-116), en remplacement de
+// l'ancienne liste codee en dur. Valeur = nom du pays (l'adresse stocke
+// `country` en chaine libre, donc value === label). On merge la valeur deja
+// stockee sur chaque adresse (embed) — comme les autres selects de cet ecran —
+// pour ne pas vider le select si `/countries` echoue (resilience ERP-102) ou si
+// un pays historique n'appartient pas au referentiel.
+const embedCountryOptions = computed<RefOption[]>(() =>
+    mergeOptions([], (client.value?.addresses ?? [])
+        .map(a => a.country)
+        .filter((c): c is string => !!c)
+        .map(c => ({ value: c, label: c }))),
+)
+const countryOptions = computed<RefOption[]>(() =>
+    mergeOptions(referentials.countries.value, embedCountryOptions.value),
+)
 
 const relationOptions = computed<RefOption[]>(() => [
     { value: 'distributeur', label: t('commercial.clients.form.main.relationDistributor') },
@@ -956,35 +967,21 @@ function askRemoveRib(index: number): void {
 }
 
 /**
- * Valide l'onglet Comptabilite : PATCH des scalaires (groupe client:write:accounting,
- * exige accounting.manage cote back) PUIS DELETE/POST/PATCH des RIB sur la
- * sous-ressource. Aucun champ main/information dans le payload (mode strict
- * RG-1.28 : sinon 403 sur tout le payload).
+ * Valide l'onglet Comptabilite : POST/PATCH des RIB sur la sous-ressource PUIS
+ * PATCH des scalaires (groupe client:write:accounting, exige accounting.manage cote
+ * back) PUIS DELETE des RIB retires. Les RIB crees d'abord : le back valide RG-1.13
+ * (LCR => au moins un RIB persiste) sur le PATCH scalaires ; les suppressions en
+ * dernier (le guard back n'autorise la suppression du dernier RIB qu'une fois quitte
+ * LCR). Aucun champ main/information dans le payload (mode strict RG-1.28 : sinon
+ * 403 sur tout le payload).
  */
 async function submitAccounting(): Promise<void> {
     if (accountingReadonly.value || !canValidateAccounting.value || tabSubmitting.value) return
     tabSubmitting.value = true
     accountingErrors.clearErrors()
-    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
-    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
-    // des erreurs de RIB obsoletes affichees sous les blocs.
-    ribErrors.value = []
     try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
-        try {
-            await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
-        }
-        catch (error) {
-            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
-            return
-        }
-
-        for (const id of removedRibIds.value) {
-            await api.delete(`/client_ribs/${id}`, {}, { toast: false })
-        }
-        removedRibIds.value = []
-
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        // 1) POST/PATCH des RIB d'abord (erreurs inline par ligne, tous les blocs
+        // tentes). Le back exige >=1 RIB persiste pour valider une LCR a l'etape 2.
         // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
         // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
         const ribHasError = await submitRows(
@@ -1011,6 +1008,23 @@ async function submitAccounting(): Promise<void> {
             rib => rib.id === null && isRibBlank(rib),
         )
         if (ribHasError) return
+
+        // 2) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        try {
+            await api.patch(`/clients/${clientId}`, buildAccountingPayload(accounting, isBankRequired.value), { toast: false })
+        }
+        catch (error) {
+            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
+            return
+        }
+
+        // 3) DELETE des RIB retires : APRES le PATCH scalaires (si on quitte LCR, le
+        // guard back n'autorise la suppression du dernier RIB qu'une fois le type change).
+        for (const id of removedRibIds.value) {
+            await api.delete(`/client_ribs/${id}`, {}, { toast: false })
+        }
+        removedRibIds.value = []
+
         toast.success({ title: t('commercial.clients.toast.updateSuccess') })
     }
     catch (e) {

frontend/modules/commercial/pages/clients/[id]/index.vue

@@ -384,10 +384,18 @@ const relationOptions = computed<SelectOption[]>(() => [
     { value: 'courtier', label: t('commercial.clients.form.main.relationBroker') },
 ])
 
-const countryOptions: SelectOption[] = [
-    { value: 'France', label: 'France' },
-    { value: 'Espagne', label: 'Espagne' },
-]
+// Pays (ERP-116) : options construites depuis l'EMBED des adresses (jamais via
+// GET /countries, sur le meme principe que les autres selects de consultation
+// — en 403 pour les roles metier non-admin). Valeur = nom du pays stocke tel
+// quel dans l'adresse, donc value === label ; suffit a afficher le libelle en
+// lecture seule.
+const countryOptions = computed<SelectOption[]>(() =>
+    [...new Set(
+        (client.value?.addresses ?? [])
+            .map(a => a.country)
+            .filter((c): c is string => !!c),
+    )].map(c => ({ value: c, label: c })),
+)
 
 // Selects comptables : libelle issu de l'embed (option unique ou vide).
 const tvaModeOptions = computed(() => referentialOptionOf(client.value?.tvaMode))

frontend/modules/commercial/pages/clients/new.vue

@@ -783,11 +783,17 @@ const contactOptions = computed<RefOption[]>(() =>
         })),
 )
 
-// Pays disponibles (France preselectionnee par defaut sur chaque adresse).
-const countryOptions: RefOption[] = [
-    { value: 'France', label: 'France' },
-    { value: 'Espagne', label: 'Espagne' },
-]
+// Pays disponibles : referentiel `country` charge via l'API (ERP-116), en
+// remplacement de l'ancienne liste codee en dur. France reste preselectionnee
+// par defaut sur chaque adresse (cf. valeur initiale du draft d'adresse) : on
+// garantit donc sa presence en fallback si `/countries` echoue (resilience
+// ERP-102), pour ne pas afficher un select vide sur une valeur deja soumise.
+const countryOptions = computed<RefOption[]>(() => {
+    const list = referentials.countries.value
+    return list.some(c => c.value === 'France')
+        ? list
+        : [{ value: 'France', label: 'France' }, ...list]
+})
 
 // Type d'adresse (Select) obligatoire + RG-1.10 (>= 1 site) + RG-1.11 (email
 // facturation si Facturation) sur chaque adresse.
@@ -939,37 +945,20 @@ function askRemoveRib(index: number): void {
 }
 
 /**
- * Valide l'onglet Comptabilite : PATCH des scalaires (groupe client:write:accounting)
- * PUIS POST des RIB sur /clients/{id}/ribs. Deux appels distincts (mode strict
- * RG-1.28 : il n'existe pas d'endpoint /accounting, cf. recon back).
+ * Valide l'onglet Comptabilite : POST/PATCH des RIB sur /clients/{id}/ribs PUIS
+ * PATCH des scalaires (groupe client:write:accounting). Les RIB d'abord : le back
+ * valide RG-1.13 (LCR => au moins un RIB persiste) sur le PATCH scalaires, les RIB
+ * doivent donc exister en base AVANT (sinon 422 « Au moins un RIB est obligatoire
+ * pour le type de reglement LCR »). Deux appels distincts (mode strict RG-1.28 :
+ * il n'existe pas d'endpoint /accounting, cf. recon back).
  */
 async function submitAccounting(): Promise<void> {
     if (clientId.value === null || !canValidateAccounting.value || tabSubmitting.value) return
     tabSubmitting.value = true
     accountingErrors.clearErrors()
-    // Reset des erreurs RIB des le debut : l'etape 1 (PATCH scalaires) peut
-    // echouer et `return` avant submitRows (qui porte sinon le reset), laissant
-    // des erreurs de RIB obsoletes affichees sous les blocs.
-    ribErrors.value = []
     try {
-        // 1) PATCH des scalaires comptables (erreurs inline sur leurs champs).
-        try {
-            await api.patch(`/clients/${clientId.value}`, {
-                siren: accounting.siren || null,
-                accountNumber: accounting.accountNumber || null,
-                tvaMode: accounting.tvaModeIri,
-                nTva: accounting.nTva || null,
-                paymentDelay: accounting.paymentDelayIri,
-                paymentType: accounting.paymentTypeIri,
-                bank: isBankRequired.value ? accounting.bankIri : null,
-            }, { toast: false })
-        }
-        catch (error) {
-            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
-            return
-        }
-
-        // 2) POST/PATCH des RIB (erreurs inline par ligne, tous les blocs tentes).
+        // 1) POST/PATCH des RIB d'abord (erreurs inline par ligne, tous les blocs
+        // tentes). Le back exige >=1 RIB persiste pour valider une LCR a l'etape 2.
         // Seuls les blocs RIB TOTALEMENT vides sont ignores : un RIB partiel (ex.
         // IBAN seul) est soumis -> 422 NotBlank (label / bic / iban) inline.
         const ribHasError = await submitRows(
@@ -997,6 +986,23 @@ async function submitAccounting(): Promise<void> {
         )
         if (ribHasError) return
 
+        // 2) PATCH des scalaires comptables (erreurs inline sur leurs champs).
+        try {
+            await api.patch(`/clients/${clientId.value}`, {
+                siren: accounting.siren || null,
+                accountNumber: accounting.accountNumber || null,
+                tvaMode: accounting.tvaModeIri,
+                nTva: accounting.nTva || null,
+                paymentDelay: accounting.paymentDelayIri,
+                paymentType: accounting.paymentTypeIri,
+                bank: isBankRequired.value ? accounting.bankIri : null,
+            }, { toast: false })
+        }
+        catch (error) {
+            accountingErrors.handleApiError(error, { fallbackMessage: t('commercial.clients.toast.error') })
+            return
+        }
+
         completeTab('accounting')
         toast.success({ title: t('commercial.clients.toast.updateSuccess') })
     }

migrations/Version20260609100000.php

@@ -0,0 +1,102 @@
+<?php
+
+declare(strict_types=1);
+
+namespace DoctrineMigrations;
+
+use Doctrine\DBAL\Schema\Schema;
+use Doctrine\Migrations\AbstractMigration;
+
+/**
+ * ERP-116 — Referentiel Pays (Country), 1re iteration : creation de la table
+ * `country` + seed des 7 pays (France, Allemagne, Belgique, Espagne, Italie,
+ * Royaume-Uni, Suisse). Devient la source unique du select pays, en
+ * remplacement de la liste codee en dur cote front.
+ *
+ * Perimetre minimal voulu : code ISO 3166-1 alpha-2 + libelle FR + ordre
+ * d'affichage UNIQUEMENT. Aucune longueur bancaire/fiscale (numero de compte,
+ * IBAN, TVA, BIC, SIREN) a ce stade — iteration ulterieure du meme ticket.
+ *
+ * Pas de FK posee sur les adresses (client_address.country / supplier_address)
+ * a cette etape : ces colonnes restent des chaines libres (« France »...), donc
+ * aucune migration de donnees ni rupture de l'existant.
+ *
+ * Namespace racine `DoctrineMigrations` (regle ABSOLUE Starseed n°11) comme les
+ * migrations M1/M2 du module Commercial : pas de migrations_path modulaire
+ * configure pour Commercial, et le tri par timestamp reste garanti.
+ *
+ * Seed idempotent `ON CONFLICT (code) DO NOTHING` : la table peut deja porter
+ * des donnees en prod lors d'un rejeu. Chaque colonne porte un `COMMENT ON
+ * COLUMN` (regle ABSOLUE n°12, garde-fou ColumnsHaveSqlCommentTest) ; la table
+ * est aussi mirroree dans ColumnCommentsCatalog pour survivre au
+ * `schema:update --force` du setup de test.
+ */
+final class Version20260609100000 extends AbstractMigration
+{
+    public function getDescription(): string
+    {
+        return 'ERP-116 : table country (referentiel pays) + seed des 7 pays.';
+    }
+
+    public function up(Schema $schema): void
+    {
+        $this->addSql(<<<'SQL'
+            CREATE TABLE country (
+                id INT GENERATED BY DEFAULT AS IDENTITY NOT NULL,
+                code VARCHAR(2) NOT NULL,
+                name VARCHAR(80) NOT NULL,
+                position INT DEFAULT 0 NOT NULL,
+                PRIMARY KEY (id)
+            )
+            SQL);
+        $this->addSql('CREATE UNIQUE INDEX uq_country_code ON country (code)');
+
+        $this->comment('country', '_table', 'Referentiel des pays selectionnables dans les adresses (clients/fournisseurs). Perimetre minimal : code ISO + libelle + ordre (pas de longueurs bancaires/fiscales).');
+        $this->comment('country', 'id', 'Identifiant interne auto-incremente.');
+        $this->comment('country', 'code', 'Code pays ISO 3166-1 alpha-2 (2 lettres MAJUSCULES, ex: FR) — unique (uq_country_code), fige a la creation.');
+        $this->comment('country', 'name', 'Libelle FR du pays (≤ 80 caracteres) — valeur stockee telle quelle dans les adresses (country en chaine libre a ce stade).');
+        $this->comment('country', 'position', 'Ordre d affichage croissant dans le selecteur pays (tri position ASC puis name ASC ; France en tete).');
+
+        // Seed initial. France en tete (position 10) puis ordre alphabetique.
+        // Table fraichement creee, mais ON CONFLICT pour rejouabilite en prod.
+        $this->addSql(<<<'SQL'
+            INSERT INTO country (code, name, position) VALUES
+                ('FR', 'France',       10),
+                ('DE', 'Allemagne',    20),
+                ('BE', 'Belgique',     30),
+                ('ES', 'Espagne',      40),
+                ('IT', 'Italie',       50),
+                ('GB', 'Royaume-Uni',  60),
+                ('CH', 'Suisse',       70)
+            ON CONFLICT (code) DO NOTHING
+            SQL);
+    }
+
+    public function down(Schema $schema): void
+    {
+        $this->addSql('DROP TABLE country');
+    }
+
+    /**
+     * Pose un `COMMENT ON TABLE` (colonne speciale `_table`) ou
+     * `COMMENT ON COLUMN`. Quoting defensif des identifiants + delimiteur $_$
+     * pour ne pas casser sur les apostrophes des descriptions.
+     */
+    private function comment(string $table, string $column, string $description): void
+    {
+        $quotedTable = '"'.str_replace('"', '""', $table).'"';
+
+        if ('_table' === $column) {
+            $this->addSql(sprintf('COMMENT ON TABLE %s IS $_$%s$_$', $quotedTable, $description));
+
+            return;
+        }
+
+        $this->addSql(sprintf(
+            'COMMENT ON COLUMN %s.%s IS $_$%s$_$',
+            $quotedTable,
+            '"'.str_replace('"', '""', $column).'"',
+            $description,
+        ));
+    }
+}

src/Module/Commercial/Domain/Entity/ClientRib.php

@@ -31,8 +31,8 @@ use Symfony\Component\Validator\Constraints as Assert;
  * comptable et la conformite, cf. spec § 2.5 / § 6.1).
  *
  * Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony au M1
- * (HP-M2-14 : pas de controle externe banque reelle). Timestampable/Blamable
- * standard.
+ * (HP-M2-14 : pas de controle externe banque reelle), avec controle croise pays
+ * BIC/IBAN (ibanPropertyPath). Timestampable/Blamable standard.
  *
  * Sous-ressource API (ERP-57, spec § 4.5) — gating comptable renforce :
  *  - POST /api/clients/{clientId}/ribs : creation rattachee au client parent
@@ -109,9 +109,15 @@ class ClientRib implements TimestampableInterface, BlamableInterface
 
     // Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
     // redondant calee sur la colonne (whitelist du garde-fou ERP-107).
+    // ibanPropertyPath : controle croise — le pays du BIC (positions 5-6) doit
+    // correspondre au pays de l'IBAN (positions 1-2). Violation portee sur `bic`.
     #[ORM\Column(length: 20)]
     #[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
-    #[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
+    #[Assert\Bic(
+        message: 'Le BIC n\'est pas valide.',
+        ibanPropertyPath: 'iban',
+        ibanMessage: 'Le BIC ne correspond pas au pays de l\'IBAN.',
+    )]
     #[Groups(['client_rib:read', 'client:read:accounting', 'client_rib:write'])]
     private ?string $bic = null;
 

src/Module/Commercial/Domain/Entity/Country.php

@@ -0,0 +1,109 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Commercial\Domain\Entity;
+
+use ApiPlatform\Metadata\ApiResource;
+use ApiPlatform\Metadata\Get;
+use ApiPlatform\Metadata\GetCollection;
+use App\Module\Commercial\Infrastructure\Doctrine\DoctrineCountryRepository;
+use Doctrine\ORM\Mapping as ORM;
+use Symfony\Component\Serializer\Attribute\Groups;
+
+/**
+ * Pays selectionnable dans les adresses (clients / fournisseurs) : referentiel
+ * statique seede par la migration (France, Allemagne, Belgique, Espagne, Italie,
+ * Royaume-Uni). Remplace la liste de pays jusqu'ici codee en dur cote front.
+ *
+ * Perimetre minimal (ticket ERP-116, 1re iteration) : code ISO + libelle + ordre
+ * d'affichage uniquement. AUCUNE longueur bancaire/fiscale (numero de compte,
+ * IBAN, TVA, BIC, SIREN) a ce stade — ces colonnes feront l'objet d'une iteration
+ * ulterieure du meme ticket.
+ *
+ * Lecture seule : GetCollection + Get uniquement ; POST/PATCH/DELETE -> 405.
+ * Permission alignee sur Bank (referentiel d'adresse partage clients/fournisseurs).
+ * Pas de Timestampable/Blamable (referentiel statique whiteliste dans
+ * EntitiesAreTimestampableBlamableTest::EXCLUDED, comme Bank).
+ */
+#[ApiResource(
+    operations: [
+        new GetCollection(
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            normalizationContext: ['groups' => ['country:read']],
+            // Tri par defaut : position ASC (France en tete) puis name ASC.
+            order: ['position' => 'ASC', 'name' => 'ASC'],
+            // Toggle ?pagination=false pour alimenter le select (cf. Bank).
+            paginationClientEnabled: true,
+        ),
+        new Get(
+            security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+            normalizationContext: ['groups' => ['country:read']],
+        ),
+    ],
+    security: "is_granted('commercial.clients.view') or is_granted('commercial.suppliers.view')",
+)]
+#[ORM\Entity(repositoryClass: DoctrineCountryRepository::class)]
+#[ORM\Table(name: 'country')]
+#[ORM\UniqueConstraint(name: 'uq_country_code', columns: ['code'])]
+class Country
+{
+    #[ORM\Id]
+    #[ORM\GeneratedValue]
+    #[ORM\Column]
+    #[Groups(['country:read'])]
+    private ?int $id = null;
+
+    #[ORM\Column(length: 2)]
+    #[Groups(['country:read'])]
+    private ?string $code = null;
+
+    #[ORM\Column(length: 80)]
+    #[Groups(['country:read'])]
+    private ?string $name = null;
+
+    #[ORM\Column(options: ['default' => 0])]
+    #[Groups(['country:read'])]
+    private int $position = 0;
+
+    public function getId(): ?int
+    {
+        return $this->id;
+    }
+
+    public function getCode(): ?string
+    {
+        return $this->code;
+    }
+
+    public function setCode(string $code): static
+    {
+        $this->code = $code;
+
+        return $this;
+    }
+
+    public function getName(): ?string
+    {
+        return $this->name;
+    }
+
+    public function setName(string $name): static
+    {
+        $this->name = $name;
+
+        return $this;
+    }
+
+    public function getPosition(): int
+    {
+        return $this->position;
+    }
+
+    public function setPosition(int $position): static
+    {
+        $this->position = $position;
+
+        return $this;
+    }
+}

src/Module/Commercial/Domain/Entity/SupplierRib.php

@@ -44,7 +44,8 @@ use Symfony\Component\Validator\Constraints as Assert;
  * Tout passe par le SupplierRibProcessor (RG-2.08 sur DELETE).
  *
  * Validation IBAN/BIC : Assert\Iban + Assert\Bic standard Symfony (pas de controle
- * banque reelle). Audite (#[Auditable]) + Timestampable / Blamable.
+ * banque reelle), avec controle croise pays BIC/IBAN (ibanPropertyPath). Audite
+ * (#[Auditable]) + Timestampable / Blamable.
  */
 #[ApiResource(
     operations: [
@@ -105,9 +106,15 @@ class SupplierRib implements TimestampableInterface, BlamableInterface
 
     // Bic/Iban bornent deja le format (et donc la longueur) : pas de Length
     // redondant calee sur la colonne (auto-exempte du miroir ERP-107).
+    // ibanPropertyPath : controle croise — le pays du BIC (positions 5-6) doit
+    // correspondre au pays de l'IBAN (positions 1-2). Violation portee sur `bic`.
     #[ORM\Column(length: 20)]
     #[Assert\NotBlank(message: 'Le BIC est obligatoire.', normalizer: 'trim')]
-    #[Assert\Bic(message: 'Le BIC n\'est pas valide.')]
+    #[Assert\Bic(
+        message: 'Le BIC n\'est pas valide.',
+        ibanPropertyPath: 'iban',
+        ibanMessage: 'Le BIC ne correspond pas au pays de l\'IBAN.',
+    )]
     #[Groups(['supplier:read:accounting', 'supplier:write:accounting'])]
     private ?string $bic = null;
 

src/Module/Commercial/Domain/Repository/CountryRepositoryInterface.php

@@ -0,0 +1,19 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Commercial\Domain\Repository;
+
+use App\Module\Commercial\Domain\Entity\Country;
+
+interface CountryRepositoryInterface
+{
+    public function findById(int $id): ?Country;
+
+    /**
+     * Retourne tous les pays tries position ASC puis name ASC.
+     *
+     * @return list<Country>
+     */
+    public function findAllOrdered(): array;
+}

src/Module/Commercial/Infrastructure/DataFixtures/CommercialReferentialFixtures.php

@@ -5,6 +5,7 @@ declare(strict_types=1);
 namespace App\Module\Commercial\Infrastructure\DataFixtures;
 
 use App\Module\Commercial\Domain\Entity\Bank;
+use App\Module\Commercial\Domain\Entity\Country;
 use App\Module\Commercial\Domain\Entity\PaymentDelay;
 use App\Module\Commercial\Domain\Entity\PaymentType;
 use App\Module\Commercial\Domain\Entity\TvaMode;
@@ -14,10 +15,11 @@ use Doctrine\Persistence\ObjectManager;
 /**
  * Fixtures du module Commercial : re-seed des 4 referentiels comptables
  * (tva_mode, payment_delay, payment_type, bank) seedes par la migration M1
- * (Version20260601000000).
+ * (Version20260601000000) + du referentiel pays (country) seede par la
+ * migration ERP-116 (Version20260609100000).
  *
- * Pourquoi cette fixture EN PLUS du seed de la migration : depuis ERP-54 ces
- * 4 tables sont des entites managees par l'ORM, donc le purger Doctrine les
+ * Pourquoi cette fixture EN PLUS du seed de la migration : ces tables sont des
+ * entites managees par l'ORM, donc le purger Doctrine les
  * vide avant chaque `doctrine:fixtures:load`. Sans cette fixture, les
  * referentiels seedes par la migration disparaitraient apres `make db-reset`
  * (0 ligne en dev/test) — cassant les FK Client -> referentiels et les tests
@@ -59,15 +61,54 @@ class CommercialReferentialFixtures extends Fixture
         ],
     ];
 
+    /**
+     * Referentiel pays (ERP-116) : code ISO alpha-2 => [name, position].
+     * Doit rester aligne sur le seed de la migration Version20260609100000.
+     * Traite a part car Country porte `name` (et non `label`).
+     *
+     * @var array<string, array{string, int}>
+     */
+    private const COUNTRIES = [
+        'FR' => ['France', 10],
+        'DE' => ['Allemagne', 20],
+        'BE' => ['Belgique', 30],
+        'ES' => ['Espagne', 40],
+        'IT' => ['Italie', 50],
+        'GB' => ['Royaume-Uni', 60],
+        'CH' => ['Suisse', 70],
+    ];
+
     public function load(ObjectManager $manager): void
     {
         foreach (self::REFERENTIALS as $entityClass => $rows) {
             $this->seedReferential($manager, $entityClass, $rows);
         }
 
+        $this->seedCountries($manager);
+
         $manager->flush();
     }
 
+    /**
+     * Upsert idempotent du referentiel pays (lookup par code). Distinct de
+     * seedReferential car Country utilise setName au lieu de setLabel.
+     */
+    private function seedCountries(ObjectManager $manager): void
+    {
+        $existingByCode = [];
+        foreach ($manager->getRepository(Country::class)->findAll() as $country) {
+            $existingByCode[$country->getCode()] = $country;
+        }
+
+        foreach (self::COUNTRIES as $code => [$name, $position]) {
+            $country = $existingByCode[$code] ?? new Country();
+            $country->setCode($code);
+            $country->setName($name);
+            $country->setPosition($position);
+            $manager->persist($country);
+        }
+    }
+
     /**
      * Upsert idempotent d'un referentiel : indexe l'existant par code puis
      * cree/met a jour chaque entree. Les 4 entites partagent le meme contrat

src/Module/Commercial/Infrastructure/Doctrine/DoctrineCountryRepository.php

@@ -0,0 +1,36 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Module\Commercial\Infrastructure\Doctrine;
+
+use App\Module\Commercial\Domain\Entity\Country;
+use App\Module\Commercial\Domain\Repository\CountryRepositoryInterface;
+use Doctrine\Bundle\DoctrineBundle\Repository\ServiceEntityRepository;
+use Doctrine\Persistence\ManagerRegistry;
+
+/**
+ * @extends ServiceEntityRepository<Country>
+ */
+class DoctrineCountryRepository extends ServiceEntityRepository implements CountryRepositoryInterface
+{
+    public function __construct(ManagerRegistry $registry)
+    {
+        parent::__construct($registry, Country::class);
+    }
+
+    public function findById(int $id): ?Country
+    {
+        return $this->find($id);
+    }
+
+    public function findAllOrdered(): array
+    {
+        return $this->createQueryBuilder('c')
+            ->orderBy('c.position', 'ASC')
+            ->addOrderBy('c.name', 'ASC')
+            ->getQuery()
+            ->getResult()
+        ;
+    }
+}

src/Shared/Infrastructure/Database/ColumnCommentsCatalog.php

@@ -170,6 +170,14 @@ final class ColumnCommentsCatalog
                 'position' => 'Ordre d affichage croissant dans les selecteurs (tri position ASC puis label ASC).',
             ],
 
+            'country' => [
+                '_table'   => 'Referentiel des pays selectionnables dans les adresses (clients/fournisseurs). Perimetre minimal : code ISO + libelle + ordre (pas de longueurs bancaires/fiscales).',
+                'id'       => 'Identifiant interne auto-incremente.',
+                'code'     => 'Code pays ISO 3166-1 alpha-2 (2 lettres MAJUSCULES, ex: FR) — unique (uq_country_code), fige a la creation.',
+                'name'     => 'Libelle FR du pays (≤ 80 caracteres) — valeur stockee telle quelle dans les adresses (country en chaine libre a ce stade).',
+                'position' => 'Ordre d affichage croissant dans le selecteur pays (tri position ASC puis name ASC ; France en tete).',
+            ],
+
             'client' => [
                 '_table'       => 'Repertoire clients (M1 Commercial) — entites archivables (is_archived) et soft-deletables (deleted_at, HP M2).',
                 'id'           => 'Identifiant interne auto-incremente.',

tests/Architecture/EntitiesAreTimestampableBlamableTest.php

@@ -6,6 +6,7 @@ namespace App\Tests\Architecture;
 
 use App\Module\Catalog\Domain\Entity\CategoryType;
 use App\Module\Commercial\Domain\Entity\Bank;
+use App\Module\Commercial\Domain\Entity\Country;
 use App\Module\Commercial\Domain\Entity\PaymentDelay;
 use App\Module\Commercial\Domain\Entity\PaymentType;
 use App\Module\Commercial\Domain\Entity\TvaMode;
@@ -58,6 +59,8 @@ final class EntitiesAreTimestampableBlamableTest extends TestCase
      *   CommercialReferentialFixtures, lecture seule au M1 (HP-M2-2). Pas de
      *   tracabilite user-driven, meme justification que CategoryType. Cf.
      *   spec-back M1 § 2.6 + § 3.5.
+     * - Country (ERP-116) : referentiel statique des pays (id/code/name/position),
+     *   seede par migration, lecture seule. Meme justification que Bank.
      *
      * Les futurs referentiels statiques s'ajoutent ici avec une justification.
      */
@@ -71,6 +74,7 @@ final class EntitiesAreTimestampableBlamableTest extends TestCase
         PaymentDelay::class,
         PaymentType::class,
         Bank::class,
+        Country::class,
     ];
 
     public function testAllBusinessEntitiesImplementBothInterfaces(): void

tests/Module/Commercial/Api/AbstractSupplierApiTestCase.php

@@ -51,6 +51,9 @@ abstract class AbstractSupplierApiTestCase extends AbstractCommercialApiTestCase
     /** IBAN/BIC valides (Assert\Iban / Assert\Bic) reutilises par les seeds. */
     protected const string VALID_IBAN = 'FR1420041010050500013M02606';
     protected const string VALID_BIC  = 'BNPAFRPPXXX';
+    // BIC allemand valide isolement (pays DE en positions 5-6) : sert au controle
+    // croise pays BIC/IBAN (DE vs IBAN FR -> mismatch, cf. Assert\Bic ibanPropertyPath).
+    protected const string FOREIGN_BIC = 'DEUTDEFFXXX';
 
     protected function tearDown(): void
     {
@@ -295,6 +298,26 @@ abstract class AbstractSupplierApiTestCase extends AbstractCommercialApiTestCase
         return $this->referential(Bank::class, $code);
     }
 
+    /**
+     * Indexe les violations d'un corps de reponse 422 par propertyPath. Permet
+     * d'asserter qu'un 422 porte bien sur le champ attendu (et n'est pas un 422
+     * orthogonal) : un test qui se contente du code 422 passerait meme si la RG
+     * visee etait cassee pour une autre raison.
+     *
+     * @param array<string, mixed> $body corps decode de la reponse (toArray(false))
+     *
+     * @return array<string, string> propertyPath => message
+     */
+    protected function violationsByPath(array $body): array
+    {
+        $byPath = [];
+        foreach ($body['violations'] ?? [] as $v) {
+            $byPath[$v['propertyPath']] = $v['message'];
+        }
+
+        return $byPath;
+    }
+
     /**
      * Recupere un referentiel comptable seede (CommercialReferentialFixtures) par
      * code. Echoue explicitement si absent (fixtures non chargees).
@@ -316,24 +339,4 @@ abstract class AbstractSupplierApiTestCase extends AbstractCommercialApiTestCase
 
         return $entity;
     }
-
-    /**
-     * Indexe les violations d'un corps de reponse 422 par propertyPath. Permet
-     * d'asserter qu'un 422 porte bien sur le champ attendu (et n'est pas un 422
-     * orthogonal) : un test qui se contente du code 422 passerait meme si la RG
-     * visee etait cassee pour une autre raison.
-     *
-     * @param array<string, mixed> $body corps decode de la reponse (toArray(false))
-     *
-     * @return array<string, string> propertyPath => message
-     */
-    protected function violationsByPath(array $body): array
-    {
-        $byPath = [];
-        foreach ($body['violations'] ?? [] as $v) {
-            $byPath[$v['propertyPath']] = $v['message'];
-        }
-
-        return $byPath;
-    }
 }

tests/Module/Commercial/Api/ClientSubResourceApiTest.php

@@ -27,6 +27,9 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
     private const string MERGE      = 'application/merge-patch+json';
     private const string VALID_IBAN = 'FR1420041010050500013M02606';
     private const string VALID_BIC  = 'BNPAFRPPXXX';
+    // BIC allemand valide isolement (pays DE en positions 5-6) : sert au controle
+    // croise pays BIC/IBAN (DE vs IBAN FR -> mismatch, cf. Assert\Bic ibanPropertyPath).
+    private const string FOREIGN_BIC = 'DEUTDEFFXXX';
 
     // === Contacts ===
 
@@ -359,6 +362,35 @@ final class ClientSubResourceApiTest extends AbstractCommercialApiTestCase
         self::assertResponseStatusCodeSame(422);
     }
 
+    /**
+     * Controle croise pays BIC/IBAN (Assert\Bic ibanPropertyPath) : un BIC (DE) et
+     * un IBAN (FR) valides isolement mais de pays differents -> 422. La violation
+     * porte propertyPath=bic et le message FR `ibanMessage` (mapping inline front).
+     */
+    public function testPostRibWithBicIbanCountryMismatchReturns422WithFrenchMessageOnBic(): void
+    {
+        $client = $this->createAdminClient();
+        $seed   = $this->seedClient('Rib Pays Mismatch');
+
+        $response = $client->request('POST', '/api/clients/'.$seed->getId().'/ribs', [
+            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
+            'json'    => [
+                'label' => 'Compte incoherent',
+                'bic'   => self::FOREIGN_BIC,
+                'iban'  => self::VALID_IBAN,
+            ],
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        $byPath = [];
+        foreach ($response->toArray(false)['violations'] ?? [] as $v) {
+            $byPath[$v['propertyPath']] = $v['message'];
+        }
+
+        self::assertArrayHasKey('bic', $byPath, 'Le mismatch pays BIC/IBAN doit porter propertyPath=bic (mapping front).');
+        self::assertSame('Le BIC ne correspond pas au pays de l\'IBAN.', $byPath['bic']);
+    }
+
     /**
      * Regression ERP-110 : POST d'un RIB sur un client qui en a DEJA >= 2 ne doit
      * pas exploser en 500 (NonUniqueResult sur la resolution du parent). L'admin

tests/Module/Commercial/Api/ReferentialApiTest.php

@@ -241,6 +241,72 @@ final class ReferentialApiTest extends AbstractCommercialApiTestCase
         self::assertResponseStatusCodeSame(401);
     }
 
+    /**
+     * Referentiel pays (ERP-116) — teste a part des 4 referentiels comptables
+     * car il expose `name` (et non `label`). Memes garanties : 200 + seed des 7
+     * pays, France en tete (position ASC), lecture seule (405), gating (403/401).
+     */
+    public function testCountriesCollectionReturns200WithSeed(): void
+    {
+        $client   = $this->createAdminClient();
+        $response = $client->request('GET', '/api/countries?pagination=false', ['headers' => ['Accept' => self::LD]]);
+
+        self::assertResponseStatusCodeSame(200);
+
+        $members = $response->toArray()['member'];
+        $codes   = array_map(static fn (array $m): string => $m['code'], $members);
+
+        foreach (['FR', 'DE', 'BE', 'ES', 'IT', 'GB', 'CH'] as $expected) {
+            self::assertContains($expected, $codes, '/api/countries doit exposer le pays seede '.$expected);
+        }
+
+        // Le DTO de lecture expose id / code / name / position.
+        $first = $members[0];
+        self::assertArrayHasKey('id', $first);
+        self::assertArrayHasKey('name', $first);
+        self::assertArrayHasKey('position', $first);
+        // Tri par defaut position ASC : France (position 10) en tete.
+        self::assertSame('FR', $first['code'], 'France (FR) doit etre en tete (position 10, tri position ASC).');
+    }
+
+    public function testCountriesGetItemReturns200(): void
+    {
+        $client = $this->createAdminClient();
+
+        $first = $client->request('GET', '/api/countries?pagination=false', ['headers' => ['Accept' => self::LD]])
+            ->toArray()['member'][0]
+        ;
+
+        $client->request('GET', '/api/countries/'.$first['id'], ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(200);
+    }
+
+    public function testCountriesPostReturns405(): void
+    {
+        $client = $this->createAdminClient();
+        $client->request('POST', '/api/countries', [
+            'headers' => ['Content-Type' => self::LD],
+            'json'    => ['code' => 'XX', 'name' => 'Pays X', 'position' => 1],
+        ]);
+        self::assertResponseStatusCodeSame(405);
+    }
+
+    public function testCountriesForbiddenWithoutPermission(): void
+    {
+        $creds  = $this->createUserWithPermission('core.users.view');
+        $client = $this->authenticatedClient($creds['username'], $creds['password']);
+
+        $client->request('GET', '/api/countries', ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(403);
+    }
+
+    public function testCountriesUnauthorizedWhenAnonymous(): void
+    {
+        $client = self::createClient();
+        $client->request('GET', '/api/countries', ['headers' => ['Accept' => self::LD]]);
+        self::assertResponseStatusCodeSame(401);
+    }
+
     /**
      * @return iterable<string, array{string, list<string>}>
      */

tests/Module/Commercial/Api/SupplierSubResourceApiTest.php

@@ -294,6 +294,27 @@ final class SupplierSubResourceApiTest extends AbstractSupplierApiTestCase
         self::assertResponseStatusCodeSame(422);
     }
 
+    /**
+     * Controle croise pays BIC/IBAN (Assert\Bic ibanPropertyPath) : un BIC (DE) et
+     * un IBAN (FR) valides isolement mais de pays differents -> 422. La violation
+     * porte propertyPath=bic et le message FR `ibanMessage` (mapping inline front).
+     */
+    public function testPostRibWithBicIbanCountryMismatchReturns422WithFrenchMessageOnBic(): void
+    {
+        $client = $this->createAdminClient();
+        $seed   = $this->seedSupplier('Rib Pays Mismatch');
+
+        $response = $client->request('POST', '/api/suppliers/'.$seed->getId().'/ribs', [
+            'headers' => ['Content-Type' => self::LD, 'Accept' => self::LD],
+            'json'    => ['label' => 'Compte incoherent', 'bic' => self::FOREIGN_BIC, 'iban' => self::VALID_IBAN],
+        ]);
+
+        self::assertResponseStatusCodeSame(422);
+        $byPath = $this->violationsByPath($response->toArray(false));
+        self::assertArrayHasKey('bic', $byPath, 'Le mismatch pays BIC/IBAN doit porter propertyPath=bic (mapping front).');
+        self::assertSame('Le BIC ne correspond pas au pays de l\'IBAN.', $byPath['bic']);
+    }
+
     public function testDeleteRibNonLcrReturns204(): void
     {
         $client = $this->createAdminClient();