docs: Marquer tâche #116 comme terminée (Remarque sous adresse)

La fonctionnalité d'affichage de la remarque dans la première card du passage_form_dialog.dart était déjà implémentée (lignes 703-719). Affichage inclut: - Icône Icons.note - Texte en italique - Style grisé (opacité 0.7) - Condition d'affichage si remarque non vide 🤖 Generated with [Claude Code](https://claude.com/claude-code) Co-Authored-By: Claude <noreply@anthropic.com>
docs: Marquer les tâches #76 et le bug de purge Hive comme terminés
2026-01-26 17:55:34 +01:00 · 2026-01-26 17:42:33 +01:00 · 2026-01-26 17:29:56 +01:00 · 2026-01-26 17:18:51 +01:00 · 2026-01-26 17:06:00 +01:00 · 2026-01-26 17:01:46 +01:00
3437 changed files with 509536 additions and 33773 deletions
--- a/.gitignore
+++ b/.gitignore
@@ -20,6 +20,12 @@ web/storage/*.key
 web/public/storage
 web/public/hot
 # API
 api/sessions/
 api/logs/
 api/uploads/
 api/vendor/
 # Général
 *.DS_Store
 *.log
--- a/CHANGELOG-v3.1.6.md
+++ b/CHANGELOG-v3.1.6.md
@@ -0,0 +1,40 @@
 # Changelog Version 3.1.6
 ## Date: 2025-08-21
 ### Améliorations des flux de passages
 #### Interfaces utilisateur
 - Optimisation de l'affichage des listes de passages
 - Amélioration de l'ergonomie de navigation
 - Ajout de filtres avancés pour la recherche de passages
 - Mise à jour de l'interface responsive mobile
 #### Flux de création
 - Simplification du processus de création de passage
 - Validation en temps réel des données saisies
 - Ajout de modèles de passages prédéfinis
 - Amélioration de la gestion des erreurs
 #### Flux de consultation
 - Affichage optimisé des détails de passage
 - Historique complet des modifications
 - Export des données en plusieurs formats
 - Amélioration des performances de chargement
 #### Flux de modification
 - Interface de modification intuitive
 - Suivi des changements avec comparaison avant/après
 - Validation multi-niveaux des modifications
 - Notifications automatiques des mises à jour
 ### Corrections de bugs
 - Correction de l'affichage sur écrans de petite taille
 - Résolution des problèmes de synchronisation
 - Amélioration de la stabilité générale
 ### Améliorations techniques
 - Optimisation des requêtes base de données
 - Mise en cache des données fréquemment consultées
 - Amélioration des temps de réponse API
 - Refactoring du code pour une meilleure maintenabilité
--- a/CLAUDE.md
+++ b/CLAUDE.md
@@ -10,6 +10,11 @@ This file provides guidance to Claude Code (claude.ai/code) when working with co
 - Web: `cd web && npm run dev` - run Svelte dev server
 - Web build: `cd web && npm run build` - build web app for production
 ## Post-modification checks (OBLIGATOIRE)
 After modifying any code file, run the appropriate linter:
 - Dart/Flutter: `cd app && flutter analyze [modified_files]`
 - PHP: `php -l [modified_file]` (syntax check)
 ## Code Style Guidelines
 - Flutter/Dart: Follow Flutter lint rules in analysis_options.yaml
 - Naming: camelCase for variables/methods, PascalCase for classes/enums
--- a/CONTEXT-AI.md
+++ b/CONTEXT-AI.md
@@ -120,36 +120,115 @@
 ### Branches GitLab
- **main/master**: [Production-ready code]
+- **main**: Code stable prêt pour la production
- **develop**: [Integration branch for features]
+- **develop**: Branche d'intégration pour les fonctionnalités en cours de développement
- **feature/[feature-name]**: [Feature development]
+- **feature/[feature-name]**: Branches de développement pour les nouvelles fonctionnalités
- **bugfix/[bug-name]**: [Bug fixes]
+  - Exemple: `feature/geolocalisation-casernes` pour l'ajout de la géolocalisation des casernes
- **release/[version]**: [Release preparation]
+- **bugfix/[bug-name]**: Branches pour les corrections de bugs
 - **release/[version]**: Branches de préparation des versions
 ### Processus de Merge Request
-1. [Créer une branche à partir de develop]
+1. Créer une branche à partir de `main` ou `develop` selon la nature du changement
-2. [Développer la fonctionnalité/correction]
+
-3. [Soumettre une MR vers develop]
+   ```bash
-4. [Code review]
+   git checkout -b feature/nom-de-la-fonctionnalite main
-5. [CI/CD validation]
+   ```
-6. [Merge]
+
 2. Développer la fonctionnalité ou correction avec des commits atomiques
   ```bash
   git add fichier1 fichier2
   git commit -m "Description claire du changement"
   ```
 3. Pousser la branche vers le dépôt distant
   ```bash
   git push -u origin feature/nom-de-la-fonctionnalite
   ```
 4. Créer une Merge Request via l'interface GitLab ou en utilisant l'URL fournie
   - URL: `http://51.68.36.203/d6soft/geosector/-/merge_requests/new?merge_request%5Bsource_branch%5D=feature/nom-de-la-fonctionnalite`
 5. Attendre la revue de code et les validations CI/CD
 6. Une fois approuvée, fusionner la branche:
   ```bash
   git checkout main
   git merge feature/nom-de-la-fonctionnalite
   git push origin main
   ```
 ### CI/CD Pipeline
-[Description de votre pipeline CI/CD dans GitLab]
+Le projet utilise un pipeline CI/CD GitLab pour automatiser les tests et le déploiement:
 1. **Build**: Compilation du code et vérification de la syntaxe
   - PHP: Vérification de la syntaxe et des dépendances Composer
   - Flutter: Compilation et génération des assets
 2. **Test**: Exécution des tests automatisés
   - Tests unitaires pour l'API PHP
   - Tests de widgets pour l'application Flutter
 3. **Deploy**: Déploiement automatique vers les environnements
   - Déploiement vers DEV après chaque merge dans `develop`
   - Déploiement vers RECETTE après validation manuelle
   - Déploiement vers PROD après validation manuelle sur une MR vers `main`
 ## Intégration avec GitLab
 ### Issues et Kanban
- **Labels**: [Liste des labels principaux et leur signification]
+- **Labels**:
- **Milestones**: [Comment les milestones sont utilisées]
+
- **Boards**: [Description des tableaux Kanban]
+  - `feature`: Nouvelles fonctionnalités
  - `bug`: Corrections de bugs
  - `enhancement`: Améliorations de fonctionnalités existantes
  - `documentation`: Mises à jour de la documentation
  - `api`: Modifications de l'API
  - `ui`: Modifications de l'interface utilisateur
  - `priority:high`: Priorité élevée
  - `priority:medium`: Priorité moyenne
  - `priority:low`: Priorité basse
 - **Milestones**:
  - Organisées par versions majeures (1.0, 1.1, etc.)
  - Chaque milestone contient les issues prévues pour la version
  - Date d'échéance définie pour chaque milestone
 - **Boards**:
  - **Backlog**: Issues à traiter dans le futur
  - **To Do**: Issues prêtes à être développées
  - **In Progress**: Issues en cours de développement
  - **Review**: Issues en attente de revue de code
  - **Done**: Issues terminées et déployées
 ### Automatisations
-[Description des automatisations GitLab utilisées]
+- **Webhooks**: Notifications automatiques dans Slack pour les événements importants
  - Nouvelles Merge Requests
  - Commentaires sur les MRs
  - Builds échoués
  - Déploiements réussis
 - **Merge Request Templates**: Templates prédéfinis pour les MRs avec:
  - Description de la fonctionnalité
  - Checklist de vérification
  - Instructions de test
  - Captures d'écran (si applicable)
 - **CI/CD Automatisé**: Déclenchement automatique des pipelines sur:
  - Push vers une branche
  - Création d'une Merge Request
  - Mise à jour d'une Merge Request
 ## Déploiement
--- a/Capture.png
+++ b/Capture.png
--- a/HOWTO-PROKOV.md
+++ b/HOWTO-PROKOV.md
@@ -0,0 +1,153 @@
 # Prokov - Gestion des tâches
 ## Vue d'ensemble
 Prokov est l'outil de gestion de projets et tâches utilisé pour suivre l'avancement de tous les projets 2026.
 **URL** : https://prokov.unikoffice.com
 **API** : https://prokov.unikoffice.com/api/
 ## Compte Claude
 Claude Code peut interagir directement avec l'API Prokov.
 | Paramètre | Valeur |
 |-----------|--------|
 | Email | pierre@d6mail.fr |
 | Password | d66,Pierre |
 | Entity | 1 |
 | Role | owner |
 ## Projets
 | ID | Projet | Parent | Description |
 |----|--------|--------|-------------|
 | 1 | Prokov | - | Gestionnaire de tâches |
 | 2 | Sogoms | - | API auto-générée Go |
 | 4 | Geosector | - | Application Amicales Pompiers |
 | 14 | Geosector-App | 4 | App Flutter |
 | 15 | Geosector-API | 4 | API backend |
 | 16 | Geosector-Web | 4 | Site web |
 | 5 | Cleo | - | - |
 | 6 | Serveurs | - | Infra |
 | 8 | UnikOffice | - | - |
 | 21 | 2026 | - | Plateforme micro-services |
 | 22 | 2026-Go | 21 | Modules Go (Thierry) |
 | 23 | 2026-Flutter | 21 | App Flutter (Pierre) |
 | 24 | 2026-Infra | 21 | Infrastructure (commun) |
 ## Statuts
 | ID | Nom | Actif |
 |----|-----|-------|
 | 1 | Backlog | Oui |
 | 2 | À faire | Oui |
 | 3 | En cours | Oui |
 | 4 | À tester | Oui |
 | 5 | Livré | Oui |
 | 6 | Terminé | Non |
 | 7 | Archivé | Non |
 ## Utilisation avec Claude Code
 ### Lire les tâches d'un projet
 > "Montre-moi les tâches du projet 2026"
 Claude va récupérer les tâches via l'API.
 ### Créer une tâche
 > "Crée une tâche 'Implémenter mod-cpu' dans 2026-Go avec priorité 3"
 ### Mettre à jour un statut
 > "Passe la tâche #170 en statut 'En cours'"
 ### Marquer comme terminé
 > "Marque la tâche #170 comme terminée"
 ## API Endpoints
 ### Authentification
 ```bash
 # Login (récupère le token JWT)
 curl -s -X POST "https://prokov.unikoffice.com/api/auth/login" \
  -H "Content-Type: application/json" \
  -d '{"email":"pierre@d6mail.fr","password":"d66,Pierre"}'
 ```
 ### Projets
 ```bash
 # Liste des projets
 curl -s "https://prokov.unikoffice.com/api/projects" \
  -H "Authorization: Bearer $TOKEN"
 # Créer un projet
 curl -s -X POST "https://prokov.unikoffice.com/api/projects" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"name":"Mon Projet","description":"...","color":"#2563eb"}'
 # Créer un sous-projet
 curl -s -X POST "https://prokov.unikoffice.com/api/projects" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"name":"Sous-Projet","parent_id":21}'
 ```
 ### Tâches
 ```bash
 # Tâches d'un projet
 curl -s "https://prokov.unikoffice.com/api/tasks?project_id=21" \
  -H "Authorization: Bearer $TOKEN"
 # Créer une tâche
 curl -s -X POST "https://prokov.unikoffice.com/api/tasks" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"title":"Ma tâche","project_id":22,"status_id":2,"priority":3}'
 # Mettre à jour une tâche
 curl -s -X PUT "https://prokov.unikoffice.com/api/tasks/170" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"status_id":3}'
 ```
 ### Statuts
 ```bash
 # Liste des statuts
 curl -s "https://prokov.unikoffice.com/api/statuses" \
  -H "Authorization: Bearer $TOKEN"
 ```
 ## Workflow Git (à implémenter)
 Le hook post-commit pourra détecter les `#ID` dans les messages de commit et mettre automatiquement les tâches en "À tester".
 ```bash
 git commit -m "feat: nouvelle fonctionnalité #170 #171"
 # → Tâches 170 et 171 passent en statut 4 (À tester)
 ```
 ## Structure projets 2026
 ```
 /home/pierre/dev/2026/
 ├── prokov/          # ID 1 - Gestionnaire tâches
 ├── sogoms/          # ID 2 - API Go
 ├── geosector/       # ID 4 - App géospatiale
 │   ├── app/         # ID 14
 │   ├── api/         # ID 15
 │   └── web/         # ID 16
 ├── resalice/        # Migration vers Sogoms
 ├── monipocket/      # À intégrer dans 2026
 ├── unikoffice/      # ID 8
 └── cleo/            # ID 5
 ```
--- a/MONITORING.md
+++ b/MONITORING.md
@@ -0,0 +1,608 @@
 # Guide de Monitoring - Container Incus (Application Web PHP + MariaDB)
 ## Vue d'ensemble
 Ce guide décrit les métriques essentielles à surveiller pour un container Incus hébergeant une application web PHP avec API mobile et base de données MariaDB.
 ---
 ## 1. Ressources Système
 ### CPU
 **Pourquoi ?** Identifier les pics de charge et les processus gourmands
 ```bash
 # Utilisation CPU globale du container
 incus info nx4 | grep "CPU utilisé"
 # Détail par processus (dans le container)
 top -bn1 | head -20
 htop
 ```
 **Métriques à surveiller :**
 - Load average (devrait être < nombre de CPU)
 - % CPU par processus (MariaDB, PHP-FPM, nginx)
 **Seuils d'alerte :**
 - ⚠️ Warning : Load average > 70% des CPU
 - 🚨 Critical : Load average > 150% des CPU pendant >5min
 ---
 ### Mémoire RAM
 **Pourquoi ?** Éviter les OOM (Out of Memory) qui tuent les processus
 ```bash
 # Vue globale depuis le host
 incus info nx4 | grep "Mémoire"
 # Détail dans le container
 free -h
 ps aux --sort=-%mem | head -10
 ```
 **Métriques à surveiller :**
 - RAM utilisée / totale
 - Swap utilisé (devrait rester minimal)
 - Top processus consommateurs
 **Seuils d'alerte :**
 - ⚠️ Warning : RAM > 85%
 - 🚨 Critical : RAM > 95% ou Swap > 1GB
 ---
 ### Disque I/O
 **Pourquoi ?** MariaDB est très sensible aux lenteurs disque
 ```bash
 # Sur le host
 iostat -x 2 5
 # Dans le container
 iostat -x 1 3
 iotop -oa
 ```
 **Métriques à surveiller :**
 - Latence disque (await)
 - IOPS (r/s, w/s)
 - % utilisation disque
 **Seuils d'alerte :**
 - ⚠️ Warning : await > 50ms
 - 🚨 Critical : await > 200ms ou %util > 90%
 ---
 ### Espace Disque
 **Pourquoi ?** MariaDB ne peut plus écrire si disque plein
 ```bash
 df -h
 du -sh /var/lib/mysql
 ```
 **Seuils d'alerte :**
 - ⚠️ Warning : > 80% utilisé
 - 🚨 Critical : > 90% utilisé
 ---
 ## 2. PHP-FPM (Application Web)
 ### Pool de Workers
 **Pourquoi ?** Cause #1 des timeouts et coupures de service (votre cas !)
 ```bash
 # Nombre de workers actifs
 ps aux | grep "php-fpm: pool www" | wc -l
 # Config du pool
 grep "^pm" /etc/php/8.3/fpm/pool.d/www.conf
 # Logs d'alertes
 tail -f /var/log/php8.3-fpm.log | grep "max_children"
 ```
 **Métriques critiques :**
 - Nombre de workers actifs vs `pm.max_children`
 - Warnings "max_children reached"
 - Slow requests (>2s)
 **Seuils d'alerte :**
 - ⚠️ Warning : Workers actifs > 80% de max_children
 - 🚨 Critical : Warning "max_children reached" apparaît
 **Configuration recommandée pour votre cas :**
 ```ini
 pm = dynamic
 pm.max_children = 50-100 (selon RAM disponible)
 pm.start_servers = 10-20
 pm.min_spare_servers = 5-10
 pm.max_spare_servers = 20-35
 pm.max_requests = 500
 ```
 ---
 ### Temps de Réponse PHP
 **Pourquoi ?** Scripts lents = workers bloqués
 ```bash
 # Activer le slow log PHP-FPM
 # Dans /etc/php/8.3/fpm/pool.d/www.conf
 slowlog = /var/log/php8.3-fpm-slow.log
 request_slowlog_timeout = 3s
 # Voir les requêtes lentes
 tail -f /var/log/php8.3-fpm-slow.log
 ```
 **Seuils d'alerte :**
 - ⚠️ Warning : Requêtes > 3s
 - 🚨 Critical : Requêtes > 10s ou timeouts fréquents
 ---
 ## 3. MariaDB / MySQL
 ### Connexions
 **Pourquoi ?** Trop de connexions = refus de nouvelles connexions
 ```bash
 mysql -e "SHOW STATUS LIKE 'Threads_connected';"
 mysql -e "SHOW STATUS LIKE 'Max_used_connections';"
 mysql -e "SHOW VARIABLES LIKE 'max_connections';"
 mysql -e "SHOW FULL PROCESSLIST;"
 ```
 **Métriques critiques :**
 - Connexions actives vs max_connections
 - Connexions en attente / bloquées
 - Requêtes longues (>5s)
 **Seuils d'alerte :**
 - ⚠️ Warning : Connexions > 80% de max_connections
 - 🚨 Critical : Connexions = max_connections
 **Config recommandée :**
 ```ini
 max_connections = 200-500 (selon votre trafic)
 ```
 ---
 ### Slow Queries
 **Pourquoi ?** Requêtes lentes = workers PHP bloqués
 ```bash
 # Activer le slow query log
 mysql -e "SET GLOBAL slow_query_log = 'ON';"
 mysql -e "SET GLOBAL long_query_time = 2;"
 mysql -e "SET GLOBAL log_queries_not_using_indexes = 'ON';"
 # Voir les slow queries
 tail -f /var/lib/mysql/slow-query.log
 # ou
 mysqldumpslow /var/lib/mysql/slow-query.log
 ```
 **Seuils d'alerte :**
 - ⚠️ Warning : Requêtes > 2s
 - 🚨 Critical : Requêtes > 10s ou >50 slow queries/min
 ---
 ### InnoDB Buffer Pool
 **Pourquoi ?** Si trop petit, beaucoup de lectures disque (lent)
 ```bash
 mysql -e "SHOW VARIABLES LIKE 'innodb_buffer_pool_size';"
 mysql -e "SHOW STATUS LIKE 'Innodb_buffer_pool_read%';"
 ```
 **Métriques critiques :**
 - Buffer pool hit ratio (devrait être >99%)
 - Read requests vs reads from disk
 **Config recommandée :**
 - `innodb_buffer_pool_size` = 70-80% de la RAM dédiée à MySQL
 - Pour 20GB de données : `innodb_buffer_pool_size = 16G`
 ---
 ### Deadlocks et Locks
 **Pourquoi ?** Peuvent causer des timeouts
 ```bash
 mysql -e "SHOW ENGINE INNODB STATUS\G" | grep -A 50 "LATEST DETECTED DEADLOCK"
 mysql -e "SHOW OPEN TABLES WHERE In_use > 0;"
 ```
 **Seuils d'alerte :**
 - ⚠️ Warning : >1 deadlock/heure
 - 🚨 Critical : Tables lockées >30s
 ---
 ## 4. Nginx / Serveur Web
 ### Connexions et Erreurs
 **Pourquoi ?** Identifier les 502/504 (backend timeout)
 ```bash
 # Connexions actives
 netstat -an | grep :80 | wc -l
 netstat -an | grep :443 | wc -l
 # Erreurs récentes
 tail -100 /var/log/nginx/error.log | grep -E "502|504|timeout"
 tail -100 /var/log/nginx/access.log | grep -E " 502 | 504 "
 ```
 **Métriques critiques :**
 - Erreurs 502 Bad Gateway (PHP-FPM down)
 - Erreurs 504 Gateway Timeout (PHP-FPM trop lent)
 - Connexions actives
 **Seuils d'alerte :**
 - ⚠️ Warning : >5 erreurs 502/504 en 5min
 - 🚨 Critical : >20 erreurs 502/504 en 5min
 ---
 ### Worker Connections
 **Pourquoi ?** Limite le nombre de connexions simultanées
 ```bash
 # Config nginx
 grep worker_connections /etc/nginx/nginx.conf
 ps aux | grep nginx | wc -l
 ```
 **Config recommandée :**
 ```nginx
 worker_processes auto;
 worker_connections 2048;
 ```
 ---
 ## 5. Réseau
 ### Bande Passante
 **Pourquoi ?** Identifier les pics de trafic
 ```bash
 # Depuis le host
 incus info nx4 | grep -A 10 "eth0:"
 # Dans le container
 iftop -i eth0
 vnstat -i eth0
 ```
 **Métriques :**
 - Octets reçus/émis
 - Paquets reçus/émis
 - Erreurs réseau
 ---
 ### Connexions TCP
 **Pourquoi ?** Trop de connexions TIME_WAIT = problème
 ```bash
 netstat -an | grep -E "ESTABLISHED|TIME_WAIT|CLOSE_WAIT" | wc -l
 ss -s
 ```
 **Seuils d'alerte :**
 - ⚠️ Warning : >1000 connexions TIME_WAIT
 - 🚨 Critical : >5000 connexions TIME_WAIT
 ---
 ## 6. Logs et Événements
 ### Logs Système
 ```bash
 # Container Debian
 journalctl -u nginx -n 100
 journalctl -u php8.3-fpm -n 100
 journalctl -u mariadb -n 100
 # Container Alpine (si pas de systemd)
 tail -100 /var/log/messages
 ```
 ### Logs Applicatifs
 ```bash
 # PHP errors
 tail -100 /var/log/php8.3-fpm.log
 tail -100 /var/www/html/logs/*.log
 # Nginx
 tail -100 /var/log/nginx/error.log
 tail -100 /var/log/nginx/access.log
 ```
 ---
 ## 7. Scripts de Monitoring Automatisés
 ### Script de Monitoring Global
 Créer `/root/monitor.sh` :
 ```bash
 #!/bin/bash
 LOG_FILE="/var/log/system-monitor.log"
 ALERT_FILE="/var/log/alerts.log"
 echo "=== Monitoring $(date) ===" >> $LOG_FILE
 # 1. CPU
 LOAD=$(uptime | awk -F'load average:' '{print $2}' | awk '{print $1}')
 echo "Load: $LOAD" >> $LOG_FILE
 # 2. RAM
 RAM_PERCENT=$(free | awk '/Mem:/ {printf("%.1f"), ($3/$2)*100}')
 echo "RAM: ${RAM_PERCENT}%" >> $LOG_FILE
 if (( $(echo "$RAM_PERCENT > 85" | bc -l) )); then
  echo "[WARNING] RAM > 85%: ${RAM_PERCENT}%" >> $ALERT_FILE
 fi
 # 3. PHP-FPM Workers
 PHP_WORKERS=$(ps aux | grep "php-fpm: pool www" | wc -l)
 PHP_MAX=$(grep "^pm.max_children" /etc/php/8.3/fpm/pool.d/www.conf | awk '{print $3}')
 echo "PHP Workers: $PHP_WORKERS / $PHP_MAX" >> $LOG_FILE
 if [ $PHP_WORKERS -gt $(echo "$PHP_MAX * 0.8" | bc) ]; then
  echo "[WARNING] PHP Workers > 80%: $PHP_WORKERS / $PHP_MAX" >> $ALERT_FILE
 fi
 # 4. MySQL Connexions
 MYSQL_CONN=$(mysql -e "SHOW STATUS LIKE 'Threads_connected';" | awk 'NR==2 {print $2}')
 MYSQL_MAX=$(mysql -e "SHOW VARIABLES LIKE 'max_connections';" | awk 'NR==2 {print $2}')
 echo "MySQL Connections: $MYSQL_CONN / $MYSQL_MAX" >> $LOG_FILE
 if [ $MYSQL_CONN -gt $(echo "$MYSQL_MAX * 0.8" | bc) ]; then
  echo "[WARNING] MySQL Connections > 80%: $MYSQL_CONN / $MYSQL_MAX" >> $ALERT_FILE
 fi
 # 5. Disque
 DISK_PERCENT=$(df -h / | awk 'NR==2 {print $5}' | sed 's/%//')
 echo "Disk: ${DISK_PERCENT}%" >> $LOG_FILE
 if [ $DISK_PERCENT -gt 80 ]; then
  echo "[WARNING] Disk > 80%: ${DISK_PERCENT}%" >> $ALERT_FILE
 fi
 # 6. Erreurs nginx
 NGINX_ERRORS=$(grep -c "error" /var/log/nginx/error.log | tail -100)
 if [ $NGINX_ERRORS -gt 10 ]; then
  echo "[WARNING] Nginx errors: $NGINX_ERRORS in last 100 lines" >> $ALERT_FILE
 fi
 echo "" >> $LOG_FILE
 ```
 **Installation :**
 ```bash
 chmod +x /root/monitor.sh
 # Exécuter toutes les 5 minutes
 (crontab -l 2>/dev/null; echo "*/5 * * * * /root/monitor.sh") | crontab -
 ```
 ---
 ### Script de Monitoring PHP-FPM Spécifique
 Créer `/root/monitor-php-fpm.sh` :
 ```bash
 #!/bin/bash
 LOG="/var/log/php-fpm-monitor.log"
 TIMESTAMP=$(date '+%Y-%m-%d %H:%M:%S')
 # Compter les workers (sans grep lui-même)
 WORKERS=$(ps aux | grep 'php-fpm: pool www' | grep -v grep | wc -l)
 MAX_CHILDREN=$(grep '^pm.max_children' /etc/php/8.3/fpm/pool.d/www.conf | awk '{print $3}')
 PERCENT=$(echo "scale=1; ($WORKERS / $MAX_CHILDREN) * 100" | bc)
 # Log au format: timestamp,workers,max,percentage
 echo "$TIMESTAMP,$WORKERS,$MAX_CHILDREN,$PERCENT%" >> $LOG
 # Alerte si >80%
 if (( $(echo "$PERCENT > 80" | bc -l) )); then
  echo "[$TIMESTAMP] [ALERT] PHP Workers > 80%: $WORKERS / $MAX_CHILDREN ($PERCENT%)" >> /var/log/alerts.log
 fi
 # Vérifier si max_children atteint dans les logs récents
 if tail -10 /var/log/php8.3-fpm.log | grep -q "max_children"; then
  echo "[$TIMESTAMP] [CRITICAL] MAX_CHILDREN REACHED!" >> /var/log/alerts.log
  tail -3 /var/log/php8.3-fpm.log >> /var/log/alerts.log
 fi
 ```
 **Installation :**
 ```bash
 chmod +x /root/monitor-php-fpm.sh
 # Exécuter toutes les minutes
 (crontab -l 2>/dev/null; echo "* * * * * /root/monitor-php-fpm.sh") | crontab -
 ```
 **Visualiser les données :**
 ```bash
 # Afficher les dernières 60 minutes
 tail -60 /var/log/php-fpm-monitor.log
 # Voir l'évolution graphique (nécessite gnuplot)
 echo 'set datafile separator ","; plot "/var/log/php-fpm-monitor.log" using 2 with lines title "Workers"' | gnuplot -p
 # Statistiques rapides
 echo "Max workers last hour: $(tail -60 /var/log/php-fpm-monitor.log | cut -d',' -f2 | sort -n | tail -1)"
 echo "Min workers last hour: $(tail -60 /var/log/php-fpm-monitor.log | cut -d',' -f2 | sort -n | head -1)"
 echo "Avg workers last hour: $(tail -60 /var/log/php-fpm-monitor.log | cut -d',' -f2 | awk '{sum+=$1} END {print sum/NR}')"
 # Alertes récentes
 tail -20 /var/log/alerts.log | grep "PHP Workers"
 ```
 **Rotation automatique des logs :**
 Créer `/etc/logrotate.d/php-fpm-monitor` :
 ```
 /var/log/php-fpm-monitor.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
 }
 ```
 ---
 ## 8. Solutions de Monitoring Automatisées
 ### Option 1 : Netdata (Recommandé)
 **Avantages :** Installation simple, interface web, détection auto des services
 ```bash
 # Installation
 bash <(curl -Ss https://get.netdata.cloud/kickstart.sh) --dont-wait
 # Accessible sur http://IP:19999
 # Détecte automatiquement : PHP-FPM, MariaDB, Nginx, ressources système
 ```
 **Métriques auto-détectées :**
 - ✅ CPU, RAM, I/O, réseau
 - ✅ PHP-FPM (workers, slow requests)
 - ✅ MariaDB (connexions, queries, locks)
 - ✅ Nginx (connexions, erreurs)
 ---
 ### Option 2 : Prometheus + Grafana
 **Avantages :** Professionnel, historique long terme, alerting avancé
 ```bash
 # Exposer les métriques Incus
 incus config set core.metrics_address :8443
 # Installer Prometheus + Grafana
 # (plus complexe, voir doc officielle)
 ```
 ---
 ### Option 3 : Scripts + Monitoring Simple
 Si vous préférez rester léger, surveillez manuellement avec :
 ```bash
 # Dashboard temps réel
 watch -n 2 'echo "=== RESSOURCES ===";
             free -h | head -2;
             echo "";
             echo "=== PHP-FPM ===";
             ps aux | grep "php-fpm: pool" | wc -l;
             echo "";
             echo "=== MySQL ===";
             mysql -e "SHOW STATUS LIKE \"Threads_connected\";" 2>/dev/null;
             echo "";
             echo "=== NGINX ===";
             netstat -an | grep :80 | wc -l'
 ```
 ---
 ## 9. Checklist de Diagnostic en Cas de Problème
 ### Coupures / Timeouts
 1. ✅ **Vérifier PHP-FPM** : `tail /var/log/php8.3-fpm.log | grep max_children`
 2. ✅ **Vérifier MySQL** : `mysql -e "SHOW PROCESSLIST;"`
 3. ✅ **Vérifier nginx** : `tail /var/log/nginx/error.log | grep -E "502|504"`
 4. ✅ **Vérifier RAM** : `free -h`
 5. ✅ **Vérifier I/O** : `iostat -x 1 5`
 ### Lenteurs
 1. ✅ **Slow queries MySQL** : `tail /var/lib/mysql/slow-query.log`
 2. ✅ **Slow PHP** : `tail /var/log/php8.3-fpm-slow.log`
 3. ✅ **CPU** : `top -bn1 | head -20`
 4. ✅ **I/O disque** : `iotop -oa`
 ### Crashes / Erreurs 502
 1. ✅ **PHP-FPM status** : `systemctl status php8.3-fpm`
 2. ✅ **OOM Killer** : `dmesg | grep -i "out of memory"`
 3. ✅ **Logs PHP** : `tail -100 /var/log/php8.3-fpm.log`
 ---
 ## 10. Optimisations Recommandées
 ### PHP-FPM
 ```ini
 # /etc/php/8.3/fpm/pool.d/www.conf
 pm = dynamic
 pm.max_children = 50-100
 pm.start_servers = 10-20
 pm.min_spare_servers = 5-10
 pm.max_spare_servers = 20-35
 pm.max_requests = 500
 request_slowlog_timeout = 3s
 ```
 ### MariaDB
 ```ini
 # /etc/mysql/mariadb.conf.d/50-server.cnf
 max_connections = 200-500
 innodb_buffer_pool_size = 16G  # 70-80% de la RAM MySQL
 slow_query_log = 1
 long_query_time = 2
 log_queries_not_using_indexes = 1
 ```
 ### Nginx
 ```nginx
 # /etc/nginx/nginx.conf
 worker_processes auto;
 worker_connections 2048;
 keepalive_timeout 30;
 ```
 ---
 ## Résumé des Seuils Critiques
 | Métrique | Warning | Critical |
 |----------|---------|----------|
 | **RAM** | >85% | >95% |
 | **CPU Load** | >70% CPU count | >150% CPU count |
 | **Disk I/O await** | >50ms | >200ms |
 | **Disk Space** | >80% | >90% |
 | **PHP Workers** | >80% max | max_children reached |
 | **MySQL Connections** | >80% max | = max_connections |
 | **Slow Queries** | >2s | >10s ou >50/min |
 | **Nginx 502/504** | >5 en 5min | >20 en 5min |
 ---
 ## Contacts et Escalade
 En cas d'incident critique :
 1. Vérifier les logs (`/var/log/alerts.log`)
 2. Identifier le goulot (CPU/RAM/PHP/MySQL)
 3. Appliquer le correctif approprié
 4. Documenter l'incident
 ---
 **Date de création :** 2025-10-18
 **Dernière mise à jour :** 2025-10-18
 **Version :** 1.0
--- a/PLANNING-STRIPE-ADMIN.md
+++ b/PLANNING-STRIPE-ADMIN.md
@@ -0,0 +1,249 @@
 # PLANNING STRIPE - TÂCHES ADMINISTRATIVES
 ## Intégration Stripe Connect + Terminal pour Calendriers Pompiers
 ### Période : 25/08/2024 - 05/09/2024
 ---
 ## 📅 LUNDI 25/08 - Préparation (4h)
 ### ✅ Compte Stripe Platform
 - [x] Créer compte Stripe sur https://dashboard.stripe.com/register
 - [x] Remplir informations entreprise (SIRET, adresse, etc.)
 - [x] Vérifier email de confirmation
 - [x] Activer l'authentification 2FA
 ### ✅ Activation des produits
 - [x] Activer Stripe Connect dans Dashboard → Products
 - [x] Choisir type "Express accounts" pour les amicales
 - [x] Activer Stripe Terminal dans Dashboard
 - [x] Demander accès "Tap to Pay on iPhone" via formulaire support
 ### ✅ Configuration initiale
 - [x] Définir les frais de plateforme (DECISION: 0% commission plateforme - 100% pour les amicales)
 - [x] Configurer les paramètres de virement (J+2 recommandé)
 - [x] Ajouter logo et branding pour les pages Stripe
 ---
 ## 📅 MARDI 26/08 - Setup environnements (2h)
 ### ✅ Clés API et Webhooks
 - [x] Récupérer clés TEST (pk_test_... et sk_test_...)
 - [x] Créer endpoint webhook : https://dapp.geosector.fr/api/stripe/webhook
 - [x] Sélectionner événements webhook :
  - `account.updated`
  - `account.application.authorized`
  - `payment_intent.succeeded`
  - `payment_intent.payment_failed`
  - `charge.dispute.created`
 - [x] Noter le Webhook signing secret (whsec_...)
 ### ✅ Documentation amicales
 - [x] Préparer template email pour amicales
 - [x] Créer guide PDF "Activer les paiements CB"
 - [x] Lister documents requis :
  - Statuts association
  - RIB avec IBAN/BIC
  - Pièce identité responsable
  - Justificatif adresse siège
 ---
 ## 📅 MERCREDI 27/08 - Amicale pilote (3h)
 ### ✅ Onboarding première amicale
 - [x] Contacter amicale pilote (Amicale ID: 5)
 - [x] Créer compte Connect Express via API 
 - [x] Envoyer lien onboarding à l'amicale
 - [x] Suivre progression dans Dashboard → Connect → Accounts
 - [x] Vérifier statut "Charges enabled"
 ### ✅ Configuration compte amicale
 - [x] Vérifier informations bancaires (IBAN)
 - [x] Configurer email notifications
 - [x] Tester micro-virement de vérification
 - [x] Noter le compte ID : acct_1S2YfNP63A07c33Y
 ---
 ## 📅 JEUDI 28/08 - Tests paiements (2h)
 ### ✅ Configuration Terminal Test
 - [x] Créer "Location" test dans Dashboard → Terminal (Location ID: tml_GLJ21w7KCYX4Wj)
 - [x] Générer reader test virtuel pour Simulator
 - [x] Configurer les montants de test (10€, 20€, 30€)
 ### ✅ Cartes de test
 - [x] Préparer liste cartes test :
  - 4242 4242 4242 4242 : Succès
  - 4000 0000 0000 9995 : Refus
  - 4000 0025 0000 3155 : Authentification requise
 - [x] Documenter processus de test pour développeurs
 ---
 ## 📅 VENDREDI 29/08 - Compliance et sécurité (2h)
 ### ✅ Conformité légale
 - [ ] Vérifier statut PCI DSS (auto-évaluation SAQ A)
 - [ ] Préparer mentions légales paiement
 - [ ] Créer template CGV pour paiements
 - [ ] Documenter process RGPD
 ### ✅ Limites et sécurité
 - [ ] Configurer limites de paiement (max 500€/transaction ?)
 - [ ] Activer Radar (protection fraude) rules
 - [ ] Configurer alertes email pour transactions > 100€
 - [ ] Définir politique remboursements
 ---
 ## 📅 SAMEDI 30/08 - Monitoring (1h)
 ### ✅ Dashboard et alertes
 - [ ] Créer vues personnalisées Dashboard
 - [ ] Configurer alertes :
  - Taux d'échec > 10%
  - Nouveau litige (chargeback)
  - Compte amicale suspendu
 - [ ] Installer app mobile Stripe (iOS/Android)
 ---
 ## 📅 LUNDI 02/09 - Préparation production (3h)
 ### ✅ Amicales supplémentaires
 - [ ] Onboarder 2-3 amicales test supplémentaires
 - [ ] Vérifier leurs statuts de compte
 - [ ] Former les responsables à l'interface Stripe
 ### ✅ Documentation finale
 - [ ] Guide administrateur plateforme
 - [ ] FAQ amicales (comment voir mes ventes ?)
 - [ ] Process de support niveau 1
 ---
 ## 📅 MARDI 03/09 - Tests grandeur nature (2h)
 ### ✅ Simulation production
 - [ ] Paiement test avec vraie carte (sera remboursé)
 - [ ] Vérifier apparition dans Dashboard amicale
 - [ ] Tester virement vers compte bancaire
 - [ ] Vérifier commissions plateforme
 ---
 ## 📅 MERCREDI 04/09 - Go/No-Go Production (2h)
 ### ✅ Checklist production
 - [ ] Obtenir clés PRODUCTION (pk_live_... et sk_live_...)
 - [ ] ⚠️ JAMAIS les commiter dans le code
 - [ ] Configurer webhook production
 - [ ] Vérifier tous les comptes amicales "enabled"
 - [ ] Backup des configurations
 ### ✅ Plan de bascule
 - [ ] Planifier fenêtre de maintenance
 - [ ] Préparer rollback si besoin
 - [ ] Numéro hotline Stripe : +33 1 88 45 05 35
 ---
 ## 📅 JEUDI 05/09 - Support jour J (4h)
 ### ✅ Surveillance active
 - [ ] Monitoring Dashboard en temps réel
 - [ ] Vérifier premiers paiements réels
 - [ ] Support hotline pour amicales
 - [ ] Documenter issues rencontrées
 ---
 ## 📊 RÉCAPITULATIF TEMPS ADMIN
 - **Préparation** : 4h
 - **Configuration** : 7h  
 - **Tests** : 4h
 - **Production** : 6h
 - **TOTAL** : 21h sur 11 jours
 ## 🔐 INFORMATIONS SENSIBLES À STOCKER
 ```env
 # JAMAIS dans le code source !
 STRIPE_PUBLIC_KEY_TEST=pk_test_...
 STRIPE_SECRET_KEY_TEST=sk_test_...
 STRIPE_WEBHOOK_SECRET_TEST=whsec_...
 STRIPE_PUBLIC_KEY_LIVE=pk_live_...
 STRIPE_SECRET_KEY_LIVE=sk_live_...  
 STRIPE_WEBHOOK_SECRET_LIVE=whsec_...
 STRIPE_PLATFORM_ACCOUNT_ID=acct_...
 ```
 ## 📞 CONTACTS UTILES
 - **Support Stripe France** : +33 1 88 45 05 35
 - **Email support** : support@stripe.com
 - **Dashboard** : https://dashboard.stripe.com
 - **Statut système** : https://status.stripe.com
 ## ⚠️ POINTS D'ATTENTION CRITIQUES
 1. **NE JAMAIS** partager les clés secrètes (sk_)
 2. **TOUJOURS** commencer en mode TEST
 3. **VÉRIFIER** 2x avant passage en LIVE
 4. Les virements vers comptes amicales prennent 2-7 jours
 5. Garder 1 personne dispo pour support le jour J
 6. **Android Tap to Pay** : Vérifier certification SoftPOS des appareils
 7. **Maintenir** liste des modèles Android certifiés à jour
 ---
 ## 🎯 BILAN DES ACCOMPLISSEMENTS (01/09/2024)
 ### ✅ RÉALISATIONS CLÉS
 1. **Intégration Stripe Connect complète** 
   - API PHP 8.3 fonctionnelle avec tous les endpoints
   - Interface Flutter pour gestion Stripe dans l'amicale
   - Webhooks configurés et testés
 2. **Compte amicale pilote opérationnel**
   - Amicale ID: 5 avec compte Stripe : acct_1S2YfNP63A07c33Y
   - Location Terminal créée : tml_GLJ21w7KCYX4Wj
   - Onboarding Stripe complété avec succès
 3. **Configuration 0% commission plateforme**
   - 100% des paiements vont aux amicales
   - Seuls les frais Stripe standard s'appliquent (~1.4% + 0.25€)
   - Interface UI mise à jour pour refléter cette politique
 4. **Corrections techniques majeures**
   - Problèmes de déchiffrement des données résolus
   - Erreurs 502 nginx corrigées (logs debug supprimés)
   - Base de données et API entièrement fonctionnelles
 ### 🔧 PROBLÈMES RÉSOLUS
 - **Erreur 500** : "Database not found" → Fixed
 - **Erreur 400** : "Invalid email address" → Fixed (déchiffrement ajouté)
 - **Erreur 502** : "upstream sent too big header" → Fixed (logs supprimés)
 - **Commission plateforme** : Supprimée comme demandé (0%)
 - **UI messaging** : Corrigé pour refléter "100% pour votre amicale"
 ### 📊 APIs FONCTIONNELLES
 - ✅ POST /api/stripe/accounts - Création compte
 - ✅ GET /api/stripe/accounts/:id/status - Statut compte  
 - ✅ POST /api/stripe/accounts/:id/onboarding-link - Lien onboarding
 - ✅ POST /api/stripe/locations - Création location Terminal
 - ✅ POST /api/stripe/webhook - Réception événements
 ### 🎯 PROCHAINES ÉTAPES
 1. Tests de paiements réels avec Terminal
 2. Déploiement en environnement de recette
 3. Formation des amicales pilotes
 4. Monitoring des premiers paiements
 ---
 *Document créé le 24/08/2024 - Dernière mise à jour : 01/09/2024*
--- a/1
+++ b/1
@@ -0,0 +1 @@
 26.01.2607
--- a/api/.vscode/settings.json
+++ b/api/.vscode/settings.json
@@ -4,7 +4,7 @@
  // Apparence
  // -- Editeur
  "workbench.startupEditor": "none", // On ne veut pas une page d'accueil chargée
-  "editor.minimap.enabled": false, // On veut voir la minimap
+  "editor.minimap.enabled": true, // On veut voir la minimap
  "editor.minimap.showSlider": "always", // On veut voir la minimap
  "editor.minimap.size": "fill", // On veut voir la minimap
  "editor.minimap.scale": 2,
@@ -75,6 +75,16 @@
  "explorer.autoReveal": false,
  "explorer.confirmDragAndDrop": false,
  "emmet.triggerExpansionOnTab": true,
  "emmet.includeLanguages": {
    "javascript": "javascriptreact"
  },
 "problems.decorations.enabled": true,
  "explorer.decorations.colors": true,
  "explorer.decorations.badges": true,
  "php.validate.enable": true,
  "php.suggest.basic": false,
  "dart.analysisExcludedFolders": [],
  "dart.enableSdkFormatter": true,
  // Fichiers
  "files.defaultLanguage": "markdown",
@@ -87,7 +97,7 @@
  "typescript.preferences.importModuleSpecifierEnding": "js",
  // Extensions
-  "tailwindCSS.experimental.configFile": "frontend/tailwind.config.js",
+  "tailwindCSS.experimental.configFile": "web/tailwind.config.js",
  "editor.quickSuggestions": {
    "strings": true
  },
@@ -98,27 +108,28 @@
  },
  "prettier.documentSelectors": ["**/*.svelte"],
  "svelte.plugin.svelte.diagnostics.enable": false,
-  "problems.decorations.enabled": false,
+
  "js/ts.implicitProjectConfig.checkJs": false,
  "svelte.enable-ts-plugin": false,
  "workbench.colorCustomizations": {
-    "activityBar.activeBackground": "#ff6433",
+    "activityBar.activeBackground": "#fa1b49",
-    "activityBar.background": "#ff6433",
+    "activityBar.background": "#fa1b49",
-    "activityBar.foreground": "#15202b",
+    "activityBar.foreground": "#e7e7e7",
-    "activityBar.inactiveForeground": "#15202b99",
+    "activityBar.inactiveForeground": "#e7e7e799",
-    "activityBarBadge.background": "#00ff3d",
+    "activityBarBadge.background": "#155e02",
-    "activityBarBadge.foreground": "#15202b",
+    "activityBarBadge.foreground": "#e7e7e7",
    "commandCenter.border": "#e7e7e799",
-    "sash.hoverBorder": "#ff6433",
+    "sash.hoverBorder": "#fa1b49",
-    "statusBar.background": "#ff3d00",
+    "statusBar.background": "#dd0531",
    "statusBar.foreground": "#e7e7e7",
-    "statusBarItem.hoverBackground": "#ff6433",
+    "statusBarItem.hoverBackground": "#fa1b49",
-    "statusBarItem.remoteBackground": "#ff3d00",
+    "statusBarItem.remoteBackground": "#dd0531",
    "statusBarItem.remoteForeground": "#e7e7e7",
-    "titleBar.activeBackground": "#ff3d00",
+    "titleBar.activeBackground": "#dd0531",
    "titleBar.activeForeground": "#e7e7e7",
-    "titleBar.inactiveBackground": "#ff3d0099",
+    "titleBar.inactiveBackground": "#dd053199",
    "titleBar.inactiveForeground": "#e7e7e799"
  },
-  "peacock.color": "#ff3d00"
+  "peacock.color": "#dd0531",
 }
--- a/api/CLAUDE.md
+++ b/api/CLAUDE.md
@@ -0,0 +1,82 @@
 # CLAUDE.md
 This file provides guidance to Claude Code (claude.ai/code) when working with code in this repository.
 ## Directives importantes
 - **Langue** : Toujours répondre en français
 - **Approche de travail** : 
  - Travailler par étapes claires et structurées
  - TOUJOURS présenter et proposer les modifications avant de les implémenter
  - Attendre la validation de l'utilisateur avant de modifier le code
  - Expliquer le problème identifié et la solution proposée
 - **Vérification du schéma** : TOUJOURS vérifier `docs/geo_app.sql` avant de faire des modifications sur les tables de la base de données
 ## Build Commands
 - Install dependencies: `composer install` - install PHP dependencies
 - Update dependencies: `composer update` - update PHP dependencies to latest versions
 - Deploy to DEV: `./deploy-api.sh` - deploy local code to dva-geo on IN3 (195.154.80.116)
 - Deploy to REC: `./deploy-api.sh rca` - deploy from dva-geo to rca-geo on IN3
 - Deploy to PROD: `./deploy-api.sh pra` - deploy from rca-geo (IN3) to pra-geo (IN4)
 - Export operations: `php export_operation.php` - export operations data
 ## Development Environment
 - **DEV Container**: dva-geo on IN3 server (195.154.80.116)
 - **DEV API URL Public**: https://dapp.geosector.fr/api/
 - **DEV API URL Internal**: http://13.23.33.43/api/
 - **Access**: Via Incus container on IN3 server
 ## Code Architecture
 This is a PHP 8.3 API without framework, using a custom MVC-like architecture:
 - **Entry point**: `index.php` handles all requests through custom Router
 - **Core components**:
  - `Router`: Maps URLs to controller methods, handles HTTP methods
  - `Database`: PDO wrapper for MariaDB connections
  - `Session`: Secure session management
  - `Request/Response`: HTTP request/response handling
 - **Controllers**: Located in `src/Controllers/`, handle business logic
 - **Services**: Located in `src/Services/`, provide reusable functionality (logging, email, exports)
 - **Configuration**: `src/Config/AppConfig.php` - singleton configuration management
 ## Key Patterns
 - No framework dependency - pure PHP 8.3 with composer autoloading
 - PDO for database access with prepared statements
 - RESTful API design with JSON responses
 - CORS handling for cross-origin requests
 - Session-based authentication
 - File uploads handled in `uploads/` directory
 - Logs stored in `logs/` directory
 ## Database
 - MariaDB 10.11 with InnoDB tables
 - Migration scripts in `scripts/php/migrate_*.php`
 - Schema comparison tool: `scripts/python/compare_schemas.py`
 - Database sync: `scripts/cron/sync_databases.php`
 ## Security Considerations
 - Session cookies with httponly, secure flags
 - CORS configured for specific origins
 - XSS, clickjacking protection headers
 - PDO prepared statements for SQL injection prevention
 - File upload validation in FileService
 ## Bonnes pratiques spécifiques
 ### Gestion des transactions PDO
 - Toujours vérifier `$db->inTransaction()` avant d'appeler `rollBack()`
 - Encadrer les opérations critiques dans des try/catch avec transaction
 ### Paramètres SQL
 - Utiliser des noms de paramètres uniques dans les requêtes SQL
 - Ne jamais réutiliser le même nom de paramètre plusieurs fois dans une requête
 - Exemple : `:sector_polygon1`, `:sector_polygon2` au lieu de `:sector_polygon` répété
 ### Format des réponses API
 - Les données doivent être placées à la racine de la réponse JSON, pas dans un groupe "data"
 - Suivre le modèle de `LoginController` pour la structure des réponses
 - Retourner des objets complets, pas seulement des IDs (ex: sector complet, pas sector_id)
 ### Gestion des sessions
 - La session stocke `entity_id` depuis `fk_entite` lors du login
 - Utiliser `Session::getEntityId()` pour récupérer l'ID de l'entité
 - L'authentification utilise des Bearer tokens contenant le session_id
--- a/api/TODO-API.md
+++ b/api/TODO-API.md
--- a/api/alter_table_geometry.sql
+++ b/api/alter_table_geometry.sql
@@ -0,0 +1,13 @@
 -- Modifier la table pour accepter tous les types de géométries (POLYGON et MULTIPOLYGON)
 -- Option 1 : Modifier la colonne existante (recommandé)
 ALTER TABLE x_departements_contours 
 MODIFY COLUMN contour GEOMETRY NOT NULL COMMENT 'Géométrie du contour du département (Polygon ou MultiPolygon)';
 -- Vérifier la modification
 DESCRIBE x_departements_contours;
 -- Option 2 : Si l'option 1 ne fonctionne pas, recréer la colonne
 -- ALTER TABLE x_departements_contours DROP COLUMN contour;
 -- ALTER TABLE x_departements_contours ADD COLUMN contour GEOMETRY NOT NULL AFTER nom_dept;
 -- ALTER TABLE x_departements_contours ADD SPATIAL INDEX idx_contour (contour);
--- a/api/bootstrap.php
+++ b/api/bootstrap.php
--- a/api/composer.json
+++ b/api/composer.json
@@ -3,16 +3,26 @@
  "description": "API Multi-sites",
  "type": "project",
  "require": {
-    "php": ">=8.1",
+    "php": ">=8.3",
-    "phpmailer/phpmailer": "^6.8",
+    "ext-json": "*",
    "ext-pdo": "*",
    "ext-openssl": "*",
-    "ext-json": "*"
+    "ext-pdo": "*",
    "phpmailer/phpmailer": "^6.8",
    "phpoffice/phpspreadsheet": "^5.0",
    "setasign/fpdf": "^1.8",
    "setasign/fpdi": "^2.6",
    "stripe/stripe-php": "^17.6"
  },
  "autoload": {
    "psr-4": {
      "App\\": "src/"
-    }
+    },
    "classmap": [
      "src/Core/",
      "src/Config/",
      "src/Utils/",
      "src/Controllers/LogController.php"
    ]
  },
  "config": {
    "sort-packages": true,
--- a/api/composer.lock
+++ b/api/composer.lock
@@ -4,20 +4,284 @@
        "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies",
        "This file is @generated automatically"
    ],
-    "content-hash": "03e608fa83a14a82b3f9223977e9674e",
+    "content-hash": "936a7e1a35fde56354a4dea02b309267",
    "packages": [
        {
-            "name": "phpmailer/phpmailer",
+            "name": "composer/pcre",
-            "version": "v6.9.3",
+            "version": "3.3.2",
            "source": {
                "type": "git",
-                "url": "https://github.com/PHPMailer/PHPMailer.git",
+                "url": "https://github.com/composer/pcre.git",
-                "reference": "2f5c94fe7493efc213f643c23b1b1c249d40f47e"
+                "reference": "b2bed4734f0cc156ee1fe9c0da2550420d99a21e"
            },
            "dist": {
                "type": "zip",
-                "url": "https://api.github.com/repos/PHPMailer/PHPMailer/zipball/2f5c94fe7493efc213f643c23b1b1c249d40f47e",
+                "url": "https://api.github.com/repos/composer/pcre/zipball/b2bed4734f0cc156ee1fe9c0da2550420d99a21e",
-                "reference": "2f5c94fe7493efc213f643c23b1b1c249d40f47e",
+                "reference": "b2bed4734f0cc156ee1fe9c0da2550420d99a21e",
                "shasum": ""
            },
            "require": {
                "php": "^7.4 || ^8.0"
            },
            "conflict": {
                "phpstan/phpstan": "<1.11.10"
            },
            "require-dev": {
                "phpstan/phpstan": "^1.12 || ^2",
                "phpstan/phpstan-strict-rules": "^1 || ^2",
                "phpunit/phpunit": "^8 || ^9"
            },
            "type": "library",
            "extra": {
                "phpstan": {
                    "includes": [
                        "extension.neon"
                    ]
                },
                "branch-alias": {
                    "dev-main": "3.x-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Composer\\Pcre\\": "src"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Jordi Boggiano",
                    "email": "j.boggiano@seld.be",
                    "homepage": "http://seld.be"
                }
            ],
            "description": "PCRE wrapping library that offers type-safe preg_* replacements.",
            "keywords": [
                "PCRE",
                "preg",
                "regex",
                "regular expression"
            ],
            "support": {
                "issues": "https://github.com/composer/pcre/issues",
                "source": "https://github.com/composer/pcre/tree/3.3.2"
            },
            "funding": [
                {
                    "url": "https://packagist.com",
                    "type": "custom"
                },
                {
                    "url": "https://github.com/composer",
                    "type": "github"
                },
                {
                    "url": "https://tidelift.com/funding/github/packagist/composer/composer",
                    "type": "tidelift"
                }
            ],
            "time": "2024-11-12T16:29:46+00:00"
        },
        {
            "name": "maennchen/zipstream-php",
            "version": "3.2.0",
            "source": {
                "type": "git",
                "url": "https://github.com/maennchen/ZipStream-PHP.git",
                "reference": "9712d8fa4cdf9240380b01eb4be55ad8dcf71416"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/maennchen/ZipStream-PHP/zipball/9712d8fa4cdf9240380b01eb4be55ad8dcf71416",
                "reference": "9712d8fa4cdf9240380b01eb4be55ad8dcf71416",
                "shasum": ""
            },
            "require": {
                "ext-mbstring": "*",
                "ext-zlib": "*",
                "php-64bit": "^8.3"
            },
            "require-dev": {
                "brianium/paratest": "^7.7",
                "ext-zip": "*",
                "friendsofphp/php-cs-fixer": "^3.16",
                "guzzlehttp/guzzle": "^7.5",
                "mikey179/vfsstream": "^1.6",
                "php-coveralls/php-coveralls": "^2.5",
                "phpunit/phpunit": "^12.0",
                "vimeo/psalm": "^6.0"
            },
            "suggest": {
                "guzzlehttp/psr7": "^2.4",
                "psr/http-message": "^2.0"
            },
            "type": "library",
            "autoload": {
                "psr-4": {
                    "ZipStream\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Paul Duncan",
                    "email": "pabs@pablotron.org"
                },
                {
                    "name": "Jonatan Männchen",
                    "email": "jonatan@maennchen.ch"
                },
                {
                    "name": "Jesse Donat",
                    "email": "donatj@gmail.com"
                },
                {
                    "name": "András Kolesár",
                    "email": "kolesar@kolesar.hu"
                }
            ],
            "description": "ZipStream is a library for dynamically streaming dynamic zip files from PHP without writing to the disk at all on the server.",
            "keywords": [
                "stream",
                "zip"
            ],
            "support": {
                "issues": "https://github.com/maennchen/ZipStream-PHP/issues",
                "source": "https://github.com/maennchen/ZipStream-PHP/tree/3.2.0"
            },
            "funding": [
                {
                    "url": "https://github.com/maennchen",
                    "type": "github"
                }
            ],
            "time": "2025-07-17T11:15:13+00:00"
        },
        {
            "name": "markbaker/complex",
            "version": "3.0.2",
            "source": {
                "type": "git",
                "url": "https://github.com/MarkBaker/PHPComplex.git",
                "reference": "95c56caa1cf5c766ad6d65b6344b807c1e8405b9"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/MarkBaker/PHPComplex/zipball/95c56caa1cf5c766ad6d65b6344b807c1e8405b9",
                "reference": "95c56caa1cf5c766ad6d65b6344b807c1e8405b9",
                "shasum": ""
            },
            "require": {
                "php": "^7.2 || ^8.0"
            },
            "require-dev": {
                "dealerdirect/phpcodesniffer-composer-installer": "dev-master",
                "phpcompatibility/php-compatibility": "^9.3",
                "phpunit/phpunit": "^7.0 || ^8.0 || ^9.0",
                "squizlabs/php_codesniffer": "^3.7"
            },
            "type": "library",
            "autoload": {
                "psr-4": {
                    "Complex\\": "classes/src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Mark Baker",
                    "email": "mark@lange.demon.co.uk"
                }
            ],
            "description": "PHP Class for working with complex numbers",
            "homepage": "https://github.com/MarkBaker/PHPComplex",
            "keywords": [
                "complex",
                "mathematics"
            ],
            "support": {
                "issues": "https://github.com/MarkBaker/PHPComplex/issues",
                "source": "https://github.com/MarkBaker/PHPComplex/tree/3.0.2"
            },
            "time": "2022-12-06T16:21:08+00:00"
        },
        {
            "name": "markbaker/matrix",
            "version": "3.0.1",
            "source": {
                "type": "git",
                "url": "https://github.com/MarkBaker/PHPMatrix.git",
                "reference": "728434227fe21be27ff6d86621a1b13107a2562c"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/MarkBaker/PHPMatrix/zipball/728434227fe21be27ff6d86621a1b13107a2562c",
                "reference": "728434227fe21be27ff6d86621a1b13107a2562c",
                "shasum": ""
            },
            "require": {
                "php": "^7.1 || ^8.0"
            },
            "require-dev": {
                "dealerdirect/phpcodesniffer-composer-installer": "dev-master",
                "phpcompatibility/php-compatibility": "^9.3",
                "phpdocumentor/phpdocumentor": "2.*",
                "phploc/phploc": "^4.0",
                "phpmd/phpmd": "2.*",
                "phpunit/phpunit": "^7.0 || ^8.0 || ^9.0",
                "sebastian/phpcpd": "^4.0",
                "squizlabs/php_codesniffer": "^3.7"
            },
            "type": "library",
            "autoload": {
                "psr-4": {
                    "Matrix\\": "classes/src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Mark Baker",
                    "email": "mark@demon-angel.eu"
                }
            ],
            "description": "PHP Class for working with matrices",
            "homepage": "https://github.com/MarkBaker/PHPMatrix",
            "keywords": [
                "mathematics",
                "matrix",
                "vector"
            ],
            "support": {
                "issues": "https://github.com/MarkBaker/PHPMatrix/issues",
                "source": "https://github.com/MarkBaker/PHPMatrix/tree/3.0.1"
            },
            "time": "2022-12-02T22:17:43+00:00"
        },
        {
            "name": "phpmailer/phpmailer",
            "version": "v6.11.1",
            "source": {
                "type": "git",
                "url": "https://github.com/PHPMailer/PHPMailer.git",
                "reference": "d9e3b36b47f04b497a0164c5a20f92acb4593284"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/PHPMailer/PHPMailer/zipball/d9e3b36b47f04b497a0164c5a20f92acb4593284",
                "reference": "d9e3b36b47f04b497a0164c5a20f92acb4593284",
                "shasum": ""
            },
            "require": {
@@ -38,6 +302,7 @@
            },
            "suggest": {
                "decomplexity/SendOauth2": "Adapter for using XOAUTH2 authentication",
                "ext-imap": "Needed to support advanced email address parsing according to RFC822",
                "ext-mbstring": "Needed to send email in multibyte encoding charset or decode encoded addresses",
                "ext-openssl": "Needed for secure SMTP sending and DKIM signing",
                "greew/oauth2-azure-provider": "Needed for Microsoft Azure XOAUTH2 authentication",
@@ -77,7 +342,7 @@
            "description": "PHPMailer is a full-featured email creation and transfer class for PHP",
            "support": {
                "issues": "https://github.com/PHPMailer/PHPMailer/issues",
-                "source": "https://github.com/PHPMailer/PHPMailer/tree/v6.9.3"
+                "source": "https://github.com/PHPMailer/PHPMailer/tree/v6.11.1"
            },
            "funding": [
                {
@@ -85,7 +350,501 @@
                    "type": "github"
                }
            ],
-            "time": "2024-11-24T18:04:13+00:00"
+            "time": "2025-09-30T11:54:53+00:00"
        },
        {
            "name": "phpoffice/phpspreadsheet",
            "version": "5.1.0",
            "source": {
                "type": "git",
                "url": "https://github.com/PHPOffice/PhpSpreadsheet.git",
                "reference": "fd26e45a814e94ae2aad0df757d9d1739c4bf2e0"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/PHPOffice/PhpSpreadsheet/zipball/fd26e45a814e94ae2aad0df757d9d1739c4bf2e0",
                "reference": "fd26e45a814e94ae2aad0df757d9d1739c4bf2e0",
                "shasum": ""
            },
            "require": {
                "composer/pcre": "^1||^2||^3",
                "ext-ctype": "*",
                "ext-dom": "*",
                "ext-fileinfo": "*",
                "ext-gd": "*",
                "ext-iconv": "*",
                "ext-libxml": "*",
                "ext-mbstring": "*",
                "ext-simplexml": "*",
                "ext-xml": "*",
                "ext-xmlreader": "*",
                "ext-xmlwriter": "*",
                "ext-zip": "*",
                "ext-zlib": "*",
                "maennchen/zipstream-php": "^2.1 || ^3.0",
                "markbaker/complex": "^3.0",
                "markbaker/matrix": "^3.0",
                "php": "^8.1",
                "psr/http-client": "^1.0",
                "psr/http-factory": "^1.0",
                "psr/simple-cache": "^1.0 || ^2.0 || ^3.0"
            },
            "require-dev": {
                "dealerdirect/phpcodesniffer-composer-installer": "dev-main",
                "dompdf/dompdf": "^2.0 || ^3.0",
                "friendsofphp/php-cs-fixer": "^3.2",
                "mitoteam/jpgraph": "^10.3",
                "mpdf/mpdf": "^8.1.1",
                "phpcompatibility/php-compatibility": "^9.3",
                "phpstan/phpstan": "^1.1 || ^2.0",
                "phpstan/phpstan-deprecation-rules": "^1.0 || ^2.0",
                "phpstan/phpstan-phpunit": "^1.0 || ^2.0",
                "phpunit/phpunit": "^10.5",
                "squizlabs/php_codesniffer": "^3.7",
                "tecnickcom/tcpdf": "^6.5"
            },
            "suggest": {
                "dompdf/dompdf": "Option for rendering PDF with PDF Writer",
                "ext-intl": "PHP Internationalization Functions",
                "mitoteam/jpgraph": "Option for rendering charts, or including charts with PDF or HTML Writers",
                "mpdf/mpdf": "Option for rendering PDF with PDF Writer",
                "tecnickcom/tcpdf": "Option for rendering PDF with PDF Writer"
            },
            "type": "library",
            "autoload": {
                "psr-4": {
                    "PhpOffice\\PhpSpreadsheet\\": "src/PhpSpreadsheet"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Maarten Balliauw",
                    "homepage": "https://blog.maartenballiauw.be"
                },
                {
                    "name": "Mark Baker",
                    "homepage": "https://markbakeruk.net"
                },
                {
                    "name": "Franck Lefevre",
                    "homepage": "https://rootslabs.net"
                },
                {
                    "name": "Erik Tilt"
                },
                {
                    "name": "Adrien Crivelli"
                }
            ],
            "description": "PHPSpreadsheet - Read, Create and Write Spreadsheet documents in PHP - Spreadsheet engine",
            "homepage": "https://github.com/PHPOffice/PhpSpreadsheet",
            "keywords": [
                "OpenXML",
                "excel",
                "gnumeric",
                "ods",
                "php",
                "spreadsheet",
                "xls",
                "xlsx"
            ],
            "support": {
                "issues": "https://github.com/PHPOffice/PhpSpreadsheet/issues",
                "source": "https://github.com/PHPOffice/PhpSpreadsheet/tree/5.1.0"
            },
            "time": "2025-09-04T05:34:49+00:00"
        },
        {
            "name": "psr/http-client",
            "version": "1.0.3",
            "source": {
                "type": "git",
                "url": "https://github.com/php-fig/http-client.git",
                "reference": "bb5906edc1c324c9a05aa0873d40117941e5fa90"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/php-fig/http-client/zipball/bb5906edc1c324c9a05aa0873d40117941e5fa90",
                "reference": "bb5906edc1c324c9a05aa0873d40117941e5fa90",
                "shasum": ""
            },
            "require": {
                "php": "^7.0 || ^8.0",
                "psr/http-message": "^1.0 || ^2.0"
            },
            "type": "library",
            "extra": {
                "branch-alias": {
                    "dev-master": "1.0.x-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Psr\\Http\\Client\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "PHP-FIG",
                    "homepage": "https://www.php-fig.org/"
                }
            ],
            "description": "Common interface for HTTP clients",
            "homepage": "https://github.com/php-fig/http-client",
            "keywords": [
                "http",
                "http-client",
                "psr",
                "psr-18"
            ],
            "support": {
                "source": "https://github.com/php-fig/http-client"
            },
            "time": "2023-09-23T14:17:50+00:00"
        },
        {
            "name": "psr/http-factory",
            "version": "1.1.0",
            "source": {
                "type": "git",
                "url": "https://github.com/php-fig/http-factory.git",
                "reference": "2b4765fddfe3b508ac62f829e852b1501d3f6e8a"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/php-fig/http-factory/zipball/2b4765fddfe3b508ac62f829e852b1501d3f6e8a",
                "reference": "2b4765fddfe3b508ac62f829e852b1501d3f6e8a",
                "shasum": ""
            },
            "require": {
                "php": ">=7.1",
                "psr/http-message": "^1.0 || ^2.0"
            },
            "type": "library",
            "extra": {
                "branch-alias": {
                    "dev-master": "1.0.x-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Psr\\Http\\Message\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "PHP-FIG",
                    "homepage": "https://www.php-fig.org/"
                }
            ],
            "description": "PSR-17: Common interfaces for PSR-7 HTTP message factories",
            "keywords": [
                "factory",
                "http",
                "message",
                "psr",
                "psr-17",
                "psr-7",
                "request",
                "response"
            ],
            "support": {
                "source": "https://github.com/php-fig/http-factory"
            },
            "time": "2024-04-15T12:06:14+00:00"
        },
        {
            "name": "psr/http-message",
            "version": "2.0",
            "source": {
                "type": "git",
                "url": "https://github.com/php-fig/http-message.git",
                "reference": "402d35bcb92c70c026d1a6a9883f06b2ead23d71"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/php-fig/http-message/zipball/402d35bcb92c70c026d1a6a9883f06b2ead23d71",
                "reference": "402d35bcb92c70c026d1a6a9883f06b2ead23d71",
                "shasum": ""
            },
            "require": {
                "php": "^7.2 || ^8.0"
            },
            "type": "library",
            "extra": {
                "branch-alias": {
                    "dev-master": "2.0.x-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Psr\\Http\\Message\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "PHP-FIG",
                    "homepage": "https://www.php-fig.org/"
                }
            ],
            "description": "Common interface for HTTP messages",
            "homepage": "https://github.com/php-fig/http-message",
            "keywords": [
                "http",
                "http-message",
                "psr",
                "psr-7",
                "request",
                "response"
            ],
            "support": {
                "source": "https://github.com/php-fig/http-message/tree/2.0"
            },
            "time": "2023-04-04T09:54:51+00:00"
        },
        {
            "name": "psr/simple-cache",
            "version": "3.0.0",
            "source": {
                "type": "git",
                "url": "https://github.com/php-fig/simple-cache.git",
                "reference": "764e0b3939f5ca87cb904f570ef9be2d78a07865"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/php-fig/simple-cache/zipball/764e0b3939f5ca87cb904f570ef9be2d78a07865",
                "reference": "764e0b3939f5ca87cb904f570ef9be2d78a07865",
                "shasum": ""
            },
            "require": {
                "php": ">=8.0.0"
            },
            "type": "library",
            "extra": {
                "branch-alias": {
                    "dev-master": "3.0.x-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Psr\\SimpleCache\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "PHP-FIG",
                    "homepage": "https://www.php-fig.org/"
                }
            ],
            "description": "Common interfaces for simple caching",
            "keywords": [
                "cache",
                "caching",
                "psr",
                "psr-16",
                "simple-cache"
            ],
            "support": {
                "source": "https://github.com/php-fig/simple-cache/tree/3.0.0"
            },
            "time": "2021-10-29T13:26:27+00:00"
        },
        {
            "name": "setasign/fpdf",
            "version": "1.8.6",
            "source": {
                "type": "git",
                "url": "https://github.com/Setasign/FPDF.git",
                "reference": "0838e0ee4925716fcbbc50ad9e1799b5edfae0a0"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/Setasign/FPDF/zipball/0838e0ee4925716fcbbc50ad9e1799b5edfae0a0",
                "reference": "0838e0ee4925716fcbbc50ad9e1799b5edfae0a0",
                "shasum": ""
            },
            "require": {
                "ext-gd": "*",
                "ext-zlib": "*"
            },
            "type": "library",
            "autoload": {
                "classmap": [
                    "fpdf.php"
                ]
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Olivier Plathey",
                    "email": "oliver@fpdf.org",
                    "homepage": "http://fpdf.org/"
                }
            ],
            "description": "FPDF is a PHP class which allows to generate PDF files with pure PHP. F from FPDF stands for Free: you may use it for any kind of usage and modify it to suit your needs.",
            "homepage": "http://www.fpdf.org",
            "keywords": [
                "fpdf",
                "pdf"
            ],
            "support": {
                "source": "https://github.com/Setasign/FPDF/tree/1.8.6"
            },
            "time": "2023-06-26T14:44:25+00:00"
        },
        {
            "name": "setasign/fpdi",
            "version": "v2.6.4",
            "source": {
                "type": "git",
                "url": "https://github.com/Setasign/FPDI.git",
                "reference": "4b53852fde2734ec6a07e458a085db627c60eada"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/Setasign/FPDI/zipball/4b53852fde2734ec6a07e458a085db627c60eada",
                "reference": "4b53852fde2734ec6a07e458a085db627c60eada",
                "shasum": ""
            },
            "require": {
                "ext-zlib": "*",
                "php": "^7.1 || ^8.0"
            },
            "conflict": {
                "setasign/tfpdf": "<1.31"
            },
            "require-dev": {
                "phpunit/phpunit": "^7",
                "setasign/fpdf": "~1.8.6",
                "setasign/tfpdf": "~1.33",
                "squizlabs/php_codesniffer": "^3.5",
                "tecnickcom/tcpdf": "^6.8"
            },
            "suggest": {
                "setasign/fpdf": "FPDI will extend this class but as it is also possible to use TCPDF or tFPDF as an alternative. There's no fixed dependency configured."
            },
            "type": "library",
            "autoload": {
                "psr-4": {
                    "setasign\\Fpdi\\": "src/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Jan Slabon",
                    "email": "jan.slabon@setasign.com",
                    "homepage": "https://www.setasign.com"
                },
                {
                    "name": "Maximilian Kresse",
                    "email": "maximilian.kresse@setasign.com",
                    "homepage": "https://www.setasign.com"
                }
            ],
            "description": "FPDI is a collection of PHP classes facilitating developers to read pages from existing PDF documents and use them as templates in FPDF. Because it is also possible to use FPDI with TCPDF, there are no fixed dependencies defined. Please see suggestions for packages which evaluates the dependencies automatically.",
            "homepage": "https://www.setasign.com/fpdi",
            "keywords": [
                "fpdf",
                "fpdi",
                "pdf"
            ],
            "support": {
                "issues": "https://github.com/Setasign/FPDI/issues",
                "source": "https://github.com/Setasign/FPDI/tree/v2.6.4"
            },
            "funding": [
                {
                    "url": "https://tidelift.com/funding/github/packagist/setasign/fpdi",
                    "type": "tidelift"
                }
            ],
            "time": "2025-08-05T09:57:14+00:00"
        },
        {
            "name": "stripe/stripe-php",
            "version": "v17.6.0",
            "source": {
                "type": "git",
                "url": "https://github.com/stripe/stripe-php.git",
                "reference": "a6219df5df1324a0d3f1da25fb5e4b8a3307ea16"
            },
            "dist": {
                "type": "zip",
                "url": "https://api.github.com/repos/stripe/stripe-php/zipball/a6219df5df1324a0d3f1da25fb5e4b8a3307ea16",
                "reference": "a6219df5df1324a0d3f1da25fb5e4b8a3307ea16",
                "shasum": ""
            },
            "require": {
                "ext-curl": "*",
                "ext-json": "*",
                "ext-mbstring": "*",
                "php": ">=5.6.0"
            },
            "require-dev": {
                "friendsofphp/php-cs-fixer": "3.72.0",
                "phpstan/phpstan": "^1.2",
                "phpunit/phpunit": "^5.7 || ^9.0"
            },
            "type": "library",
            "extra": {
                "branch-alias": {
                    "dev-master": "2.0-dev"
                }
            },
            "autoload": {
                "psr-4": {
                    "Stripe\\": "lib/"
                }
            },
            "notification-url": "https://packagist.org/downloads/",
            "license": [
                "MIT"
            ],
            "authors": [
                {
                    "name": "Stripe and contributors",
                    "homepage": "https://github.com/stripe/stripe-php/contributors"
                }
            ],
            "description": "Stripe PHP Library",
            "homepage": "https://stripe.com/",
            "keywords": [
                "api",
                "payment processing",
                "stripe"
            ],
            "support": {
                "issues": "https://github.com/stripe/stripe-php/issues",
                "source": "https://github.com/stripe/stripe-php/tree/v17.6.0"
            },
            "time": "2025-08-27T19:32:42+00:00"
        }
    ],
    "packages-dev": [],
@@ -95,10 +854,10 @@
    "prefer-stable": false,
    "prefer-lowest": false,
    "platform": {
-        "php": ">=8.1",
+        "php": ">=8.3",
-        "ext-pdo": "*",
+        "ext-json": "*",
        "ext-openssl": "*",
-        "ext-json": "*"
+        "ext-pdo": "*"
    },
    "platform-dev": {},
    "plugin-api-version": "2.6.0"
--- a/api/composer.phar
+++ b/api/composer.phar
--- a/api/config/nginx/pra-geo-http-only.conf
+++ b/api/config/nginx/pra-geo-http-only.conf
@@ -0,0 +1,200 @@
 # =============================================================================
 # Configuration NGINX PRODUCTION pour pra-geo (IN4)
 # Date: 2025-10-07
 # Environnement: PRODUCTION
 # Server: Container pra-geo (13.23.34.43)
 # Port: 80 uniquement (HTTP)
 # SSL/HTTPS: Géré par le reverse proxy NGINX sur le host IN4
 # =============================================================================
 # Site principal (web statique)
 server {
    listen 80;
    server_name geosector.fr;
    root /var/www/geosector/web;
    index index.html;
    # Logs PRODUCTION
    access_log /var/log/nginx/geosector-web_access.log combined;
    error_log /var/log/nginx/geosector-web_error.log warn;
    location / {
        try_files $uri $uri/ /index.html;
    }
    # Assets statiques avec cache agressif
    location ~* \.(jpg|jpeg|png|gif|ico|svg|webp|css|js|woff|woff2|ttf|eot)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        access_log off;
    }
    # Protection des fichiers sensibles
    location ~ /\.(?!well-known) {
        deny all;
        access_log off;
        log_not_found off;
    }
 }
 # =============================================================================
 # APPLICATION FLUTTER + API PHP
 # =============================================================================
 server {
    listen 80;
    server_name app3.geosector.fr;
    # Logs PRODUCTION
    access_log /var/log/nginx/pra-app_access.log combined;
    error_log /var/log/nginx/pra-app_error.log warn;
    # Récupérer le vrai IP du client depuis le reverse proxy
    set_real_ip_from 13.23.34.0/24;  # Réseau Incus
    set_real_ip_from 51.159.7.190;    # IP publique IN4
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;
    # Taille maximale des uploads (pour les logos, exports, etc.)
    client_max_body_size 10M;
    client_body_buffer_size 128k;
    # Timeouts optimisés pour PRODUCTION
    client_body_timeout 30s;
    client_header_timeout 30s;
    send_timeout 60s;
    # =============================================================================
    # APPLICATION FLUTTER (contenu statique)
    # =============================================================================
    location / {
        root /var/www/geosector/app;
        index index.html;
        try_files $uri $uri/ /index.html;
        # Cache intelligent pour PRODUCTION
        # HTML : pas de cache (pour déploiements)
        location ~* \.html$ {
            expires -1;
            add_header Cache-Control "no-cache, no-store, must-revalidate";
        }
        # Assets Flutter (JS, CSS, fonts) avec hash : cache agressif
        location ~* \.(js|css|woff|woff2|ttf|eot)$ {
            expires 1y;
            add_header Cache-Control "public, immutable";
            access_log off;
        }
        # Images : cache longue durée
        location ~* \.(jpg|jpeg|png|gif|ico|svg|webp)$ {
            expires 30d;
            add_header Cache-Control "public";
            access_log off;
        }
    }
    # =============================================================================
    # API PHP (RESTful)
    # =============================================================================
    location /api/ {
        root /var/www/geosector;
        # CORS - Le reverse proxy IN4 ajoute déjà les headers CORS
        # On les ajoute ici pour les requêtes internes si besoin
        # Cache API : pas de cache (données dynamiques)
        add_header Cache-Control "no-store, no-cache, must-revalidate" always;
        add_header Pragma "no-cache" always;
        add_header Expires "0" always;
        # Rewrite vers index.php
        try_files $uri $uri/ /api/index.php$is_args$args;
        # Traitement PHP
        location ~ ^/api/(.+\.php)$ {
            root /var/www/geosector;
            # FastCGI PHP-FPM
            fastcgi_pass unix:/run/php-fpm83/php-fpm.sock;
            fastcgi_index index.php;
            include fastcgi_params;
            fastcgi_param SCRIPT_FILENAME $request_filename;
            # Variable d'environnement PRODUCTION
            fastcgi_param APP_ENV "production";
            fastcgi_param SERVER_NAME "app3.geosector.fr";
            # Headers transmis à PHP (viennent du reverse proxy)
            fastcgi_param HTTP_X_REAL_IP $http_x_real_ip;
            fastcgi_param HTTP_X_FORWARDED_FOR $http_x_forwarded_for;
            fastcgi_param HTTP_X_FORWARDED_PROTO $http_x_forwarded_proto;
            fastcgi_param HTTPS $http_x_forwarded_proto;
            # Timeouts pour opérations longues (sync, exports)
            fastcgi_read_timeout 300;
            fastcgi_send_timeout 300;
            fastcgi_connect_timeout 60;
            # Buffers optimisés
            fastcgi_buffer_size 128k;
            fastcgi_buffers 256 16k;
            fastcgi_busy_buffers_size 256k;
            fastcgi_temp_file_write_size 256k;
        }
    }
    # =============================================================================
    # UPLOADS ET MÉDIAS
    # =============================================================================
    location /api/uploads/ {
        alias /var/www/geosector/api/uploads/;
        # Cache pour les médias uploadés
        expires 7d;
        add_header Cache-Control "public";
        # Sécurité : empêcher l'exécution de scripts
        location ~ \.(php|phtml|php3|php4|php5|phps)$ {
            deny all;
        }
    }
    # =============================================================================
    # SÉCURITÉ
    # =============================================================================
    # Bloquer l'accès aux fichiers sensibles
    location ~ /\.(?!well-known) {
        deny all;
        access_log off;
        log_not_found off;
    }
    # Bloquer l'accès aux fichiers de configuration
    location ~* \.(env|sql|bak|backup|swp|config|conf|ini|log)$ {
        deny all;
        access_log off;
        log_not_found off;
    }
    # Protection contre les requêtes invalides
    if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|PATCH|OPTIONS)$) {
        return 405;
    }
    # =============================================================================
    # MONITORING
    # =============================================================================
    # Endpoint de health check (accessible en interne)
    location = /nginx-health {
        access_log off;
        allow 127.0.0.1;
        allow 13.23.34.0/24;  # Réseau interne Incus
        deny all;
        return 200 "healthy\n";
        add_header Content-Type text/plain;
    }
 }
--- a/api/config/nginx/pra-geo-production.conf
+++ b/api/config/nginx/pra-geo-production.conf
@@ -0,0 +1,290 @@
 # =============================================================================
 # Configuration NGINX PRODUCTION pour pra-geo (IN4)
 # Date: 2025-10-07
 # Environnement: PRODUCTION
 # Server: IN4 (51.159.7.190)
 # =============================================================================
 # Site principal (redirection vers www ou app)
 server {
    listen 80;
    server_name geosector.fr;
    # Redirection permanente vers HTTPS
    return 301 https://$server_name$request_uri;
 }
 server {
    listen 443 ssl http2;
    server_name geosector.fr;
    # Certificats SSL
    ssl_certificate /etc/letsencrypt/live/geosector.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/geosector.fr/privkey.pem;
    # Configuration SSL optimisée
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_stapling on;
    ssl_stapling_verify on;
    root /var/www/geosector/web;
    index index.html;
    # Logs PRODUCTION
    access_log /var/log/nginx/geosector-web_access.log combined;
    error_log /var/log/nginx/geosector-web_error.log warn;
    # Headers de sécurité
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    location / {
        try_files $uri $uri/ /index.html;
    }
    # Assets statiques avec cache agressif
    location ~* \.(jpg|jpeg|png|gif|ico|svg|webp|css|js|woff|woff2|ttf|eot)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        access_log off;
    }
    # Protection des fichiers sensibles
    location ~ /\.(?!well-known) {
        deny all;
        access_log off;
        log_not_found off;
    }
 }
 # =============================================================================
 # APPLICATION FLUTTER + API PHP
 # =============================================================================
 # Redirection HTTP → HTTPS
 server {
    listen 80;
    server_name app3.geosector.fr;
    # Permettre Let's Encrypt validation
    location ^~ /.well-known/acme-challenge/ {
        root /var/www/letsencrypt;
        allow all;
    }
    # Redirection permanente vers HTTPS
    return 301 https://$server_name$request_uri;
 }
 server {
    listen 443 ssl http2;
    server_name app3.geosector.fr;
    # Certificats SSL
    ssl_certificate /etc/letsencrypt/live/app3.geosector.fr/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app3.geosector.fr/privkey.pem;
    # Configuration SSL optimisée (même que ci-dessus)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_stapling on;
    ssl_stapling_verify on;
    # Logs PRODUCTION
    access_log /var/log/nginx/pra-app_access.log combined;
    error_log /var/log/nginx/pra-app_error.log warn;
    # Headers de sécurité globaux
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    # Taille maximale des uploads (pour les logos, exports, etc.)
    client_max_body_size 10M;
    client_body_buffer_size 128k;
    # Timeouts optimisés pour PRODUCTION
    client_body_timeout 30s;
    client_header_timeout 30s;
    send_timeout 60s;
    # =============================================================================
    # APPLICATION FLUTTER (contenu statique)
    # =============================================================================
    location / {
        root /var/www/geosector/app;
        index index.html;
        try_files $uri $uri/ /index.html;
        # Cache intelligent pour PRODUCTION
        # HTML : pas de cache (pour déploiements)
        location ~* \.html$ {
            expires -1;
            add_header Cache-Control "no-cache, no-store, must-revalidate";
        }
        # Assets Flutter (JS, CSS, fonts) avec hash : cache agressif
        location ~* \.(js|css|woff|woff2|ttf|eot)$ {
            expires 1y;
            add_header Cache-Control "public, immutable";
            access_log off;
        }
        # Images : cache longue durée
        location ~* \.(jpg|jpeg|png|gif|ico|svg|webp)$ {
            expires 30d;
            add_header Cache-Control "public";
            access_log off;
        }
    }
    # =============================================================================
    # API PHP (RESTful)
    # =============================================================================
    location /api/ {
        root /var/www/geosector;
        # CORS - Liste blanche des origines autorisées en PRODUCTION
        set $cors_origin "";
        # Autoriser uniquement les domaines de production
        if ($http_origin ~* ^https://(app\.geosector\.fr|geosector\.fr)$) {
            set $cors_origin $http_origin;
        }
        # Gestion des preflight requests (OPTIONS)
        if ($request_method = 'OPTIONS') {
            add_header 'Access-Control-Allow-Origin' $cors_origin always;
            add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, PATCH, OPTIONS' always;
            add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range,Authorization' always;
            add_header 'Access-Control-Allow-Credentials' 'true' always;
            add_header 'Access-Control-Max-Age' 86400;
            add_header 'Content-Type' 'text/plain; charset=utf-8';
            add_header 'Content-Length' 0;
            return 204;
        }
        # Headers CORS pour les requêtes normales
        add_header 'Access-Control-Allow-Origin' $cors_origin always;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, PUT, DELETE, PATCH, OPTIONS' always;
        add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization' always;
        add_header 'Access-Control-Allow-Credentials' 'true' always;
        # Cache API : pas de cache (données dynamiques)
        add_header Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate" always;
        add_header Pragma "no-cache" always;
        add_header Expires "0" always;
        # Headers de sécurité spécifiques API
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-Frame-Options "DENY" always;
        # Rewrite vers index.php
        try_files $uri $uri/ /api/index.php$is_args$args;
        # Traitement PHP
        location ~ ^/api/(.+\.php)$ {
            root /var/www/geosector;
            # FastCGI PHP-FPM
            fastcgi_pass unix:/run/php-fpm83/php-fpm.sock;
            fastcgi_index index.php;
            include fastcgi_params;
            fastcgi_param SCRIPT_FILENAME $request_filename;
            # Variable d'environnement PRODUCTION
            fastcgi_param APP_ENV "production";
            fastcgi_param SERVER_NAME "app3.geosector.fr";
            # Headers transmis à PHP
            fastcgi_param HTTP_X_REAL_IP $remote_addr;
            fastcgi_param HTTP_X_FORWARDED_FOR $proxy_add_x_forwarded_for;
            fastcgi_param HTTP_X_FORWARDED_PROTO $scheme;
            # Timeouts pour opérations longues (sync, exports)
            fastcgi_read_timeout 300;
            fastcgi_send_timeout 300;
            fastcgi_connect_timeout 60;
            # Buffers optimisés
            fastcgi_buffer_size 128k;
            fastcgi_buffers 256 16k;
            fastcgi_busy_buffers_size 256k;
            fastcgi_temp_file_write_size 256k;
            # Headers CORS pour réponses PHP
            add_header 'Access-Control-Allow-Origin' $cors_origin always;
            add_header 'Access-Control-Allow-Credentials' 'true' always;
        }
    }
    # =============================================================================
    # UPLOADS ET MÉDIAS
    # =============================================================================
    location /api/uploads/ {
        alias /var/www/geosector/api/uploads/;
        # Cache pour les médias uploadés
        expires 7d;
        add_header Cache-Control "public";
        # Sécurité : empêcher l'exécution de scripts
        location ~ \.(php|phtml|php3|php4|php5|phps)$ {
            deny all;
        }
    }
    # =============================================================================
    # SÉCURITÉ
    # =============================================================================
    # Bloquer l'accès aux fichiers sensibles
    location ~ /\.(?!well-known) {
        deny all;
        access_log off;
        log_not_found off;
    }
    # Bloquer l'accès aux fichiers de configuration
    location ~* \.(env|sql|bak|backup|swp|config|conf|ini|log)$ {
        deny all;
        access_log off;
        log_not_found off;
    }
    # Bloquer les user-agents malveillants
    if ($http_user_agent ~* (bot|crawler|spider|scraper|wget|curl)) {
        return 403;
    }
    # Protection contre les requêtes invalides
    if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|PATCH|OPTIONS)$) {
        return 405;
    }
    # =============================================================================
    # MONITORING
    # =============================================================================
    # Endpoint de health check (accessible uniquement en local)
    location = /nginx-health {
        access_log off;
        allow 127.0.0.1;
        allow 13.23.34.0/24;  # Réseau interne Incus
        deny all;
        return 200 "healthy\n";
        add_header Content-Type text/plain;
    }
 }
--- a/api/config/whitelist_ip_cache.txt
+++ b/api/config/whitelist_ip_cache.txt
@@ -0,0 +1 @@
 {"ip":"169.155.255.55","timestamp":1758618220,"retrieved_at":"2025-09-23 09:03:41"}
--- a/api/create_table_x_departements_contours.sql
+++ b/api/create_table_x_departements_contours.sql
@@ -0,0 +1,27 @@
 -- Script de création de la table x_departements_contours
 -- À exécuter manuellement en tant qu'administrateur de la base de données
 CREATE TABLE IF NOT EXISTS `x_departements_contours` (
    `id` int(11) NOT NULL AUTO_INCREMENT,
    `code_dept` varchar(3) NOT NULL COMMENT 'Code département (22, 2A, 971...)',
    `nom_dept` varchar(100) NOT NULL,
    `contour` POLYGON NOT NULL COMMENT 'Polygone du contour du département',
    `bbox_min_lat` decimal(10,8) DEFAULT NULL COMMENT 'Latitude min de la bounding box',
    `bbox_max_lat` decimal(10,8) DEFAULT NULL COMMENT 'Latitude max de la bounding box',
    `bbox_min_lng` decimal(11,8) DEFAULT NULL COMMENT 'Longitude min de la bounding box',
    `bbox_max_lng` decimal(11,8) DEFAULT NULL COMMENT 'Longitude max de la bounding box',
    `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
    `updated_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    PRIMARY KEY (`id`),
    UNIQUE KEY `idx_code_dept` (`code_dept`),
    SPATIAL KEY `idx_contour` (`contour`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='Contours géographiques des départements français';
 -- Index pour améliorer les performances des requêtes par bounding box
 CREATE INDEX idx_dept_bbox ON x_departements_contours (bbox_min_lat, bbox_max_lat, bbox_min_lng, bbox_max_lng);
 -- Vérifier que la table a été créée
 SHOW CREATE TABLE x_departements_contours\G
 -- Vérifier les index
 SHOW INDEX FROM x_departements_contours;
--- a/api/data/README.md
+++ b/api/data/README.md
@@ -0,0 +1,30 @@
 # Répertoire data
 Ce répertoire contient les données de référence pour l'API.
 ## Fichiers
 - `stripe_certified_devices.json` (optionnel) : Liste personnalisée des appareils certifiés Stripe Tap to Pay
 ## Format stripe_certified_devices.json
 Si vous souhaitez ajouter des appareils supplémentaires à la liste intégrée, créez un fichier `stripe_certified_devices.json` avec le format suivant :
 ```json
 [
  {
    "manufacturer": "Samsung",
    "model": "Galaxy A55",
    "model_identifier": "SM-A556B",
    "min_android_version": 14
  },
  {
    "manufacturer": "Fairphone",
    "model": "Fairphone 5",
    "model_identifier": "FP5",
    "min_android_version": 13
  }
 ]
 ```
 Les appareils dans ce fichier seront ajoutés à la liste intégrée dans le script CRON.
--- a/api/deploy-api.sh
+++ b/api/deploy-api.sh
@@ -1,27 +1,42 @@
 #!/bin/bash
-# Script de déploiement pour GEOSECTOR API
+# Script de déploiement unifié pour GEOSECTOR API
-# Version: 3.0 (10 mai 2025)
+# Version: 4.0 (Janvier 2025)
 # Auteur: Pierre (avec l'aide de Claude)
 #
 # Usage:
 #   ./deploy-api.sh          # Déploiement local DEV (code → container geo)
 #   ./deploy-api.sh rca      # Livraison RECETTE (container geo → rca-geo)
 #   ./deploy-api.sh pra      # Livraison PRODUCTION (rca-geo → pra-geo)
 set -euo pipefail
 # =====================================
 # Configuration générale
 # =====================================
 # Paramètre optionnel pour l'environnement cible
 TARGET_ENV=${1:-dev}
 # Configuration SSH
 HOST_KEY="/home/pierre/.ssh/id_rsa_mbpi"
 HOST_PORT="22"
 HOST_USER="root"
 # Configuration des serveurs
-JUMP_USER="root"
+RCA_HOST="195.154.80.116"  # IN3 - Serveur de recette
-JUMP_HOST="195.154.80.116"
+PRA_HOST="51.159.7.190"     # IN4 - Serveur de production
 JUMP_PORT="22"
 JUMP_KEY="/Users/pierre/.ssh/id_rsa_mbpi"
-# Paramètres du container Incus
+# Configuration Incus
-INCUS_PROJECT=default
+INCUS_PROJECT="default"
-INCUS_CONTAINER=dva-geo
+API_PATH="/var/www/geosector/api"
 CONTAINER_USER=root
 # Paramètres de déploiement
 FINAL_PATH="/var/www/geosector/api"
 FINAL_OWNER="nginx"
 FINAL_GROUP="nginx"
 FINAL_OWNER_LOGS="nobody"
 FINAL_GROUP_LOGS="nginx"
 # Configuration de sauvegarde
 BACKUP_DIR="/home/pierre/samba/back/geosector/api"
 # Couleurs pour les messages
 GREEN='\033[0;32m'
@@ -30,116 +45,357 @@ YELLOW='\033[0;33m'
 BLUE='\033[0;34m'
 NC='\033[0m' # No Color
-run_in_container() {
+# =====================================
-  echo "-> Running: $*"
+# Fonctions utilitaires
-  incus exec "${INCUS_CONTAINER}" -- "$@" || {
+# =====================================
    echo "❌ Failed to run: $*"
    exit 1
  }
 }
 # Fonction pour afficher les messages d'étape
 echo_step() {
    echo -e "${GREEN}==>${NC} $1"
 }
 # Fonction pour afficher les informations
 echo_info() {
    echo -e "${BLUE}Info:${NC} $1"
 }
 # Fonction pour afficher les avertissements
 echo_warning() {
    echo -e "${YELLOW}Warning:${NC} $1"
 }
 # Fonction pour afficher les erreurs
 echo_error() {
    echo -e "${RED}Error:${NC} $1"
    exit 1
 }
-# Vérification de l'environnement
+# Fonction pour nettoyer les anciens backups
-echo_step "Verifying environment..."
+cleanup_old_backups() {
    local prefix=""
    case $TARGET_ENV in
        "dev") prefix="api-dev-" ;;
        "rca") prefix="api-rca-" ;;
        "pra") prefix="api-pra-" ;;
    esac
-# Vérification des fichiers requis
+    echo_info "Cleaning old backups (keeping last 5)..."
-if [ ! -f "src/Config/AppConfig.php" ]; then
+    ls -t "${BACKUP_DIR}"/${prefix}*.tar.gz 2>/dev/null | tail -n +6 | xargs -r rm -f && {
        REMAINING_BACKUPS=$(ls "${BACKUP_DIR}"/${prefix}*.tar.gz 2>/dev/null | wc -l)
        echo_info "Kept ${REMAINING_BACKUPS} backup(s) for ${TARGET_ENV}"
    }
 }
 # =====================================
 # Détermination de la configuration selon l'environnement
 # =====================================
 case $TARGET_ENV in
    "dev")
        echo_step "Configuring for DEV deployment on IN3"
        SOURCE_TYPE="local_code"
        DEST_CONTAINER="dva-geo"
        DEST_HOST="${RCA_HOST}"  # IN3 pour le DEV aussi
        ENV_NAME="DEVELOPMENT"
        ;;
    "rca")
        echo_step "Configuring for RECETTE delivery"
        SOURCE_TYPE="remote_container"
        SOURCE_CONTAINER="dva-geo"
        SOURCE_HOST="${RCA_HOST}"
        DEST_CONTAINER="rca-geo"
        DEST_HOST="${RCA_HOST}"
        ENV_NAME="RECETTE"
        ;;
    "pra")
        echo_step "Configuring for PRODUCTION delivery"
        SOURCE_TYPE="remote_container"
        SOURCE_HOST="${RCA_HOST}"
        SOURCE_CONTAINER="rca-geo"
        DEST_CONTAINER="pra-geo"
        DEST_HOST="${PRA_HOST}"
        ENV_NAME="PRODUCTION"
        ;;
    *)
        echo_error "Unknown environment: $TARGET_ENV. Use 'dev', 'rca' or 'pra'"
        ;;
 esac
 echo_info "Deployment flow: ${ENV_NAME}"
 # =====================================
 # Création de l'archive selon la source
 # =====================================
 # Créer le dossier de backup s'il n'existe pas
 if [ ! -d "${BACKUP_DIR}" ]; then
    echo_info "Creating backup directory ${BACKUP_DIR}..."
    mkdir -p "${BACKUP_DIR}" || echo_error "Failed to create backup directory"
 fi
 # Horodatage format YYYYMMDDHH
 TIMESTAMP=$(date +%Y%m%d%H)
 # Nom de l'archive selon l'environnement
 case $TARGET_ENV in
    "dev")
        ARCHIVE_NAME="api-dev-${TIMESTAMP}.tar.gz"
        ;;
    "rca")
        ARCHIVE_NAME="api-rca-${TIMESTAMP}.tar.gz"
        ;;
    "pra")
        ARCHIVE_NAME="api-pra-${TIMESTAMP}.tar.gz"
        ;;
 esac
 ARCHIVE_PATH="${BACKUP_DIR}/${ARCHIVE_NAME}"
 if [ "$SOURCE_TYPE" = "local_code" ]; then
    # DEV: Créer une archive depuis le code local
    echo_step "Creating archive from local code..."
    # Vérification des fichiers requis
    if [ ! -f "src/Config/AppConfig.php" ]; then
        echo_error "Configuration file missing"
-fi
+    fi
-if [ ! -f "composer.json" ] || [ ! -f "composer.lock" ]; then
+    if [ ! -f "composer.json" ] || [ ! -f "composer.lock" ]; then
        echo_error "Composer files missing"
-fi
+    fi
-# Étape 0: Définir le nom de l'archive
+    tar --exclude='.git' \
 ARCHIVE_NAME="api-deploy-$(date +%s).tar.gz"
 echo_info "Archive name will be: $ARCHIVE_NAME"
 # Étape 1: Créer une archive du projet
 echo_step "Creating project archive..."
 tar --exclude='.git' \
        --exclude='.gitignore' \
        --exclude='.vscode' \
        --exclude='logs' \
        --exclude='sessions' \
        --exclude='opendata' \
        --exclude='*.template' \
        --exclude='*.sh' \
        --exclude='.env' \
        --exclude='.env_marker' \
        --exclude='*.log' \
        --exclude='.DS_Store' \
        --exclude='README.md' \
        --exclude="*.tar.gz" \
-    --no-xattrs \
+        --exclude='node_modules' \
-    -czf "${ARCHIVE_NAME}" . || echo_error "Failed to create archive"
+        --exclude='vendor' \
        --exclude='*.swp' \
        --exclude='*.swo' \
        --exclude='*~' \
        --exclude='docs/*.geojson' \
        --exclude='docs/*.sql' \
        --exclude='docs/*.pdf' \
        --exclude='composer.phar' \
        --exclude='scripts/migration*' \
        --exclude='scripts/php' \
        --exclude='CLAUDE.md' \
        --exclude='TODO-API.md' \
        -czf "${ARCHIVE_PATH}" . 2>/dev/null || echo_error "Failed to create archive"
-# Vérifier la taille de l'archive
+    echo_info "Archive created: ${ARCHIVE_PATH}"
-ARCHIVE_SIZE=$(du -h "${ARCHIVE_NAME}" | cut -f1)
+    echo_info "Archive size: $(du -h "${ARCHIVE_PATH}" | cut -f1)"
-SSH_JUMP_CMD="ssh -i ${JUMP_KEY} -p ${JUMP_PORT} ${JUMP_USER}@${JUMP_HOST}"
+# Cette section n'est plus utilisée car RCA utilise maintenant remote_container
-# Étape 2: Copier l'archive vers le serveur de saut
+elif [ "$SOURCE_TYPE" = "remote_container" ]; then
-echo_step "Copying archive to jump server..."
+    # RCA et PRA: Créer une archive depuis un container distant
-echo_info "Archive size: $ARCHIVE_SIZE"
+    echo_step "Creating archive from remote container ${SOURCE_CONTAINER} on ${SOURCE_HOST}..."
 scp -i "${JUMP_KEY}" -P "${JUMP_PORT}" "${ARCHIVE_NAME}" "${JUMP_USER}@${JUMP_HOST}:/tmp/${ARCHIVE_NAME}" || echo_error "Failed to copy archive to jump server"
-# Étape 3: Exécuter les commandes sur le serveur de saut pour déployer dans le container Incus
+    # Créer l'archive sur le serveur source
-echo_step "Deploying to Incus container..."
+    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${SOURCE_HOST} "
-$SSH_JUMP_CMD "
+        incus project switch ${INCUS_PROJECT} &&
        incus exec ${SOURCE_CONTAINER} -- tar \
            --exclude='logs' \
            --exclude='uploads' \
            --exclude='sessions' \
            --exclude='opendata' \
            --exclude='docs/*.geojson' \
            --exclude='docs/*.sql' \
            --exclude='docs/*.pdf' \
            --exclude='composer.phar' \
            --exclude='scripts/migration*' \
            --exclude='scripts/php' \
            --exclude='CLAUDE.md' \
            --exclude='TODO-API.md' \
            --exclude='*.tar.gz' \
            --exclude='vendor' \
            -czf /tmp/${ARCHIVE_NAME} -C ${API_PATH} .
    " || echo_error "Failed to create archive on remote"
    # Extraire l'archive du container vers l'hôte
    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${SOURCE_HOST} "
        incus file pull ${SOURCE_CONTAINER}/tmp/${ARCHIVE_NAME} /tmp/${ARCHIVE_NAME} &&
        incus exec ${SOURCE_CONTAINER} -- rm -f /tmp/${ARCHIVE_NAME}
    " || echo_error "Failed to extract archive from remote container"
    # Copier l'archive vers la machine locale
    scp -i ${HOST_KEY} -P ${HOST_PORT} ${HOST_USER}@${SOURCE_HOST}:/tmp/${ARCHIVE_NAME} ${ARCHIVE_PATH} || echo_error "Failed to copy archive locally"
    echo_info "Archive saved: ${ARCHIVE_PATH}"
    echo_info "Archive size: $(du -h "${ARCHIVE_PATH}" | cut -f1)"
 fi
 # Nettoyer les anciens backups
 cleanup_old_backups
 # =====================================
 # Déploiement selon la destination
 # =====================================
 # Tous les déploiements se font maintenant sur des containers distants
 if [ "$DEST_HOST" != "local" ]; then
    # Déploiement sur container distant (DEV, RCA ou PRA)
    echo_step "Deploying to remote container ${DEST_CONTAINER} on ${DEST_HOST}..."
    # Créer une sauvegarde sur le serveur de destination
    BACKUP_TIMESTAMP=$(date +"%Y%m%d_%H%M%S")
    REMOTE_BACKUP_DIR="${API_PATH}_backup_${BACKUP_TIMESTAMP}"
    echo_info "Creating backup on destination..."
    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${DEST_HOST} "
        incus project switch ${INCUS_PROJECT} &&
        incus exec ${DEST_CONTAINER} -- test -d ${API_PATH} &&
        incus exec ${DEST_CONTAINER} -- cp -r ${API_PATH} ${REMOTE_BACKUP_DIR} &&
        echo 'Backup created: ${REMOTE_BACKUP_DIR}'
    " || echo_warning "No existing installation to backup"
    # Transférer l'archive vers le serveur de destination
    echo_info "Transferring archive to ${DEST_HOST}..."
    if [ "$SOURCE_TYPE" = "local_code" ]; then
        # Pour DEV: copier depuis local vers IN3
        scp -i ${HOST_KEY} -P ${HOST_PORT} ${ARCHIVE_PATH} ${HOST_USER}@${DEST_HOST}:/tmp/${ARCHIVE_NAME} || echo_error "Failed to copy archive to destination"
    elif [ "$SOURCE_TYPE" = "remote_container" ] && [ "$SOURCE_HOST" = "$DEST_HOST" ]; then
        # Pour RCA: même serveur (IN3), pas de transfert nécessaire, l'archive est déjà là
        echo_info "Archive already on destination server (same host)"
    else
        # Pour PRA: l'archive est déjà sur la machine locale (copiée depuis IN3)
        # On la transfère maintenant vers IN4
        echo_info "Transferring archive from local to IN4..."
        scp -i ${HOST_KEY} -P ${HOST_PORT} ${ARCHIVE_PATH} ${HOST_USER}@${DEST_HOST}:/tmp/${ARCHIVE_NAME} || echo_error "Failed to copy archive to IN4"
        # Nettoyer sur le serveur source IN3
        ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${SOURCE_HOST} "rm -f /tmp/${ARCHIVE_NAME}" || echo_warning "Could not clean source server"
    fi
    # Déployer sur le container de destination
    echo_info "Extracting on destination container..."
    # Déterminer le nom de l'environnement pour le marqueur
    case $TARGET_ENV in
        "dev") ENV_MARKER="development" ;;
        "rca") ENV_MARKER="recette" ;;
        "pra") ENV_MARKER="production" ;;
    esac
    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${DEST_HOST} "
        set -euo pipefail
-  echo '✅ Passage au projet Incus...'
+        # Pousser l'archive dans le container
-  incus project switch ${INCUS_PROJECT} || exit 1
+        incus project switch ${INCUS_PROJECT} &&
        incus file push /tmp/${ARCHIVE_NAME} ${DEST_CONTAINER}/tmp/${ARCHIVE_NAME} &&
-  echo '📦 Poussée de archive dans le conteneur...'
+        # Nettoyer sélectivement (préserver logs, uploads et sessions)
-  incus file push /tmp/${ARCHIVE_NAME} ${INCUS_CONTAINER}/tmp/${ARCHIVE_NAME} || exit 1
+        incus exec ${DEST_CONTAINER} -- find ${API_PATH} -mindepth 1 -maxdepth 1 ! -name 'uploads' ! -name 'logs' ! -name 'sessions' -exec rm -rf {} \; 2>/dev/null || true &&
-  echo '📁 Préparation du dossier final...'
+        # Extraire l'archive
-  incus exec ${INCUS_CONTAINER} -- mkdir -p ${FINAL_PATH} || exit 1
+        incus exec ${DEST_CONTAINER} -- tar -xzf /tmp/${ARCHIVE_NAME} -C ${API_PATH}/ &&
  incus exec ${INCUS_CONTAINER} -- rm -rf ${FINAL_PATH}/* || exit 1
  incus exec ${INCUS_CONTAINER} -- tar -xzf /tmp/${ARCHIVE_NAME} -C ${FINAL_PATH}/ || exit 1
-  echo '🔧 Réglage des permissions...'
+        # Créer le marqueur d'environnement pour la détection CLI
-  incus exec ${INCUS_CONTAINER} -- mkdir -p ${FINAL_PATH}/logs || exit 1
+        incus exec ${DEST_CONTAINER} -- bash -c 'echo \"${ENV_MARKER}\" > ${API_PATH}/.env_marker' &&
  incus exec ${INCUS_CONTAINER} -- chown -R ${FINAL_OWNER}:${FINAL_GROUP} ${FINAL_PATH} || exit 1
  incus exec ${INCUS_CONTAINER} -- find ${FINAL_PATH} -type d -exec chmod 755 {} \; || exit 1
  incus exec ${INCUS_CONTAINER} -- find ${FINAL_PATH} -type f -exec chmod 644 {} \; || exit 1
-  # Permissions spéciales pour le dossier logs (pour permettre à PHP-FPM de l'utilisateur nobody d'y écrire)
+        # Permissions
-  incus exec ${INCUS_CONTAINER} -- chown -R ${FINAL_OWNER}:${FINAL_OWNER_LOGS} ${FINAL_PATH}/logs || exit 1
+        incus exec ${DEST_CONTAINER} -- chown -R ${FINAL_OWNER}:${FINAL_GROUP} ${API_PATH} &&
-  incus exec ${INCUS_CONTAINER} -- chmod -R 775 ${FINAL_PATH}/logs || exit 1
+        incus exec ${DEST_CONTAINER} -- find ${API_PATH} -type d -exec chmod 755 {} \; &&
-  incus exec ${INCUS_CONTAINER} -- find ${FINAL_PATH}/logs -type f -exec chmod 664 {} \; || exit 1
+        incus exec ${DEST_CONTAINER} -- find ${API_PATH} -type f -exec chmod 644 {} \; &&
-  echo '🧹 Nettoyage...'
+        # Permissions spéciales pour logs (PHP-FPM tourne sous nobody)
-  incus exec ${INCUS_CONTAINER} -- rm -f /tmp/${ARCHIVE_NAME} || exit 1
+        incus exec ${DEST_CONTAINER} -- mkdir -p ${API_PATH}/logs/events &&
-  rm -f /tmp/${ARCHIVE_NAME} || exit 1
+        incus exec ${DEST_CONTAINER} -- chown -R ${FINAL_OWNER_LOGS}:${FINAL_GROUP} ${API_PATH}/logs &&
-"
+        incus exec ${DEST_CONTAINER} -- find ${API_PATH}/logs -type d -exec chmod 775 {} \; &&
        incus exec ${DEST_CONTAINER} -- find ${API_PATH}/logs -type f -exec chmod 664 {} \; &&
-# Nettoyage local
+        # Permissions spéciales pour uploads
-rm -f "${ARCHIVE_NAME}"
+        incus exec ${DEST_CONTAINER} -- mkdir -p ${API_PATH}/uploads &&
        incus exec ${DEST_CONTAINER} -- chown -R ${FINAL_OWNER_LOGS}:${FINAL_GROUP} ${API_PATH}/uploads &&
        incus exec ${DEST_CONTAINER} -- find ${API_PATH}/uploads -type d -exec chmod 750 {} \; &&
        incus exec ${DEST_CONTAINER} -- find ${API_PATH}/uploads -type f -exec chmod 640 {} \; &&
        # Permissions spéciales pour sessions
        incus exec ${DEST_CONTAINER} -- mkdir -p ${API_PATH}/sessions &&
        incus exec ${DEST_CONTAINER} -- chown -R ${FINAL_OWNER_LOGS}:${FINAL_GROUP} ${API_PATH}/sessions &&
        incus exec ${DEST_CONTAINER} -- chmod 700 ${API_PATH}/sessions &&
        # Composer (installation stricte - échec bloquant)
        incus exec ${DEST_CONTAINER} -- bash -c 'cd ${API_PATH} && composer install --no-dev --optimize-autoloader' || { echo 'ERROR: Composer install failed'; exit 1; } &&
        # Nettoyage
        incus exec ${DEST_CONTAINER} -- rm -f /tmp/${ARCHIVE_NAME} &&
        rm -f /tmp/${ARCHIVE_NAME}
    " || echo_error "Deployment failed on destination"
    echo_info "Remote backup saved: ${REMOTE_BACKUP_DIR} on ${DEST_CONTAINER}"
    # Nettoyage des anciens backups sur le container distant
    echo_info "Cleaning old backup directories on ${DEST_CONTAINER}..."
    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${DEST_HOST} "
        incus exec ${DEST_CONTAINER} -- bash -c 'rm -rf ${API_PATH}_backup_*'
    " && echo_info "Old backups cleaned" || echo_warning "Could not clean old backups"
    # =====================================
    # Configuration des tâches CRON
    # =====================================
    echo_step "Configuring CRON tasks..."
    ssh -i ${HOST_KEY} -p ${HOST_PORT} ${HOST_USER}@${DEST_HOST} "
        incus exec ${DEST_CONTAINER} -- bash <<'EOFCRON'
            # Sauvegarder les crons existants (hors geosector)
            crontab -l 2>/dev/null | grep -v 'geosector/api/scripts/cron' > /tmp/crontab_backup || true
            # Créer le nouveau crontab avec les tâches CRON pour l'API
            cat /tmp/crontab_backup > /tmp/new_crontab
            cat >> /tmp/new_crontab <<'EOF'
 # GEOSECTOR API - Email queue processing (every 5 minutes)
 */5 * * * * /usr/bin/php /var/www/geosector/api/scripts/cron/process_email_queue.php >> /var/www/geosector/api/logs/email_queue.log 2>&1
 # GEOSECTOR API - Security data cleanup (daily at 2am)
 0 2 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_security_data.php >> /var/www/geosector/api/logs/cleanup_security.log 2>&1
 # GEOSECTOR API - Event stats aggregation (daily at 1am)
 0 1 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/aggregate_event_stats.php >> /var/www/geosector/api/logs/aggregate_stats.log 2>&1
 EOF
            # Installer le nouveau crontab
            crontab /tmp/new_crontab
            # Nettoyer
            rm -f /tmp/crontab_backup /tmp/new_crontab
            # Afficher les crons installés
            echo 'CRON tasks installed:'
            crontab -l | grep geosector
 EOFCRON
    " && echo_info "CRON tasks configured successfully" || echo_warning "CRON configuration failed"
 fi
 # L'archive reste dans le dossier de backup, pas de nettoyage nécessaire
 echo_info "Archive preserved in backup directory: ${ARCHIVE_PATH}"
 # =====================================
 # Résumé final
-echo_step "Deployment completed successfully."
+# =====================================
-echo_info "Your API has been updated on the container."
+
 echo_step "Deployment completed successfully!"
 echo_info "Environment: ${ENV_NAME}"
 if [ "$TARGET_ENV" = "dev" ]; then
    echo_info "Deployed from local code to container ${DEST_CONTAINER} on IN3 (${DEST_HOST})"
 elif [ "$TARGET_ENV" = "rca" ]; then
    echo_info "Delivered from ${SOURCE_CONTAINER} to ${DEST_CONTAINER} on ${DEST_HOST}"
 elif [ "$TARGET_ENV" = "pra" ]; then
    echo_info "Delivered from ${SOURCE_CONTAINER} on ${SOURCE_HOST} to ${DEST_CONTAINER} on ${DEST_HOST}"
 fi
 echo_info "Deployment completed at: $(date)"
 # Journaliser le déploiement
-echo "$(date '+%Y-%m-%d %H:%M:%S') - API deployed to ${JUMP_HOST}:${INCUS_CONTAINER}" >> ~/.geo_deploy_history
+echo "$(date '+%Y-%m-%d %H:%M:%S') - API deployed to ${ENV_NAME} (${DEST_CONTAINER}) - Archive: ${ARCHIVE_NAME}" >> ~/.geo_deploy_history
--- a/api/docs/API-SECURITY.md
+++ b/api/docs/API-SECURITY.md
@@ -0,0 +1,334 @@
 # API Security & Performance Monitoring
 ## 📋 Vue d'ensemble
 Système complet de sécurité et monitoring pour l'API GeoSector implémenté et opérationnel.
 ### ✅ Fonctionnalités implémentées
 - **Détection d'intrusions** : Brute force, SQL injection, patterns de scan
 - **Monitoring des performances** : Temps de réponse, utilisation mémoire, requêtes DB
 - **Alertes email intelligentes** : Throttling, niveaux de priorité
 - **Blocage d'IP automatique** : Temporaire ou permanent
 - **Traçabilité complète** : Historique pour audit et analyse
 ## 🏗️ Architecture
 ### Tables de base de données (préfixe `sec_`)
 ```sql
 -- 4 tables créées dans scripts/sql/create_security_tables.sql
 sec_alerts                 -- Alertes de sécurité
 sec_performance_metrics    -- Métriques de performance
 sec_failed_login_attempts  -- Tentatives de connexion échouées
 sec_blocked_ips           -- IPs bloquées
 ```
 ### Services PHP implémentés
 ```
 src/Services/Security/
 ├── AlertService.php        # Gestion centralisée des alertes
 ├── EmailThrottler.php      # Anti-spam pour emails
 ├── SecurityMonitor.php     # Détection des menaces
 ├── PerformanceMonitor.php  # Monitoring des temps
 └── IPBlocker.php          # Gestion des blocages IP
 ```
 ### Contrôleur d'administration
 ```
 src/Controllers/SecurityController.php  # Interface d'administration
 ```
 ## 🚀 Installation
 ### 1. Créer les tables
 ```bash
 # Exécuter le script SQL sur chaque environnement
 mysql -u root -p geo_app < scripts/sql/create_security_tables.sql
 ```
 ### 2. Configurer le cron de purge
 ```bash
 # Ajouter dans crontab (crontab -e)
 0 2 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_security_data.php >> /var/log/security_cleanup.log 2>&1
 ```
 ### 3. Tester l'installation
 ```bash
 php test_security.php
 ```
 ## 🔒 Fonctionnement
 ### Détection automatique
 Le système détecte et bloque automatiquement :
 - **Brute force** : 5 tentatives échouées en 5 minutes → IP bloquée 1h
 - **SQL injection** : Patterns suspects → IP bloquée définitivement
 - **Scan de vulnérabilités** : Accès aux fichiers sensibles → IP bloquée 1h
 - **Rate limiting** : Plus de 60 requêtes/minute → Rejet temporaire
 ### Monitoring de performance
 Chaque requête est automatiquement monitorée :
 ```php
 // Dans index.php
 PerformanceMonitor::startRequest();
 // ... traitement ...
 PerformanceMonitor::endRequest($endpoint, $method, $statusCode);
 ```
 ### Alertes email
 Configuration des niveaux :
 - **INFO** : Log uniquement
 - **WARNING** : Email avec throttling 1h
 - **ERROR** : Email avec throttling 15min
 - **CRITICAL** : Email avec throttling 5min
 - **SECURITY** : Email immédiat, priorité haute
 ## 📊 Endpoints d'administration
 Tous les endpoints nécessitent une authentification admin (role >= 2) :
 ```
 GET  /api/admin/metrics           # Métriques de performance
 GET  /api/admin/alerts            # Alertes actives
 POST /api/admin/alerts/:id/resolve # Résoudre une alerte
 GET  /api/admin/blocked-ips       # IPs bloquées
 POST /api/admin/unblock-ip        # Débloquer une IP
 POST /api/admin/block-ip          # Bloquer une IP manuellement
 GET  /api/admin/security-report   # Rapport complet
 POST /api/admin/cleanup           # Nettoyer les anciennes données
 POST /api/admin/test-alert        # Tester les alertes
 ```
 ## 🔧 Configuration
 ### Seuils par défaut (modifiables dans les services)
 ```php
 // PerformanceMonitor.php
 const DEFAULT_THRESHOLDS = [
    'response_time_warning' => 1000,    // 1 seconde
    'response_time_critical' => 3000,   // 3 secondes
    'db_time_warning' => 500,           // 500ms
    'db_time_critical' => 1000,         // 1 seconde
    'memory_warning' => 64,             // 64 MB
    'memory_critical' => 128            // 128 MB
 ];
 // SecurityMonitor.php
 - Brute force : 5 tentatives en 5 minutes
 - Rate limit : 60 requêtes par minute
 - 404 pattern : 10 erreurs 404 en 10 minutes
 // EmailThrottler.php
 const DEFAULT_CONFIG = [
    'max_per_hour' => 10,
    'max_per_day' => 50,
    'digest_after' => 5,
    'cooldown_minutes' => 60
 ];
 ```
 ### Rétention des données
 Configurée dans `scripts/cron/cleanup_security_data.php` :
 ```php
 $RETENTION_DAYS = [
    'performance_metrics' => 30,      // 30 jours
    'failed_login_attempts' => 7,     // 7 jours
    'resolved_alerts' => 90,          // 90 jours
    'expired_blocks' => 0              // Déblocage immédiat
 ];
 ```
 ## 📈 Métriques surveillées
 ### Performance
 - Temps de réponse total
 - Temps cumulé des requêtes DB
 - Nombre de requêtes DB
 - Utilisation mémoire (pic et moyenne)
 - Codes HTTP de réponse
 ### Sécurité
 - Tentatives de connexion échouées
 - IPs bloquées (temporaires/permanentes)
 - Patterns d'attaque détectés
 - Alertes par type et niveau
 ## 🛡️ Patterns de détection
 ### SQL Injection
 ```php
 // Patterns détectés dans SecurityMonitor.php
 - UNION SELECT
 - DROP TABLE
 - INSERT INTO
 - UPDATE SET
 - DELETE FROM
 - Script tags
 - OR 1=1
 - Commentaires SQL (--)
 ```
 ### Fichiers sensibles
 ```php
 // Patterns de scan détectés
 - admin, administrator
 - wp-admin, phpmyadmin
 - .git, .env
 - config.php
 - backup, .sql, .zip
 - shell.php, eval.php
 ```
 ## 📝 Exemples d'utilisation
 ### Déclencher une alerte manuelle
 ```php
 use App\Services\Security\AlertService;
 AlertService::trigger('CUSTOM_ALERT', [
    'message' => 'Événement important détecté',
    'details' => ['user' => $userId, 'action' => $action]
 ], 'WARNING');
 ```
 ### Bloquer une IP manuellement
 ```php
 use App\Services\Security\IPBlocker;
 // Blocage temporaire (1 heure)
 IPBlocker::block('192.168.1.100', 3600, 'Comportement suspect');
 // Blocage permanent
 IPBlocker::blockPermanent('192.168.1.100', 'Attaque confirmée');
 ```
 ### Obtenir les statistiques
 ```php
 use App\Services\Security\SecurityMonitor;
 use App\Services\Security\PerformanceMonitor;
 $securityStats = SecurityMonitor::getSecurityStats();
 $perfStats = PerformanceMonitor::getStats(null, 24); // 24h
 ```
 ## ⚠️ Points d'attention
 ### RGPD
 - Les IPs sont des données personnelles
 - Durée de conservation limitée (voir rétention)
 - Anonymisation après traitement
 ### Performance
 - Overhead < 5ms par requête
 - Optimisation des tables avec index
 - Purge automatique des anciennes données
 ### Sécurité
 - Pas d'exposition de données sensibles dans les alertes
 - Chiffrement des données utilisateur
 - Whitelist pour IPs de confiance (localhost)
 ## 🔄 Maintenance
 ### Quotidienne (cron)
 ```bash
 # Purge automatique à 2h du matin
 0 2 * * * php /var/www/geosector/api/scripts/cron/cleanup_security_data.php
 ```
 ### Hebdomadaire
 - Vérifier les alertes actives
 - Analyser les tendances de performance
 - Ajuster les seuils si nécessaire
 ### Mensuelle
 - Analyser le rapport de sécurité
 - Mettre à jour les IPs whitelist/blacklist
 - Optimiser les tables si nécessaire
 ## 🐛 Dépannage
 ### Les tables n'existent pas
 ```bash
 # Créer les tables
 mysql -u root -p geo_app < scripts/sql/create_security_tables.sql
 ```
 ### Pas d'alertes email
 - Vérifier la configuration email dans `AppConfig`
 - Vérifier les logs : `tail -f logs/geosector-*.log`
 - Tester avec : `POST /api/admin/test-alert`
 ### IP bloquée par erreur
 ```bash
 # Via API
 curl -X POST https://dapp.geosector.fr/api/admin/unblock-ip \
  -H "Authorization: Bearer TOKEN" \
  -d '{"ip": "192.168.1.100"}'
 # Via MySQL
 UPDATE sec_blocked_ips SET unblocked_at = NOW() WHERE ip_address = '192.168.1.100';
 ```
 ## 📚 Ressources
 - [OWASP Top 10](https://owasp.org/www-project-top-ten/)
 - [PHP Security Best Practices](https://www.php.net/manual/en/security.php)
 - Code source : `/src/Services/Security/`
 - Tests : `test_security.php`
 - Logs : `/logs/geosector-*.log`
 ## 🎯 Statut d'implémentation
 ✅ **Phase 1** : Infrastructure de base - COMPLÉTÉ
 - Tables créées avec préfixe `sec_`
 - Services PHP implémentés
 - Intégration dans index.php et Database.php
 ✅ **Phase 2** : Monitoring de Performance - COMPLÉTÉ
 - Chronométrage automatique des requêtes
 - Monitoring des requêtes DB
 - Alertes sur dégradation
 ✅ **Phase 3** : Détection d'intrusions - COMPLÉTÉ
 - Détection brute force
 - Détection SQL injection
 - Blocage IP automatique
 ✅ **Phase 4** : Alertes Email - COMPLÉTÉ
 - Service d'alertes avec throttling
 - Templates d'emails
 - Niveaux de priorité
 ✅ **Phase 5** : Administration - COMPLÉTÉ
 - Endpoints d'administration
 - Interface de gestion
 - Rapports de sécurité
 ✅ **Phase 6** : Maintenance - COMPLÉTÉ
 - Script de purge automatique
 - Optimisation des tables
 - Documentation complète
 ---
 *Dernière mise à jour : 2025-01-17*
 *Version : 1.0.0*
--- a/api/docs/CDC.md
+++ b/api/docs/CDC.md
--- a/api/docs/CHAT_MODULE.md
+++ b/api/docs/CHAT_MODULE.md
@@ -0,0 +1,419 @@
 # Module Chat - Documentation API
 ## Vue d'ensemble
 Le module Chat permet aux utilisateurs de l'application GeoSector de communiquer entre eux via une messagerie intégrée. Il supporte les conversations privées, de groupe et les diffusions (broadcast).
 ## Architecture
 ### Tables de base de données
 - `chat_rooms` : Salles de conversation
 - `chat_messages` : Messages échangés
 - `chat_participants` : Participants aux conversations
 - `chat_read_receipts` : Accusés de lecture
 ### Permissions par rôle
 | Rôle | Permissions |
 |------|------------|
 | **1 - Utilisateur** | Conversations privées et groupes avec membres de son entité |
 | **2 - Admin entité** | Toutes conversations de son entité + création de diffusions |
 | **> 2 - Super admin** | Accès total à toutes les conversations |
 ## Flux d'utilisation du module Chat
 ### 📱 Vue d'ensemble du flux
 Le module Chat fonctionne en mode **chargement dynamique** : les données sont récupérées à la demande, pas toutes en une fois au login.
 ### 1. Au login (`/api/login`)
 La réponse du login contient un objet `chat` avec les informations de base :
 ```json
 {
  "status": "success",
  "user": {...},
  "amicale": {...},
  "chat": {
    "total_rooms": 5,           // Nombre total de conversations
    "unread_messages": 12,       // Total messages non lus
    "chat_enabled": true,        // Module activé pour cet utilisateur
    "last_active_room": {        // Dernière conversation active
      "id": "uuid-room-123",
      "title": "Discussion équipe",
      "type": "group",
      "last_message": "À demain !",
      "last_message_at": "2025-01-17 18:30:00"
    }
  }
 }
 ```
 → Permet d'afficher un **badge de notification** et de savoir si le chat est disponible
 ### 2. Ouverture de la page Chat
 #### Étape 1 : Chargement initial
 ```
 GET /api/chat/rooms
 ```
 → Récupère la liste des conversations avec aperçu du dernier message
 #### Étape 2 : Sélection d'une conversation
 ```
 GET /api/chat/rooms/{room_id}/messages?limit=50
 ```
 → Charge les 50 derniers messages (pagination disponible)
 #### Étape 3 : Marquage comme lu
 ```
 POST /api/chat/rooms/{room_id}/read
 ```
 → Met à jour les compteurs de messages non lus
 ### 3. Actions utilisateur
 | Action | Endpoint | Description |
 |--------|----------|-------------|
 | **Envoyer un message** | `POST /api/chat/rooms/{id}/messages` | Envoie et retourne le message créé |
 | **Créer une conversation** | `POST /api/chat/rooms` | Crée une nouvelle room |
 | **Obtenir les destinataires** | `GET /api/chat/recipients` | Liste des contacts disponibles |
 | **Charger plus de messages** | `GET /api/chat/rooms/{id}/messages?before={msg_id}` | Pagination |
 ### 4. Stratégies de rafraîchissement
 #### Polling (recommandé pour débuter)
 - Rafraîchir `/api/chat/rooms` toutes les 30 secondes
 - Rafraîchir les messages de la conversation active toutes les 10 secondes
 #### Pull to refresh
 - Permettre à l'utilisateur de rafraîchir manuellement
 #### Lifecycle events
 - Recharger quand l'app revient au premier plan
 - Rafraîchir après envoi d'un message
 ### 5. Exemple d'implémentation Flutter
 ```dart
 class ChatService {
  Timer? _roomsTimer;
  Timer? _messagesTimer;
  // 1. Au login, stocker les infos de base
  void initFromLogin(Map<String, dynamic> chatData) {
    _unreadCount = chatData['unread_messages'];
    _chatEnabled = chatData['chat_enabled'];
    notifyListeners();
  }
  // 2. À l'ouverture du chat
  Future<void> openChatPage() async {
    // Charger les conversations
    final rooms = await api.get('/api/chat/rooms');
    _rooms = rooms['rooms'];
    // Démarrer le polling
    _startPolling();
  }
  // 3. Sélection d'une conversation
  Future<void> selectRoom(String roomId) async {
    // Charger les messages
    final response = await api.get('/api/chat/rooms/$roomId/messages');
    _currentMessages = response['messages'];
    // Marquer comme lu
    await api.post('/api/chat/rooms/$roomId/read');
    // Rafraîchir plus fréquemment cette conversation
    _startMessagePolling(roomId);
  }
  // 4. Polling automatique
  void _startPolling() {
    _roomsTimer = Timer.periodic(Duration(seconds: 30), (_) {
      _refreshRooms();
    });
  }
  // 5. Nettoyage
  void dispose() {
    _roomsTimer?.cancel();
    _messagesTimer?.cancel();
  }
 }
 ```
 ## Endpoints API
 ### 1. GET /api/chat/rooms
 **Description** : Récupère la liste des conversations de l'utilisateur
 **Réponse** :
 ```json
 {
  "status": "success",
  "rooms": [
    {
      "id": "uuid-room-1",
      "title": "Discussion équipe",
      "type": "group",
      "created_at": "2025-01-17 10:00:00",
      "created_by": 123,
      "updated_at": "2025-01-17 14:30:00",
      "last_message": "Bonjour tout le monde",
      "last_message_at": "2025-01-17 14:30:00",
      "unread_count": 3,
      "participant_count": 5,
      "participants": [
        {
          "user_id": 123,
          "name": "Jean Dupont",
          "first_name": "Jean",
          "is_admin": true
        }
      ]
    }
  ]
 }
 ```
 ### 2. POST /api/chat/rooms
 **Description** : Crée une nouvelle conversation
 **Body** :
 ```json
 {
  "type": "private|group|broadcast",
  "title": "Titre optionnel (requis pour group/broadcast)",
  "participants": [456, 789],  // IDs des participants
  "initial_message": "Message initial optionnel"
 }
 ```
 **Règles** :
 - `private` : Maximum 2 participants (incluant le créateur)
 - `group` : Plusieurs participants possibles
 - `broadcast` : Réservé aux admins (rôle >= 2)
 **Réponse** :
 ```json
 {
  "status": "success",
  "room": {
    "id": "uuid-new-room",
    "title": "Nouvelle conversation",
    "type": "group",
    "created_at": "2025-01-17 15:00:00",
    "participants": [...]
  },
  "existing": false  // true si conversation privée existante trouvée
 }
 ```
 ### 3. GET /api/chat/rooms/{id}/messages
 **Description** : Récupère les messages d'une conversation
 **Paramètres** :
 - `limit` : Nombre de messages (défaut: 50, max: 100)
 - `before` : ID du message pour pagination
 **Réponse** :
 ```json
 {
  "status": "success",
  "messages": [
    {
      "id": "uuid-message-1",
      "content": "Bonjour !",
      "sender_id": 123,
      "sender_name": "Jean Dupont",
      "sender_first_name": "Jean",
      "sent_at": "2025-01-17 14:00:00",
      "edited_at": null,
      "is_deleted": false,
      "is_read": true,
      "is_mine": false,
      "read_count": 3
    }
  ],
  "has_more": true
 }
 ```
 ### 4. POST /api/chat/rooms/{id}/messages
 **Description** : Envoie un message dans une conversation
 **Body** :
 ```json
 {
  "content": "Contenu du message (max 5000 caractères)"
 }
 ```
 **Réponse** :
 ```json
 {
  "status": "success",
  "message": {
    "id": "uuid-new-message",
    "content": "Message envoyé",
    "sender_id": 123,
    "sender_name": "Jean Dupont",
    "sent_at": "2025-01-17 15:30:00",
    "is_mine": true,
    "is_read": false,
    "read_count": 0
  }
 }
 ```
 ### 5. POST /api/chat/rooms/{id}/read
 **Description** : Marque les messages comme lus
 **Body (optionnel)** :
 ```json
 {
  "message_ids": ["uuid-1", "uuid-2"]  // Si omis, marque tous les messages
 }
 ```
 **Réponse** :
 ```json
 {
  "status": "success",
  "unread_count": 0  // Nombre de messages non lus restants
 }
 ```
 ### 6. GET /api/chat/recipients
 **Description** : Liste des destinataires possibles pour créer une conversation
 **Réponse** :
 ```json
 {
  "status": "success",
  "recipients": [
    {
      "id": 456,
      "name": "Marie Martin",
      "first_name": "Marie",
      "role": 1,
      "entite_id": 5
    }
  ],
  "recipients_by_entity": {
    "Amicale de Grenoble": [
      {...}
    ],
    "Amicale de Lyon": [
      {...}
    ]
  }
 }
 ```
 ## Fonctionnalités clés
 ### 1. Types de conversations
 #### Private (Conversation privée)
 - Entre 2 utilisateurs uniquement
 - Détection automatique de conversation existante
 - Pas de titre requis
 #### Group (Groupe)
 - Plusieurs participants
 - Titre optionnel mais recommandé
 - Admin de groupe (créateur)
 #### Broadcast (Diffusion)
 - Réservé aux admins (rôle >= 2)
 - Communication unidirectionnelle possible
 - Pour annonces importantes
 ### 2. Gestion des permissions
 Le système vérifie automatiquement :
 - L'appartenance à une conversation avant lecture/écriture
 - Les droits de création selon le type de conversation
 - La visibilité des destinataires selon le rôle
 ### 3. Statuts de lecture
 - **Accusés de lecture individuels** : Chaque message peut être marqué comme lu
 - **Compteur de non-lus** : Par conversation et global
 - **Last read** : Timestamp de dernière lecture par participant
 ### 4. Optimisations
 - **Pagination** : Chargement progressif des messages
 - **Index optimisés** : Pour les requêtes fréquentes
 - **Vue SQL** : Pour récupération rapide du dernier message
 ## Sécurité
 ### Chiffrement
 - Les noms d'utilisateurs sont stockés chiffrés (AES-256)
 - Déchiffrement à la volée lors de la lecture
 ### Validation
 - Longueur maximale des messages : 5000 caractères
 - Trim automatique du contenu
 - Vérification des permissions à chaque action
 ### Isolation
 - Les utilisateurs ne voient que leurs conversations autorisées
 - Filtrage par entité selon le rôle
 - Soft delete pour conservation de l'historique
 ## Migration
 Exécuter le script SQL :
 ```bash
 mysql -u root -p geo_app < scripts/sql/create_chat_tables.sql
 ```
 ## Évolutions futures possibles
 1. **Notifications push** : Intégration avec Firebase/WebSocket
 2. **Fichiers joints** : Support d'images et documents
 3. **Réactions** : Emojis sur les messages
 4. **Mentions** : @username pour notifier
 5. **Recherche** : Dans l'historique des messages
 6. **Chiffrement E2E** : Pour conversations sensibles
 7. **Statuts de présence** : En ligne/Hors ligne
 8. **Indicateur de frappe** : "X est en train d'écrire..."
 ## Tests
 ### Cas de test recommandés
 1. **Création de conversation privée**
   - Vérifier la détection de conversation existante
   - Tester avec utilisateurs de différentes entités
 2. **Envoi de messages**
   - Messages avec caractères UTF-8 (émojis, accents)
   - Messages très longs (limite 5000)
   - Messages vides (doivent être rejetés)
 3. **Marquage comme lu**
   - Marquer messages spécifiques
   - Marquer tous les messages d'une room
   - Vérifier les compteurs
 4. **Permissions**
   - Utilisateur simple ne peut pas créer de broadcast
   - Accès refusé aux conversations non autorisées
   - Filtrage correct des destinataires
 ## Support
 Pour toute question ou problème :
 - Vérifier les logs dans `/logs/`
 - Consulter les tables `chat_*` en base de données
 - Tester avec les scripts de test fournis
--- a/api/docs/CHK_USER_DELETE_PASS_INFO.md
+++ b/api/docs/CHK_USER_DELETE_PASS_INFO.md
@@ -0,0 +1,138 @@
 # Gestion du champ chk_user_delete_pass
 ## 📋 Description
 Le champ `chk_user_delete_pass` permet de contrôler si les membres d'une amicale peuvent supprimer des passages.
 ## 🔄 Modifications API
 ### 1. Base de données
 - **Table** : `entites`
 - **Champ** : `chk_user_delete_pass` TINYINT(1) DEFAULT 0
 - **Valeurs** : 
  - `0` : Les membres NE peuvent PAS supprimer de passages (par défaut)
  - `1` : Les membres PEUVENT supprimer des passages
 ### 2. Endpoints modifiés
 #### POST /api/entites (Création)
 - Le champ est automatiquement initialisé à `0` (false) lors de la création
 - Non modifiable à la création
 #### PUT /api/entites/{id} (Modification)
 **Entrée JSON :**
 ```json
 {
  "chk_user_delete_pass": 1
 }
 ```
 - **Type** : Boolean (0 ou 1)
 - **Obligatoire** : Non
 - **Accès** : Administrateurs uniquement (fk_role > 1)
 #### GET /api/entites/{id} (Récupération)
 **Sortie JSON :**
 ```json
 {
  "id": 5,
  "name": "Amicale de Pompiers",
  "code_postal": "75001",
  "ville": "Paris",
  "chk_active": 1,
  "chk_user_delete_pass": 0
 }
 ```
 #### GET /api/entites (Liste)
 Retourne `chk_user_delete_pass` pour chaque entité dans la liste.
 ### 3. Route /api/login
 Le champ `chk_user_delete_pass` est maintenant inclus dans la réponse de login dans les objets `amicale` :
 **Réponse JSON :**
 ```json
 {
  "user": { ... },
  "amicale": {
    "id": 5,
    "name": "Amicale de Pompiers",
    "code_postal": "75001",
    "ville": "Paris",
    "chk_demo": 0,
    "chk_mdp_manuel": 0,
    "chk_username_manuel": 0,
    "chk_copie_mail_recu": 0,
    "chk_accept_sms": 0,
    "chk_active": 1,
    "chk_stripe": 0,
    "chk_user_delete_pass": 0  // ← NOUVEAU CHAMP
  }
 }
 ```
 ## 🎯 Utilisation côté client
 ### Flutter/Web
 Le client doit :
 1. **Récupérer** la valeur de `chk_user_delete_pass` depuis la réponse login
 2. **Stocker** cette valeur dans l'état de l'application
 3. **Conditionner** l'affichage du bouton de suppression selon cette valeur
 **Exemple Flutter :**
 ```dart
 // Dans le modèle Amicale
 class Amicale {
  final int id;
  final String name;
  final bool chkUserDeletePass; // Nouveau champ
  bool get canUserDeletePassage => chkUserDeletePass;
 }
 // Dans l'UI
 if (amicale.canUserDeletePassage) {
  // Afficher le bouton de suppression
  IconButton(
    icon: Icon(Icons.delete),
    onPressed: () => deletePassage(passageId),
  )
 }
 ```
 ## ⚠️ Points importants
 1. **Valeur par défaut** : Toujours `0` (false) pour la sécurité
 2. **Modification** : Seuls les administrateurs (fk_role > 1) peuvent modifier ce champ
 3. **Rétrocompatibilité** : Les entités existantes ont la valeur `0` par défaut
 4. **Validation côté serveur** : L'API vérifiera également ce droit lors de la tentative de suppression
 ## 📝 Script SQL
 Le script de migration est disponible dans :
 ```
 /scripts/sql/add_chk_user_delete_pass.sql
 ```
 ## ✅ Checklist d'implémentation
 ### Côté API (déjà fait) :
 - [x] Ajout du champ en base de données
 - [x] Modification EntiteController (create, update, get)
 - [x] Modification LoginController (réponse login)
 - [x] Script SQL de migration
 ### Côté Client (à faire) :
 - [ ] Ajouter le champ dans le modèle Amicale
 - [ ] Parser le champ depuis la réponse login
 - [ ] Stocker dans l'état de l'application
 - [ ] Conditionner l'affichage du bouton suppression
 - [ ] Tester avec des valeurs 0 et 1
 ## 🔒 Sécurité
 Même si `chk_user_delete_pass = 1`, l'API devra vérifier :
 - L'authentification de l'utilisateur
 - L'appartenance à l'entité
 - Le droit de suppression sur le passage spécifique
 - Les règles métier (ex: pas de suppression après export)
 ---
 **Date :** 20/08/2025
 **Version API :** 3.1.4
--- a/api/docs/DELETE_PASSAGE_PERMISSIONS.md
+++ b/api/docs/DELETE_PASSAGE_PERMISSIONS.md
@@ -0,0 +1,165 @@
 # API DELETE /passages/{id} - Documentation des permissions
 ## 📋 Endpoint
 ```
 DELETE /api/passages/{id}
 ```
 ## 🔒 Authentification
 - **Requise** : OUI (Bearer token)
 - **Session** : Doit être valide
 ## 📊 Logique de permissions
 ### Règles par rôle :
 | fk_role | Description | Peut supprimer ? | Conditions |
 |---------|------------|------------------|------------|
 | 1 | Membre | ✅ Conditionnel | Si `entites.chk_user_delete_pass = 1` |
 | 2 | Admin amicale | ✅ OUI | Toujours autorisé |
 | 3+ | Super admin | ✅ OUI | Toujours autorisé |
 ### Détail du contrôle pour les membres (fk_role = 1) :
 ```sql
 -- L'API vérifie :
 SELECT chk_user_delete_pass 
 FROM entites 
 WHERE id = {user.fk_entite}
 -- Si chk_user_delete_pass = 0 → Erreur 403
 -- Si chk_user_delete_pass = 1 → Continue
 ```
 ## 🔄 Flux de vérification
 ```mermaid
 graph TD
    A[DELETE /passages/{id}] --> B{Utilisateur authentifié ?}
    B -->|Non| C[Erreur 401]
    B -->|Oui| D{Récupérer fk_role}
    D --> E{fk_role = 1 ?}
    E -->|Non| F[Autorisé - Admin]
    E -->|Oui| G{Vérifier chk_user_delete_pass}
    G -->|= 0| H[Erreur 403 - Non autorisé]
    G -->|= 1| F
    F --> I{Passage existe ?}
    I -->|Non| J[Erreur 404]
    I -->|Oui| K{Passage appartient à l'entité ?}
    K -->|Non| L[Erreur 404]
    K -->|Oui| M[Soft delete : chk_active = 0]
    M --> N[Succès 200]
 ```
 ## 📝 Réponses
 ### ✅ Succès (200)
 ```json
 {
    "status": "success",
    "message": "Passage supprimé avec succès"
 }
 ```
 ### ❌ Erreur 401 - Non authentifié
 ```json
 {
    "status": "error",
    "message": "Vous devez être connecté pour effectuer cette action"
 }
 ```
 ### ❌ Erreur 403 - Permission refusée (membre sans autorisation)
 ```json
 {
    "status": "error",
    "message": "Vous n'avez pas l'autorisation de supprimer des passages"
 }
 ```
 ### ❌ Erreur 404 - Passage non trouvé
 ```json
 {
    "status": "error",
    "message": "Passage non trouvé"
 }
 ```
 ## 📊 Logging
 L'API enregistre :
 ### En cas de tentative non autorisée :
 ```php
 LogService::log('Tentative de suppression de passage non autorisée', [
    'level' => 'warning',
    'userId' => $userId,
    'userRole' => $userRole,
    'entiteId' => $entiteId,
    'passageId' => $passageId,
    'chk_user_delete_pass' => 0
 ]);
 ```
 ### En cas de succès :
 ```php
 LogService::log('Suppression d\'un passage', [
    'level' => 'info',
    'userId' => $userId,
    'passageId' => $passageId
 ]);
 ```
 ## 🎯 Exemple d'utilisation
 ### Requête
 ```bash
 curl -X DELETE https://api.geosector.fr/api/passages/19500576 \
  -H "Authorization: Bearer {session_token}" \
  -H "Content-Type: application/json"
 ```
 ### Scénarios
 #### Scénario 1 : Membre avec permission ✅
 - Utilisateur : fk_role = 1
 - Entité : chk_user_delete_pass = 1
 - **Résultat** : Suppression autorisée
 #### Scénario 2 : Membre sans permission ❌
 - Utilisateur : fk_role = 1
 - Entité : chk_user_delete_pass = 0
 - **Résultat** : Erreur 403
 #### Scénario 3 : Admin amicale ✅
 - Utilisateur : fk_role = 2
 - **Résultat** : Suppression autorisée (pas de vérification chk_user_delete_pass)
 ## ⚠️ Notes importantes
 1. **Soft delete** : Le passage n'est pas supprimé physiquement, seulement `chk_active = 0`
 2. **Traçabilité** : `updated_at` et `fk_user_modif` sont mis à jour
 3. **Contrôle entité** : Un utilisateur ne peut supprimer que les passages de son entité
 4. **Log warning** : Toute tentative non autorisée est loggée en niveau WARNING
 ## 🔧 Configuration côté amicale
 Pour autoriser les membres à supprimer des passages :
 ```sql
 UPDATE entites 
 SET chk_user_delete_pass = 1 
 WHERE id = {entite_id};
 ```
 Cette modification ne peut être faite que par un administrateur (fk_role > 1) via l'endpoint :
 ```
 PUT /api/entites/{id}
 {
    "chk_user_delete_pass": 1
 }
 ```
 ---
 **Version API** : 3.1.4
 **Date** : 20/08/2025
--- a/api/docs/EVENTS-LOG.md
+++ b/api/docs/EVENTS-LOG.md
@@ -0,0 +1,495 @@
 # Système de logs d'événements JSONL
 ## 📋 Vue d'ensemble
 Système de traçabilité des événements métier pour statistiques et audit, stocké en fichiers JSONL (JSON Lines) sans impact sur la base de données principale.
 **Créé le :** 26 Octobre 2025
 **Rétention :** 15 mois
 **Format :** JSONL (une ligne = un événement JSON)
 ## 🎯 Objectifs
 ### Événements tracés
 **Authentification**
 - Connexions réussies (user_id, entity_id, plateforme, IP)
 - Tentatives échouées (username, raison, IP, nb tentatives)
 **CRUD métier**
 - **Passages** : création, modification, suppression
 - **Secteurs** : création, modification, suppression
 - **Membres** : création, modification, suppression
 - **Entités** : création, modification, suppression
 ### Cas d'usage
 **1. Admin entité**
 - Stats de son entité : connexions, passages, secteurs sur 1 jour/semaine/mois
 - Activité des membres de l'entité
 **2. Super-admin**
 - Stats globales : tous les passages modifiés sur 2 semaines
 - Événements toutes entités sur période donnée
 - Détection d'anomalies
 ## 📁 Architecture de stockage
 ### Structure des répertoires
 ```
 /logs/events/
  ├── 2025-10-26.jsonl          # Fichier du jour (écriture append)
  ├── 2025-10-25.jsonl
  ├── 2025-10-24.jsonl
  ├── 2025-09-30.jsonl
  ├── 2025-09-29.jsonl.gz       # Compression auto après 30 jours
  └── archive/
      ├── 2025-09.jsonl.gz      # Archive mensuelle
      ├── 2025-08.jsonl.gz
      └── 2024-07.jsonl.gz      # Supprimé auto après 15 mois
 ```
 ### Cycle de vie des fichiers
 | Âge | État | Taille estimée | Accès |
 |-----|------|----------------|-------|
 | 0-30 jours | `.jsonl` non compressé | 1-10 MB/jour | Lecture directe rapide |
 | 30 jours-15 mois | `.jsonl.gz` compressé | ~100 KB/jour | Décompression à la volée |
 | > 15 mois | Supprimé automatiquement | - | - |
 ### Rotation et rétention
 **CRON mensuel** : `scripts/cron/rotate_event_logs.php`
 - **Fréquence** : 1er du mois à 3h00
 - **Actions** :
  1. Compresser les fichiers `.jsonl` de plus de 30 jours en `.jsonl.gz`
  2. Supprimer les fichiers `.jsonl.gz` de plus de 15 mois
  3. Logger le résumé de rotation
 **Commande manuelle** :
 ```bash
 php scripts/cron/rotate_event_logs.php
 ```
 ## 📊 Format des événements
 ### Structure commune
 Tous les événements partagent ces champs :
 ```json
 {
  "timestamp": "2025-10-26T14:32:15Z",  // ISO 8601 UTC
  "event": "nom_evenement",              // Type d'événement
  "user_id": 123,                        // ID utilisateur (si authentifié)
  "entity_id": 5,                        // ID entité (si applicable)
  "ip": "192.168.1.100",                 // IP client
  "platform": "ios|android|web",         // Plateforme
  "app_version": "3.3.6"                 // Version app (mobile uniquement)
 }
 ```
 ### Événements d'authentification
 #### Login réussi
 ```jsonl
 {"timestamp":"2025-10-26T14:32:15Z","event":"login_success","user_id":123,"entity_id":5,"platform":"ios","app_version":"3.3.6","ip":"192.168.1.100","username":"user123"}
 ```
 #### Login échoué
 ```jsonl
 {"timestamp":"2025-10-26T14:35:22Z","event":"login_failed","username":"test","reason":"invalid_password","ip":"192.168.1.101","attempt":3,"platform":"web"}
 ```
 **Raisons possibles** : `invalid_password`, `user_not_found`, `account_inactive`, `blocked_ip`
 #### Logout
 ```jsonl
 {"timestamp":"2025-10-26T16:45:00Z","event":"logout","user_id":123,"entity_id":5,"platform":"android","session_duration":7800}
 ```
 ### Événements Passages
 #### Création
 ```jsonl
 {"timestamp":"2025-10-26T14:40:10Z","event":"passage_created","passage_id":45678,"user_id":123,"entity_id":5,"operation_id":789,"sector_id":12,"amount":50.00,"payment_type":"cash","platform":"android"}
 ```
 #### Modification
 ```jsonl
 {"timestamp":"2025-10-26T14:42:05Z","event":"passage_updated","passage_id":45678,"user_id":123,"entity_id":5,"changes":{"amount":{"old":50.00,"new":75.00},"payment_type":{"old":"cash","new":"stripe"}},"platform":"ios"}
 ```
 #### Suppression
 ```jsonl
 {"timestamp":"2025-10-26T14:45:30Z","event":"passage_deleted","passage_id":45678,"user_id":123,"entity_id":5,"operation_id":789,"deleted_by":123,"soft_delete":true,"platform":"web"}
 ```
 ### Événements Secteurs
 #### Création
 ```jsonl
 {"timestamp":"2025-10-26T15:10:00Z","event":"sector_created","sector_id":456,"operation_id":789,"entity_id":5,"user_id":123,"sector_name":"Secteur A","platform":"web"}
 ```
 #### Modification
 ```jsonl
 {"timestamp":"2025-10-26T15:12:00Z","event":"sector_updated","sector_id":456,"operation_id":789,"entity_id":5,"user_id":123,"changes":{"sector_name":{"old":"Secteur A","new":"Secteur Alpha"}},"platform":"web"}
 ```
 #### Suppression
 ```jsonl
 {"timestamp":"2025-10-26T15:15:00Z","event":"sector_deleted","sector_id":456,"operation_id":789,"entity_id":5,"user_id":123,"deleted_by":123,"soft_delete":true,"platform":"web"}
 ```
 ### Événements Membres (Users)
 #### Création
 ```jsonl
 {"timestamp":"2025-10-26T15:20:00Z","event":"user_created","new_user_id":789,"entity_id":5,"created_by":123,"role_id":1,"username":"newuser","platform":"web"}
 ```
 #### Modification
 ```jsonl
 {"timestamp":"2025-10-26T15:25:00Z","event":"user_updated","user_id":789,"entity_id":5,"updated_by":123,"changes":{"role_id":{"old":1,"new":2},"encrypted_phone":true},"platform":"web"}
 ```
 **Note** : Les champs chiffrés sont indiqués par un booléen `true` sans exposer les valeurs
 #### Suppression
 ```jsonl
 {"timestamp":"2025-10-26T15:30:00Z","event":"user_deleted","user_id":789,"entity_id":5,"deleted_by":123,"soft_delete":true,"platform":"web"}
 ```
 ### Événements Entités
 #### Création
 ```jsonl
 {"timestamp":"2025-10-26T15:35:00Z","event":"entity_created","entity_id":25,"created_by":1,"entity_type_id":1,"postal_code":"75001","platform":"web"}
 ```
 #### Modification
 ```jsonl
 {"timestamp":"2025-10-26T15:40:00Z","event":"entity_updated","entity_id":25,"user_id":123,"updated_by":123,"changes":{"encrypted_name":true,"encrypted_email":true,"chk_stripe":{"old":0,"new":1}},"platform":"web"}
 ```
 #### Suppression (rare)
 ```jsonl
 {"timestamp":"2025-10-26T15:45:00Z","event":"entity_deleted","entity_id":25,"deleted_by":1,"soft_delete":true,"reason":"duplicate","platform":"web"}
 ```
 ### Événements Opérations
 #### Création
 ```jsonl
 {"timestamp":"2025-10-26T16:00:00Z","event":"operation_created","operation_id":999,"entity_id":5,"created_by":123,"date_start":"2025-11-01","date_end":"2025-11-30","platform":"web"}
 ```
 #### Modification
 ```jsonl
 {"timestamp":"2025-10-26T16:05:00Z","event":"operation_updated","operation_id":999,"entity_id":5,"updated_by":123,"changes":{"date_end":{"old":"2025-11-30","new":"2025-12-15"},"chk_active":{"old":0,"new":1}},"platform":"web"}
 ```
 #### Suppression
 ```jsonl
 {"timestamp":"2025-10-26T16:10:00Z","event":"operation_deleted","operation_id":999,"entity_id":5,"deleted_by":123,"soft_delete":true,"platform":"web"}
 ```
 ## 🛠️ Implémentation
 ### Service EventLogService.php
 **Emplacement** : `src/Services/EventLogService.php`
 **Méthodes publiques** :
 ```php
 EventLogService::logLoginSuccess($userId, $entityId, $username)
 EventLogService::logLoginFailed($username, $reason, $attempt)
 EventLogService::logLogout($userId, $entityId, $sessionDuration)
 EventLogService::logPassageCreated($passageId, $operationId, $sectorId, $amount, $paymentType)
 EventLogService::logPassageUpdated($passageId, $changes)
 EventLogService::logPassageDeleted($passageId, $operationId, $softDelete)
 EventLogService::logSectorCreated($sectorId, $operationId, $sectorName)
 EventLogService::logSectorUpdated($sectorId, $operationId, $changes)
 EventLogService::logSectorDeleted($sectorId, $operationId, $softDelete)
 EventLogService::logUserCreated($newUserId, $entityId, $roleId, $username)
 EventLogService::logUserUpdated($userId, $changes)
 EventLogService::logUserDeleted($userId, $softDelete)
 EventLogService::logEntityCreated($entityId, $entityTypeId, $postalCode)
 EventLogService::logEntityUpdated($entityId, $changes)
 EventLogService::logEntityDeleted($entityId, $reason)
 EventLogService::logOperationCreated($operationId, $dateStart, $dateEnd)
 EventLogService::logOperationUpdated($operationId, $changes)
 EventLogService::logOperationDeleted($operationId, $softDelete)
 ```
 **Enrichissement automatique** :
 - `timestamp` : Généré automatiquement (UTC)
 - `user_id`, `entity_id` : Récupérés depuis `Session`
 - `ip` : Récupérée via `ClientDetector`
 - `platform` : Détecté via `ClientDetector` (ios/android/web)
 - `app_version` : Extrait du User-Agent pour mobile
 ### Intégration dans les Controllers
 **Exemple dans PassageController** :
 ```php
 public function createPassage(Request $request, Response $response): void {
    // ... validation et création ...
    $passageId = $db->lastInsertId();
    // Log de l'événement
    EventLogService::logPassageCreated(
        $passageId,
        $data['fk_operation'],
        $data['fk_sector'],
        $data['montant'],
        $data['fk_type_reglement']
    );
    // ... suite du code ...
 }
 ```
 ### Scripts d'analyse
 #### 1. Stats entité
 **Fichier** : `scripts/stats/entity_stats.php`
 **Usage** :
 ```bash
 # Stats entité 5 sur 7 derniers jours
 php scripts/stats/entity_stats.php --entity-id=5 --days=7
 # Stats entité 5 entre deux dates
 php scripts/stats/entity_stats.php --entity-id=5 --from=2025-10-01 --to=2025-10-26
 # Résultat JSON
 {
  "entity_id": 5,
  "period": {"from": "2025-10-20", "to": "2025-10-26"},
  "stats": {
    "logins": {"success": 45, "failed": 2},
    "passages": {"created": 120, "updated": 15, "deleted": 3},
    "sectors": {"created": 2, "updated": 8, "deleted": 0},
    "users": {"created": 1, "updated": 5, "deleted": 0}
  },
  "top_users": [
    {"user_id": 123, "actions": 85},
    {"user_id": 456, "actions": 42}
  ]
 }
 ```
 #### 2. Stats globales super-admin
 **Fichier** : `scripts/stats/global_stats.php`
 **Usage** :
 ```bash
 # Tous les passages modifiés sur 2 semaines
 php scripts/stats/global_stats.php --event=passage_updated --days=14
 # Toutes les connexions échouées du mois
 php scripts/stats/global_stats.php --event=login_failed --month=2025-10
 # Résultat JSON
 {
  "event": "passage_updated",
  "period": {"from": "2025-10-13", "to": "2025-10-26"},
  "total_events": 342,
  "by_entity": [
    {"entity_id": 5, "count": 120},
    {"entity_id": 12, "count": 85},
    {"entity_id": 18, "count": 67}
  ],
  "by_day": {
    "2025-10-26": 45,
    "2025-10-25": 38,
    "2025-10-24": 52
  }
 }
 ```
 #### 3. Export CSV pour analyse externe
 **Fichier** : `scripts/stats/export_events_csv.php`
 **Usage** :
 ```bash
 # Exporter toutes les connexions du mois en CSV
 php scripts/stats/export_events_csv.php \
  --event=login_success \
  --month=2025-10 \
  --output=/tmp/logins_october.csv
 ```
 ### CRON de rotation
 **Fichier** : `scripts/cron/rotate_event_logs.php`
 **Configuration crontab** :
 ```cron
 # Rotation des logs d'événements - 1er du mois à 3h
 0 3 1 * * cd /var/www/geosector/api && php scripts/cron/rotate_event_logs.php
 ```
 **Actions** :
 1. Compresser fichiers > 30 jours : `gzip logs/events/2025-09-*.jsonl`
 2. Supprimer archives > 15 mois : `rm logs/events/*-2024-06-*.jsonl.gz`
 3. Logger résumé dans `logs/rotation.log`
 ## 📈 Performances et volumétrie
 ### Estimations
 **Volume quotidien moyen** (pour 50 entités actives) :
 - 500 connexions/jour = 500 lignes
 - 2000 passages créés/modifiés = 2000 lignes
 - 100 autres événements = 100 lignes
 - **Total : ~2600 événements/jour**
 **Taille fichier** :
 - 1 événement ≈ 200-400 bytes JSON
 - 2600 événements ≈ 0.8-1 MB/jour non compressé
 - Compression gzip : ratio ~10:1 → **~100 KB/jour compressé**
 **Rétention 15 mois** :
 - Non compressé (30 jours) : 30 MB
 - Compressé (14.5 mois) : 45 MB
 - **Total stockage : ~75 MB** pour 15 mois
 ### Optimisation lecture
 **Lecture mono-fichier** : < 50ms pour analyser 1 jour (2600 événements)
 **Lecture période 7 jours** :
 - 7 fichiers × 1 MB = 7 MB à lire
 - Filtrage `jq` ou PHP : ~200-300ms
 **Lecture période 2 semaines (super-admin)** :
 - 14 fichiers × 1 MB = 14 MB à lire
 - Filtrage sur type événement : ~500ms
 **Lecture archive compressée** :
 - Décompression à la volée : +100-200ms
 - Total : ~700-800ms pour 1 mois compressé
 ## 🔒 Sécurité et confidentialité
 ### Données sensibles
 **❌ Jamais loggé en clair** :
 - Mots de passe
 - Contenu chiffré (noms, emails, téléphones, IBAN)
 - Tokens d'authentification
 **✅ Loggé** :
 - IDs (user_id, entity_id, passage_id, etc.)
 - Montants financiers
 - Dates et timestamps
 - Types de modifications (indicateur booléen pour champs chiffrés)
 ### Exemple champ chiffré
 ```json
 {
  "event": "user_updated",
  "changes": {
    "encrypted_name": true,      // Indique modification sans valeur
    "encrypted_email": true,
    "role_id": {"old": 1, "new": 2}  // Champ non sensible = valeurs OK
  }
 }
 ```
 ### Permissions d'accès
 **Fichiers logs** :
 - Propriétaire : `nginx:nginx`
 - Permissions : `0640` (lecture nginx, écriture nginx, aucun autre)
 - Dossier `/logs/events/` : `0750`
 **Scripts d'analyse** :
 - Exécution : root ou nginx uniquement
 - Pas d'accès direct via endpoints API (pour l'instant)
 ## 🚀 Roadmap et évolutions futures
 ### Phase 1 - MVP (actuel) ✅
 - [x] Architecture JSONL quotidienne
 - [x] Service EventLogService.php
 - [x] Intégration dans controllers (LoginController, PassageController, UserController, SectorController, OperationController, EntiteController)
 - [ ] CRON de rotation 15 mois
 - [ ] Scripts d'analyse de base
 ### Phase 2 - Dashboards (Q1 2026)
 - [ ] Endpoints API : `GET /api/stats/entity/{id}`, `GET /api/stats/global`
 - [ ] Interface web admin : graphiques connexions, passages
 - [ ] Filtres avancés (période, plateforme, utilisateur)
 ### Phase 3 - Alertes (Q2 2026)
 - [ ] Détection anomalies (pics de connexions échouées)
 - [ ] Alertes email super-admins
 - [ ] Seuils configurables par entité
 ### Phase 4 - Migration TimescaleDB (si besoin)
 - [ ] Évaluation volume : si > 50k événements/jour
 - [ ] Import JSONL → TimescaleDB
 - [ ] Rétention hybride : 90j TimescaleDB, archives JSONL
 ## 📝 Statut implémentation
 **Date : 28 Octobre 2025**
 ### ✅ Terminé
 - Service `EventLogService.php` créé avec toutes les méthodes de logging
 - Intégration complète dans les 6 controllers principaux :
  - **LoginController** : login réussi/échoué, logout
  - **PassageController** : création, modification, suppression passages
  - **UserController** : création, modification, suppression utilisateurs
  - **SectorController** : création, modification, suppression secteurs
  - **OperationController** : création, modification, suppression opérations
  - **EntiteController** : création, modification entités
 - Enrichissement automatique : timestamp UTC, user_id, entity_id, IP, platform, app_version
 - Sécurité : champs sensibles loggés en booléen uniquement (pas de valeurs chiffrées)
 - Script de déploiement `deploy-api.sh` crée automatiquement `/logs/events/` avec permissions 0750
 ### 🔄 En attente
 - Scripts d'analyse (`entity_stats.php`, `global_stats.php`, `export_events_csv.php`)
 - CRON de rotation 15 mois (`rotate_event_logs.php`)
 - Tests en environnement DEV
 ## 📝 Checklist déploiement
 ### Environnement DEV (dva-geo)
 - [x] Créer dossier `/logs/events/` (permissions 0750) - Intégré dans deploy-api.sh
 - [x] Déployer `EventLogService.php`
 - [ ] Déployer scripts stats et rotation
 - [ ] Configurer CRON rotation
 - [ ] Tests : générer événements manuellement
 - [ ] Valider format JSONL et rotation
 ### Environnement RECETTE (rca-geo)
 - [ ] Déployer depuis DEV validé
 - [ ] Tests de charge : 10k événements/jour
 - [ ] Valider performances scripts d'analyse
 - [ ] Valider compression et suppression auto
 ### Environnement PRODUCTION (pra-geo)
 - [ ] Déployer depuis RECETTE validée
 - [ ] Monitoring volumétrie
 - [ ] Backups quotidiens `/logs/events/` (via CRON général)
 ---
 **Dernière mise à jour :** 28 Octobre 2025
 **Version :** 1.1
 **Statut :** ✅ Service implémenté et intégré - Scripts d'analyse à développer
--- a/api/docs/EXPORT-SYSTEM.md
+++ b/api/docs/EXPORT-SYSTEM.md
@@ -0,0 +1,276 @@
 # Système d'Export/Import d'Opérations - Geosector API
 ## Vue d'ensemble
 Le système d'export/import permet de sauvegarder et restaurer des opérations complètes avec toutes leurs données associées (passages, utilisateurs, secteurs, relations).
 ## Architecture
 ### Routes API
 #### Exports
 - `GET /api/operations/{id}/export/excel` - Export Excel (consultation)
 - `GET /api/operations/{id}/export/json` - Export JSON (sauvegarde)
 - `GET /api/operations/{id}/export/full` - Export combiné (Excel + JSON)
 #### Gestion des sauvegardes
 - `GET /api/operations/{id}/backups` - Liste des sauvegardes
 - `GET /api/operations/{id}/backups/{backup_id}` - Télécharger une sauvegarde
 - `DELETE /api/operations/{id}/backups/{backup_id}` - Supprimer une sauvegarde
 ### Structure des fichiers
 ```
 uploads/entites/{entite_id}/operations/{operation_id}/documents/exports/
 ├── excel/
 │   └── geosector-export-{operation_id}-{timestamp}.xlsx
 └── json/
    └── geosector-backup-{operation_id}-{type}-{timestamp}.json
 ```
 ## Export Excel
 ### Contenu
 Le fichier Excel contient 4 feuilles :
 #### 1. Feuille "Passages"
 - **Colonnes** : ID_Passage, Date, Heure, Prénom, Nom, Tournée, Type, N°, Rue, Ville, Habitat, Donateur, Email, Tél, Montant, Règlement, Remarque, FK_User, FK_Sector, FK_Operation
 - **Données déchiffrées** : Noms, emails, téléphones
 - **Formatage** : Dates françaises (dd/mm/yyyy), types traduits
 #### 2. Feuille "Utilisateurs"
 - **Colonnes** : ID_User, Nom, Prénom, Email, Téléphone, Mobile, Rôle, Date_création, Actif, FK_Entite
 - **Données déchiffrées** : Informations personnelles
 #### 3. Feuille "Secteurs"
 - **Colonnes** : ID_Sector, Libellé, Couleur, Date_création, Actif, FK_Operation
 #### 4. Feuille "Secteurs-Utilisateurs"
 - **Colonnes** : ID_Relation, FK_Sector, Nom_Secteur, FK_User, Nom_Utilisateur, Date_assignation, FK_Operation
 ### Paramètres optionnels
 - `?user_id={id}` - Filtrer les passages par utilisateur
 ### Exemple d'utilisation
 ```bash
 # Export complet
 GET /api/operations/2644/export/excel
 # Export filtré par utilisateur
 GET /api/operations/2644/export/excel?user_id=123
 ```
 ## Export JSON
 ### Structure du fichier JSON
 ```json
 {
  "export_metadata": {
    "version": "1.0",
    "export_date": "2025-06-21T16:19:23Z",
    "source_entite_id": 5,
    "export_type": "full_operation"
  },
  "operation": {
    "id": 2644,
    "libelle": "OPE 2024-25",
    "date_deb": "2024-09-01",
    "date_fin": "2025-05-30",
    "fk_entite": 5,
    "chk_distinct_sectors": 1,
    "created_at": "2024-08-15T10:00:00Z"
  },
  "users": [...],
  "sectors": [...],
  "passages": [...],
  "user_sectors": [...]
 }
 ```
 ### Types d'export JSON
 - **manual** : Export à la demande (par défaut)
 - **auto** : Sauvegarde automatique (avant modifications importantes)
 ### Paramètres
 - `?type=manual|auto` - Type d'export
 ## Sécurité
 ### Contrôles d'accès
 - ✅ Authentification obligatoire
 - ✅ Vérification d'appartenance à l'entité
 - ✅ Isolation des données par entité
 - ✅ Logs détaillés de toutes les opérations
 ### Données sensibles
 - ✅ Chiffrement/déchiffrement automatique
 - ✅ Données personnelles protégées
 - ✅ Pas d'exposition des clés de chiffrement
 ## Stockage et organisation
 ### Enregistrement en base
 Tous les fichiers sont enregistrés dans la table `medias` :
 ```sql
 support = 'operation'
 support_id = {operation_id}
 file_type = 'xlsx' | 'json'
 description = 'Export Excel opération - {libelle}'
 ```
 ### Métadonnées des fichiers
 - **ID** : Identifiant unique en base
 - **Filename** : Nom du fichier généré
 - **Path** : Chemin relatif depuis la racine
 - **Size** : Taille en octets
 - **Type** : excel | json
 ## Exemples de réponses API
 ### Export Excel réussi
 ```json
 {
  "status": "success",
  "message": "Export Excel généré avec succès",
  "file": {
    "id": 123,
    "filename": "geosector-export-2644-20250621-161923.xlsx",
    "path": "uploads/entites/5/operations/2644/documents/exports/excel/geosector-export-2644-20250621-161923.xlsx",
    "size": 45678,
    "type": "excel"
  }
 }
 ```
 ### Export complet réussi
 ```json
 {
  "status": "success",
  "message": "Export complet généré avec succès",
  "files": {
    "excel": {
      "id": 123,
      "filename": "geosector-export-2644-20250621-161923.xlsx",
      "path": "uploads/entites/5/operations/2644/documents/exports/excel/geosector-export-2644-20250621-161923.xlsx",
      "size": 45678,
      "type": "excel"
    },
    "json": {
      "id": 124,
      "filename": "geosector-backup-2644-manual-20250621-161923.json",
      "path": "uploads/entites/5/operations/2644/documents/exports/json/geosector-backup-2644-manual-20250621-161923.json",
      "size": 12345,
      "type": "json"
    }
  }
 }
 ```
 ### Liste des sauvegardes
 ```json
 {
  "status": "success",
  "backups": [
    {
      "id": 124,
      "fichier": "geosector-backup-2644-manual-20250621-161923.json",
      "file_type": "json",
      "file_size": 12345,
      "description": "Sauvegarde JSON opération - manual - OPE 2024-25",
      "created_at": "2025-06-21 16:19:23",
      "fk_user_creat": 1
    },
    {
      "id": 123,
      "fichier": "geosector-export-2644-20250621-161923.xlsx",
      "file_type": "xlsx",
      "file_size": 45678,
      "description": "Export Excel opération - OPE 2024-25",
      "created_at": "2025-06-21 16:19:23",
      "fk_user_creat": 1
    }
  ]
 }
 ```
 ## Installation et dépendances
 ### PhpSpreadsheet
 ```bash
 composer require phpoffice/phpspreadsheet
 ```
 ### Permissions de dossiers
 ```bash
 chmod 755 uploads/
 chmod 755 uploads/entites/
 ```
 ## Gestion des erreurs
 ### Erreurs courantes
 - **401** : Non authentifié
 - **403** : Pas d'accès à l'entité
 - **404** : Opération non trouvée
 - **500** : Erreur de génération
 ### Logs
 Tous les événements sont loggés via `LogService` :
 - Exports réussis (level: info)
 - Erreurs de génération (level: error)
 - Tentatives d'accès non autorisées (level: warning)
 ## Maintenance
 ### Nettoyage automatique (à implémenter)
 - Sauvegardes auto > 30 jours
 - Fichiers temporaires > 24h
 - Vérification cohérence base/fichiers
 ### Monitoring
 - Espace disque utilisé
 - Nombre de fichiers par entité
 - Fréquence des exports
 ## Évolutions futures
 ### Import/Restauration
 - Validation des fichiers JSON
 - Import transactionnel
 - Gestion des conflits d'IDs
 - Mapping entités source/cible
 ### Optimisations
 - Compression des fichiers
 - Export asynchrone pour gros volumes
 - Cache des exports fréquents
 - API de streaming pour téléchargements
--- a/api/docs/FILE-SYSTEM-API.md
+++ b/api/docs/FILE-SYSTEM-API.md
@@ -0,0 +1,376 @@
 # API de Gestion des Fichiers - Geosector
 ## Vue d'ensemble
 L'API de gestion des fichiers permet aux administrateurs de naviguer, rechercher et gérer les fichiers stockés dans l'application Geosector avec des contrôles d'accès basés sur les rôles.
 ## Contrôles d'accès
 ### Rôle 2 (Admin d'entité)
 - Accès limité aux fichiers de son entité uniquement
 - Chemin racine : `/uploads/entites/{son_entite_id}/`
 - Peut naviguer dans tous les sous-dossiers de son entité
 ### Rôle > 2 (Super admin)
 - Accès complet à tous les fichiers
 - Chemin racine : `/uploads/` (accès total)
 - Peut naviguer dans toutes les entités et dossiers système
 ## Routes disponibles
 ### Navigation et listing
 #### `GET /api/files/browse`
 Navigation dans l'arborescence avec recherche et pagination.
 **Paramètres de requête :**
 - `path` (string) : Chemin à explorer (ex: `entites/5/operations`)
 - `page` (int) : Page (défaut: 1)
 - `per_page` (int) : Éléments par page (défaut: 50, max: 100)
 - `search` (string) : Recherche dans nom, nom original, description
 - `type` (string) : Filtrage par extension (pdf, jpg, xlsx, etc.)
 - `category` (string) : Filtrage par catégorie métier
 - `sort` (string) : Tri (name, date, size, type) - défaut: date
 - `order` (string) : Ordre (asc, desc) - défaut: desc
 **Exemple :**
 ```bash
 GET /api/files/browse?path=entites/5/operations&search=2024&type=xlsx&page=1
 ```
 **Réponse :**
 ```json
 {
  "status": "success",
  "current_path": "entites/5/operations",
  "parent_path": "entites/5",
  "pagination": {
    "current_page": 1,
    "per_page": 50,
    "total_items": 127,
    "total_pages": 3,
    "has_next": true,
    "has_prev": false
  },
  "filters": {
    "search": "2024",
    "type": "xlsx",
    "category": null,
    "sort": "date",
    "order": "desc"
  },
  "files": [
    {
      "id": 123,
      "fichier": "planning_2024_op2644.xlsx",
      "original_name": "Planning Opération 2024.xlsx",
      "file_type": "xlsx",
      "file_category": "planning",
      "description": "Planning détaillé opération 2024",
      "file_size": 1024000,
      "file_path": "entites/5/operations/2644/documents/planning_2024_op2644.xlsx",
      "created_at": "2025-06-22 08:30:00",
      "creator_name": "Jean Dupont"
    }
  ],
  "summary": {
    "total_files": 45,
    "total_size": 25600000,
    "by_category": {
      "planning": 12,
      "export": 20,
      "backup": 13
    }
  }
 }
 ```
 #### `GET /api/files/list/{support}/{id}`
 Liste des fichiers par support (entite, user, operation, passage).
 **Paramètres :**
 - `support` : Type de support (entite, user, operation, passage)
 - `id` : ID de l'élément
 - Mêmes paramètres de requête que `/browse`
 **Exemple :**
 ```bash
 GET /api/files/list/operation/2644?category=export&page=1
 ```
 ### Recherche
 #### `GET /api/files/search`
 Recherche globale dans tous les fichiers accessibles.
 **Paramètres de requête :**
 - `q` (string, requis) : Terme de recherche
 - `page`, `per_page`, `type`, `category`, `sort`, `order` : Mêmes que browse
 **Exemple :**
 ```bash
 GET /api/files/search?q=planning&type=xlsx&category=planning
 ```
 ### Actions sur fichiers
 #### `GET /api/files/download/{id}`
 Téléchargement sécurisé d'un fichier.
 **Réponse :** Fichier en téléchargement direct avec headers appropriés.
 #### `DELETE /api/files/{id}`
 Suppression sécurisée d'un fichier (physique + base de données).
 **Réponse :**
 ```json
 {
  "status": "success",
  "message": "Fichier supprimé avec succès"
 }
 ```
 #### `GET /api/files/info/{id}`
 Informations détaillées d'un fichier.
 **Réponse :**
 ```json
 {
  "status": "success",
  "file": {
    "id": 123,
    "fichier": "planning_2024.xlsx",
    "original_name": "Planning Opération 2024.xlsx",
    "file_type": "xlsx",
    "file_category": "planning",
    "file_size": 1024000,
    "mime_type": "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet",
    "description": "Planning détaillé",
    "support": "operation",
    "support_id": 2644,
    "fk_entite": 5,
    "created_at": "2025-06-22 08:30:00",
    "updated_at": "2025-06-22 08:30:00",
    "creator_name": "Jean Dupont",
    "modifier_name": null,
    "file_exists": true
  }
 }
 ```
 ### Statistiques
 #### `GET /api/files/stats`
 Statistiques d'utilisation des fichiers.
 **Pour admin d'entité (rôle 2) :**
 ```json
 {
  "status": "success",
  "entite_id": 5,
  "storage": {
    "total_files": 245,
    "total_size": 157286400,
    "by_support": {
      "entite": { "count": 12, "size": 45000000 },
      "operation": { "count": 180, "size": 98000000 },
      "user": { "count": 45, "size": 12000000 },
      "passage": { "count": 8, "size": 2286400 }
    },
    "by_category": {
      "document": 25,
      "export": 120,
      "avatar": 45,
      "photo": 55
    },
    "by_type": {
      "xlsx": 85,
      "jpg": 120,
      "pdf": 40
    }
  }
 }
 ```
 **Pour super admin (rôle > 2) :**
 ```json
 {
  "status": "success",
  "global_stats": {
    "total_files": 2450,
    "total_size": 1572864000,
    "entites_count": 25,
    "by_entite": [
      { "entite_id": 5, "files": 245, "size": 157286400 },
      { "entite_id": 12, "files": 180, "size": 98000000 }
    ]
  }
 }
 ```
 ### Métadonnées
 #### `GET /api/files/metadata`
 Informations sur les catégories, extensions et limites autorisées.
 **Réponse :**
 ```json
 {
  "status": "success",
  "categories": {
    "entite": ["logo", "document", "reglement", "statut"],
    "user": ["avatar", "photo"],
    "operation": ["planning", "liste", "export", "backup"],
    "passage": ["recu", "photo", "justificatif", "carte"]
  },
  "extensions": ["pdf", "jpg", "jpeg", "png", "gif", "webp", "xlsx", "xls", "json", "csv"],
  "mime_types": {
    "pdf": "application/pdf",
    "jpg": "image/jpeg",
    "xlsx": "application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"
  },
  "max_file_sizes": {
    "entite": 20971520, // 20 MB
    "user": 5242880, // 5 MB
    "operation": 20971520, // 20 MB
    "passage": 10485760 // 10 MB
  }
 }
 ```
 ## Catégories de fichiers
 ### Distinction Extension vs Catégorie
 - **Extension** (`file_type`) : Type technique (pdf, jpg, xlsx, png, etc.)
 - **Catégorie** (`file_category`) : Type métier (logo, carte, photo, document, planning, etc.)
 ### Catégories par support
 #### Entité
 - `logo` : Logo de l'entité
 - `document` : Documents généraux
 - `reglement` : Règlements internes
 - `statut` : Statuts de l'entité
 #### Utilisateur
 - `avatar` : Photo de profil
 - `photo` : Photos diverses
 #### Opération
 - `planning` : Plannings d'opération
 - `liste` : Listes diverses
 - `export` : Exports de données
 - `backup` : Sauvegardes automatiques
 #### Passage
 - `recu` : Reçus de passage
 - `photo` : Photos de passage
 - `justificatif` : Justificatifs divers
 - `carte` : Cartes et plans
 ## Sécurité
 ### Validation des chemins
 - Empêche les traversées de répertoire (`../`)
 - Validation stricte selon le rôle utilisateur
 - Contrôle d'accès au niveau fichier
 ### Logs
 - Tous les téléchargements sont loggés
 - Toutes les suppressions sont tracées
 - Erreurs d'accès enregistrées
 ### Contrôles d'intégrité
 - Vérification de l'existence physique des fichiers
 - Validation des permissions avant chaque action
 - Contrôle de cohérence base/fichiers
 ## Exemples d'utilisation
 ### Navigation dans les opérations d'une entité
 ```bash
 GET /api/files/browse?path=entites/5/operations&sort=name&order=asc
 ```
 ### Recherche de tous les exports Excel
 ```bash
 GET /api/files/search?q=export&type=xlsx&category=export
 ```
 ### Statistiques de stockage
 ```bash
 GET /api/files/stats
 ```
 ### Téléchargement d'un fichier
 ```bash
 GET /api/files/download/123
 ```
 ### Suppression d'un fichier
 ```bash
 DELETE /api/files/123
 ```
 ## Codes d'erreur
 - **401** : Non authentifié
 - **403** : Accès refusé (rôle insuffisant ou fichier d'une autre entité)
 - **404** : Fichier ou chemin non trouvé
 - **400** : Paramètres invalides (terme de recherche manquant, etc.)
 - **500** : Erreur serveur
 ## Migration base de données
 Pour utiliser le système, exécuter la migration :
 ```sql
 -- Ajout de la colonne file_category
 ALTER TABLE `medias`
 ADD COLUMN `file_category` varchar(50) DEFAULT NULL COMMENT 'Catégorie du fichier (logo, carte, photo, document, etc.)' AFTER `file_type`;
 -- Index pour optimiser les requêtes
 ALTER TABLE `medias`
 ADD INDEX `idx_file_category` (`file_category`);
 ```
 ---
 **Version** : 1.0  
 **Date** : Juin 2025  
 **Auteur** : API Geosector Team
--- a/api/docs/FIX_USER_CREATION_400_ERRORS.md
+++ b/api/docs/FIX_USER_CREATION_400_ERRORS.md
@@ -0,0 +1,176 @@
 # Correction des erreurs 400 lors de la création d'utilisateurs
 ## Problème identifié
 Un administrateur (fk_role=2) rencontrait des erreurs 400 répétées lors de tentatives de création de membre, menant à un bannissement par fail2ban :
 - 17:09:39 - POST /api/users HTTP/1.1 400 (Bad Request)
 - 17:10:44 - POST /api/users/check-username HTTP/1.1 400 (Bad Request)
 - 17:11:21 - POST /api/users HTTP/1.1 400 (Bad Request)
 ## Causes identifiées
 ### 1. Conflit de routage (CRITIQUE)
 **Problème:** La route `/api/users/check-username` était déclarée APRÈS la route générique `/api/users` dans Router.php, causant une mauvaise interprétation où "check-username" était traité comme un ID utilisateur.
 **Solution:** Déplacer la déclaration de la route spécifique AVANT les routes avec paramètres.
 ### 2. Messages d'erreur non informatifs
 **Problème:** Les erreurs 400 retournaient des messages génériques sans détails sur le champ problématique.
 **Solution:** Ajout de messages d'erreur détaillés incluant :
 - Le champ en erreur (`field`)
 - La valeur problématique (`value`)
 - Le format attendu (`format`)
 - La raison de l'erreur (`reason`)
 ### 3. Manque de logs de débogage
 **Problème:** Aucun log n'était généré pour tracer les erreurs de validation.
 **Solution:** Ajout de logs détaillés à chaque point de validation.
 ## Modifications apportées
 ### 1. Router.php (ligne 36-44)
 ```php
 // AVANT (incorrect)
 $this->post('users', ['UserController', 'createUser']);
 $this->post('users/check-username', ['UserController', 'checkUsername']);
 // APRÈS (correct)
 $this->post('users/check-username', ['UserController', 'checkUsername']);  // Route spécifique en premier
 $this->post('users', ['UserController', 'createUser']);
 ```
 ### 2. UserController.php - Amélioration des validations
 #### Validation de l'email
 ```php
 // Réponse améliorée
 Response::json([
    'status' => 'error',
    'message' => 'Email requis',
    'field' => 'email'  // Indique clairement le champ problématique
 ], 400);
 ```
 #### Validation du username manuel
 ```php
 // Réponse améliorée
 Response::json([
    'status' => 'error',
    'message' => 'Le nom d\'utilisateur est requis pour cette entité',
    'field' => 'username',
    'reason' => 'L\'entité requiert la saisie manuelle des identifiants'
 ], 400);
 ```
 #### Format du username
 ```php
 // Réponse améliorée
 Response::json([
    'status' => 'error',
    'message' => 'Format du nom d\'utilisateur invalide',
    'field' => 'username',
    'format' => '10-30 caractères, commence par une lettre, caractères autorisés: a-z, 0-9, ., -, _',
    'value' => $username  // Montre la valeur soumise
 ], 400);
 ```
 ### 3. Ajout de logs détaillés
 Chaque point de validation génère maintenant un log avec :
 - Le type d'erreur
 - L'utilisateur qui fait la requête
 - Les données reçues (sans données sensibles)
 - Le contexte de l'erreur
 Exemple :
 ```php
 LogService::log('Erreur création utilisateur : Format username invalide', [
    'level' => 'warning',
    'createdBy' => $currentUserId,
    'email' => $email,
    'username' => $username,
    'username_length' => strlen($username)
 ]);
 ```
 ## Cas d'erreur 400 possibles
 ### Pour /api/users (création)
 1. **Email manquant ou vide**
   - Message: "Email requis"
   - Field: "email"
 2. **Nom manquant ou vide**
   - Message: "Nom requis"
   - Field: "name"
 3. **Format email invalide**
   - Message: "Format d'email invalide"
   - Field: "email"
   - Value: [email soumis]
 4. **Username manuel requis mais manquant** (si chk_username_manuel=1)
   - Message: "Le nom d'utilisateur est requis pour cette entité"
   - Field: "username"
   - Reason: "L'entité requiert la saisie manuelle des identifiants"
 5. **Format username invalide**
   - Message: "Format du nom d'utilisateur invalide"
   - Field: "username"
   - Format: "10-30 caractères, commence par une lettre..."
   - Value: [username soumis]
 6. **Mot de passe manuel requis mais manquant** (si chk_mdp_manuel=1)
   - Message: "Le mot de passe est requis pour cette entité"
   - Field: "password"
   - Reason: "L'entité requiert la saisie manuelle des mots de passe"
 ### Pour /api/users/check-username
 1. **Username manquant**
   - Message: "Username requis pour la vérification"
   - Field: "username"
 2. **Format username invalide**
   - Message: "Format invalide"
   - Field: "username"
   - Format: "10-30 caractères, commence par une lettre..."
   - Value: [username soumis]
 ## Test de la solution
 Un script de test a été créé : `/tests/test_user_creation.php`
 Il teste tous les cas d'erreur possibles et vérifie que :
 1. Les codes HTTP sont corrects
 2. Les messages d'erreur sont informatifs
 3. Les champs en erreur sont identifiés
 ## Recommandations pour éviter le bannissement fail2ban
 1. **Côté client (application Flutter)** :
   - Valider les données AVANT l'envoi
   - Afficher clairement les erreurs à l'utilisateur
   - Implémenter un délai entre les tentatives (rate limiting côté client)
 2. **Côté API** :
   - Les messages d'erreur détaillés permettent maintenant de corriger rapidement les problèmes
   - Les logs permettent de diagnostiquer les problèmes récurrents
 3. **Configuration fail2ban** :
   - Considérer d'augmenter le seuil pour les erreurs 400 (ex: 5 tentatives au lieu de 3)
   - Exclure certaines IP de confiance si nécessaire
 ## Suivi des logs
 Les logs sont maintenant générés dans :
 - `/logs/geosector-[environment]-[date].log` : Logs généraux avec détails des erreurs
 Format des logs :
 ```
 timestamp;browser;os;client_type;level;metadata;message
 ```
 Les erreurs de validation sont loggées avec le niveau "warning" pour permettre un suivi sans être critiques.
--- a/api/docs/GESTION-SECTORS.md
+++ b/api/docs/GESTION-SECTORS.md
@@ -0,0 +1,699 @@
 # GESTION-SECTORS.md
 ## Vue d'ensemble
 Ce document décrit le système de gestion des secteurs dans l'API Geosector, incluant la connexion aux bases de données d'adresses externes, la validation des limites départementales, et le processus complet de création de secteurs avec génération automatique des passages.
 ## Évolutions récentes
 ### Gestion des sessions
 - La session stocke maintenant `entity_id` depuis `fk_entite` lors du login
 - Méthode `Session::getEntityId()` disponible pour récupérer l'ID de l'entité
 - Utilisation cohérente de l'entity_id dans toutes les opérations
 ### Gestion des passages orphelins
 - Les passages avec `fk_sector = 0` sont automatiquement intégrés au nouveau secteur
 - Évite les doublons pour les passages ayant déjà une `fk_adresse`
 - Mise à jour atomique dans la transaction de création du secteur
 ## Architecture multi-bases
 ### Bases de données principales
 1. **Base principale** (`geosector_app`)
   - Contient toutes les tables de l'application
   - Tables concernées : `ope_sectors`, `sectors_adresses`, `ope_pass`, `ope_users_sectors`, `x_departements_contours`
 2. **Base adresses** (dans conteneurs maria3/maria4)
   - **DVA** : maria3 (13.23.33.4) - base `adresses`
     - User : `adr_geo_user` / `d66,AdrGeoDev.User`
   - **RCA** : maria3 (13.23.33.4) - base `adresses`
     - User : `adr_geo_user` / `d66,AdrGeoRec.User`
   - **PROD** : maria4 (13.23.33.4) - base `adresses`
     - User : `adr_geo_user` / `d66,AdrGeoPrd.User`
   - Tables par département : `cp22`, `cp23`, etc.
 3. **Base bâtiments** (dans conteneurs maria3/maria4)
   - **DVA** : maria3 (13.23.33.4) - base `batiments`
     - User : `adr_geo_user` / `d66,AdrGeoDev.User`
   - **RCA** : maria3 (13.23.33.4) - base `batiments`
     - User : `adr_geo_user` / `d66,AdrGeoRec.User`
   - **PROD** : maria4 (13.23.33.4) - base `batiments`
     - User : `adr_geo_user` / `d66,AdrGeoPrd.User`
   - Tables par département : `bat22`, `bat23`, etc.
   - Colonnes principales : `batiment_groupe_id`, `cle_interop_adr`, `nb_log`, `nb_niveau`, `residence`, `altitude_sol_mean`
   - Lien avec adresses : `bat{dept}.cle_interop_adr = cp{dept}.id`
 ### Configuration
 Dans `src/Config/AppConfig.php` :
 ```php
 // DÉVELOPPEMENT
 'addresses_database' => [
    'host' => '13.23.33.4',  // Container maria3 sur IN3
    'name' => 'adresses',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoDev.User',
 ],
 // RECETTE
 'addresses_database' => [
    'host' => '13.23.33.4',  // Container maria3 sur IN3
    'name' => 'adresses',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoRec.User',
 ],
 // PRODUCTION
 'addresses_database' => [
    'host' => '13.23.33.4',  // Container maria4 sur IN4
    'name' => 'adresses',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoPrd.User',
 ],
 // DÉVELOPPEMENT - Bâtiments
 'buildings_database' => [
    'host' => '13.23.33.4',  // Container maria3 sur IN3
    'name' => 'batiments',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoDev.User',
 ],
 // RECETTE - Bâtiments
 'buildings_database' => [
    'host' => '13.23.33.4',  // Container maria3 sur IN3
    'name' => 'batiments',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoRec.User',
 ],
 // PRODUCTION - Bâtiments
 'buildings_database' => [
    'host' => '13.23.33.4',  // Container maria4 sur IN4
    'name' => 'batiments',
    'username' => 'adr_geo_user',
    'password' => 'd66,AdrGeoPrd.User',
 ],
 ```
 ## Gestion des contours départementaux
 ### Table x_departements_contours
 Création manuelle de la table (sans DROP permissions) :
 ```sql
 CREATE TABLE IF NOT EXISTS `x_departements_contours` (
    `id` int(11) NOT NULL AUTO_INCREMENT,
    `code_dept` varchar(3) NOT NULL,
    `nom_dept` varchar(100) NOT NULL,
    `contour` GEOMETRY NOT NULL,
    `created_at` timestamp NOT NULL DEFAULT current_timestamp(),
    PRIMARY KEY (`id`),
    UNIQUE KEY `idx_code_dept` (`code_dept`),
    SPATIAL KEY `idx_contour` (`contour`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci
 COMMENT='Contours géographiques des départements français';
 ```
 ### Import des contours
 1. **Fichier source** : `docs/contour-des-departements.geojson` (depuis data.gouv.fr)
 2. **Import automatique** : Uniquement lors de la connexion de l'admin `d6soft`
 3. **Script** : `scripts/init_departements_contours.php`
 4. **Résultat** : 96 départements importés avec support Polygon et MultiPolygon
 ## Services principaux
 ### AddressService
 Gère la récupération des adresses depuis la base externe :
 ```php
 class AddressService {
    // Récupère toutes les adresses dans un polygone
    public function getAddressesInPolygon(array $coordinates, ?int $entityId = null): array
    // Compte les adresses dans un polygone
    public function countAddressesInPolygon(array $coordinates, ?int $entityId = null): int
 }
 ```
 **Caractéristiques** :
 - Détection automatique des départements touchés par le secteur
 - Interrogation de toutes les tables cp{dept} concernées
 - Gestion des secteurs multi-départements
 ### DepartmentBoundaryService
 Vérifie les limites départementales des secteurs :
 ```php
 class DepartmentBoundaryService {
    // Vérifie si un secteur est contenu dans un département
    public function checkSectorInDepartment(array $sectorCoordinates, string $departmentCode): array
    // Liste tous les départements touchés par un secteur
    public function getDepartmentsForSector(array $sectorCoordinates): array
 }
 ```
 **Retour type** :
 ```php
 [
    'is_contained' => bool,
    'message' => string,
    'intersecting_departments' => [
        ['code_dept' => '22', 'nom_dept' => 'Côtes-d\'Armor', 'percentage_overlap' => 75.5],
        ['code_dept' => '29', 'nom_dept' => 'Finistère', 'percentage_overlap' => 24.5]
    ]
 ]
 ```
 ### BuildingService
 Enrichit les adresses avec les données bâtiments :
 ```php
 namespace App\Services;
 class BuildingService {
    // Enrichit une liste d'adresses avec les métadonnées des bâtiments
    public function enrichAddresses(array $addresses): array
 }
 ```
 **Fonctionnement** :
 - Connexion à la base `batiments` externe
 - Interrogation des tables `bat{dept}` par département
 - JOIN sur `bat{dept}.cle_interop_adr = cp{dept}.id`
 - Ajout des métadonnées : `fk_batiment`, `fk_habitat`, `nb_niveau`, `nb_log`, `residence`, `alt_sol`
 - Fallback : `fk_habitat=1` (maison individuelle) si pas de bâtiment trouvé
 **Données retournées** :
 ```php
 [
    'id' => 'cp22.123456',
    'numero' => '10',
    'voie' => 'Rue Victor Hugo',
    'code_postal' => '22000',
    'commune' => 'Saint-Brieuc',
    'latitude' => 48.5149,
    'longitude' => -2.7658,
    // Données bâtiment enrichies :
    'fk_batiment' => 'BAT_123456',      // null si maison
    'fk_habitat' => 2,                   // 1=individuel, 2=collectif
    'nb_niveau' => 4,                    // null si maison
    'nb_log' => 12,                      // null si maison
    'residence' => 'Résidence Les Pins', // '' si maison
    'alt_sol' => 25.5                    // null si maison
 ]
 ```
 ## Processus de création de secteur
 ### 1. Structure du payload
 ```json
 {
    "user_id": 123,
    "fk_entite": 45,
    "operation_id": 789,
    "sector": {
        "id": 0,
        "libelle": "Secteur Centre-Ville",
        "color": "#FF5733",
        "sector": "48.117266/-1.6777926#48.118500/-1.6750000#..."
    },
    "users": [12, 34, 56, 78]
 }
 ```
 ### 2. Étapes de création
 1. **Validation** des données et de l'opération
 2. **Vérification** des limites départementales (warning si débordement)
 3. **Début de transaction** pour garantir la cohérence des données
 4. **Insertion** du secteur dans `ope_sectors`
 5. **Affectation** des utilisateurs dans `ope_users_sectors` avec :
   - `fk_operation`, `fk_user`, `fk_sector`
   - `created_at`, `fk_user_creat`, `chk_active = 1`
 6. **Intégration des passages orphelins** :
   - Recherche des passages avec `fk_sector = 0` dans le polygone
   - Mise à jour de leur `fk_sector` vers le nouveau secteur
   - Exclusion des passages ayant déjà une `fk_adresse`
 7. **Récupération** des adresses via `AddressService::getAddressesInPolygon()`
 8. **Enrichissement** avec données bâtiments via `AddressService::enrichAddressesWithBuildings()`
 9. **Stockage** des adresses dans `sectors_adresses` avec colonnes bâtiment :
   - `fk_batiment`, `fk_habitat`, `nb_niveau`, `nb_log`, `residence`, `alt_sol`
 10. **Création** des passages dans `ope_pass` :
   - **Maisons individuelles** (fk_habitat=1) : 1 passage par adresse
   - **Immeubles** (fk_habitat=2) : nb_log passages par adresse (1 par appartement)
   - Champs ajoutés : `residence`, `appt` (numéro 1 à nb_log), `fk_habitat`
   - Affectés au premier utilisateur de la liste
   - Avec toutes les FK nécessaires (entité, opération, secteur, user)
   - Données d'adresse complètes
 11. **Commit** de la transaction ou **rollback** en cas d'erreur
 ## Processus de modification de secteur
 ### 1. Structure du payload UPDATE
 ```json
 {
    "libelle": "Secteur Centre-Ville Modifié",
    "color": "#00FF00",
    "sector": "48.117266/-1.6777926#48.118500/-1.6750000#...",
    "users": [12, 34],
    "chk_adresses_change": 1
 }
 ```
 ### 2. Paramètre chk_adresses_change
 **Valeurs** :
 - `0` : Ne pas recalculer les adresses et passages (modification simple)
 - `1` : Recalculer les adresses et passages (défaut)
 **Cas d'usage** :
 #### chk_adresses_change = 0
 Modification rapide sans toucher aux adresses/passages :
 - ✅ Modification du libellé
 - ✅ Modification de la couleur
 - ✅ Modification des coordonnées du polygone (visuel uniquement)
 - ✅ Modification des membres affectés
 - ❌ Pas de recalcul des adresses dans sectors_adresses
 - ❌ Pas de mise à jour des passages (orphelins, créés, supprimés)
 - ❌ **Réponse sans passages_sector** (tableau vide)
 **Utilité** : Permet aux admins de corriger rapidement un libellé, une couleur, ou d'ajuster légèrement le périmètre visuel sans déclencher un recalcul complet qui pourrait prendre plusieurs secondes.
 **Réponse API** :
 ```json
 {
    "status": "success",
    "message": "Secteur modifié avec succès",
    "sector": { "id": 123, "libelle": "...", "color": "...", "sector": "..." },
    "passages_sector": [],  // Vide car chk_adresses_change = 0
    "passages_orphaned": 0,
    "passages_deleted": 0,
    "passages_updated": 0,
    "passages_created": 0,
    "passages_total": 0,
    "users_sectors": [...]
 }
 ```
 #### chk_adresses_change = 1 (défaut)
 Modification complète avec recalcul :
 - ✅ Modification du libellé/couleur/polygone
 - ✅ Modification des membres
 - ✅ Suppression et recréation de sectors_adresses
 - ✅ Application des règles de gestion des bâtiments
 - ✅ Mise en orphelin des passages hors périmètre
 - ✅ Création de nouveaux passages pour nouvelles adresses
 ### 3. Réponse API pour CREATE
 **Format standardisé** : Les données sont placées à la racine, sans groupe "data" intermédiaire.
 ```json
 {
    "status": "success",
    "message": "Secteur créé avec succès",
    "sector": {
        "id": 123,
        "libelle": "Secteur Centre-Ville",
        "color": "#FF5733",
        "sector": "48.117266/-1.6777926#48.118500/-1.6750000#..."
    },
    "passages_sector": [
        {
            "id": 456,
            "fk_operation": 789,
            "fk_sector": 123,
            "fk_user": 12,
            "fk_type": 2,
            "fk_adresse": "cp22.12345",
            "passed_at": null,
            "numero": "10",
            "rue": "Rue de la Paix",
            "rue_bis": "",
            "ville": "Saint-Brieuc",
            "residence": null,
            "fk_habitat": null,
            "appt": null,
            "niveau": null,
            "gps_lat": "48.117266",
            "gps_lng": "-1.6777926",
            "nom_recu": null,
            "name": "",  // Décrypté depuis encrypted_name
            "remarque": null,
            "email": "",  // Décrypté depuis encrypted_email
            "phone": "",  // Décrypté depuis encrypted_phone
            "montant": null,
            "fk_type_reglement": null,
            "email_erreur": null,
            "nb_passages": null
        }
    ],
    "passages_integrated": 5,    // Passages orphelins intégrés
    "passages_created": 10,      // Nouveaux passages créés
    "users_sectors": [
        {
            "id": 12,
            "first_name": "Jean",
            "sect_name": "JDU",
            "fk_sector": 123,
            "name": "Dupont"  // Décrypté depuis encrypted_name
        }
    ]
 }
 ```
 ### 4. Réponse API pour UPDATE
 La réponse est identique à CREATE avec des compteurs supplémentaires :
 ```json
 {
    "status": "success",
    "message": "Secteur modifié avec succès",
    "sector": {
        "id": 123,
        "libelle": "Secteur Centre-Ville Modifié",
        "color": "#FF5733",
        "sector": "48.117266/-1.6777926#48.118500/-1.6750000#..."
    },
    "passages_sector": [
        // Liste complète de TOUS les passages actuels du secteur
    ],
    "passages_orphaned": 3,      // Passages mis en orphelin (hors polygone)
    "passages_updated": 5,       // Passages mis à jour avec fk_adresse
    "passages_created": 10,      // Nouveaux passages créés
    "passages_total": 25,        // Nombre total de passages dans le secteur
    "users_sectors": [
        // Liste des utilisateurs affectés
    ]
 }
 ```
 **Notes importantes** :
 - Les champs sensibles (name, email, phone) sont stockés cryptés et décryptés à la volée
 - La structure est identique entre CREATE et UPDATE pour faciliter l'intégration
 - Tous les champs sont retournés, même s'ils sont null
 - Code HTTP : 201 pour CREATE, 200 pour UPDATE
 ## Gestion des secteurs multi-départements
 ### Détection automatique
 Le système détecte automatiquement quand un secteur touche plusieurs départements :
 1. **Analyse spatiale** : Utilisation de `ST_Intersects` pour identifier tous les départements touchés
 2. **Calcul de pourcentage** : `ST_Area(ST_Intersection)` pour calculer le % de recouvrement
 3. **Interrogation multi-tables** : Requête sur toutes les tables cp{dept} concernées
 ### Exemple de secteur multi-départements
 ```php
 // Secteur à cheval sur 22 (Côtes-d'Armor) et 29 (Finistère)
 $coordinates = [
    [48.5778, -3.8280],  // Morlaix (29)
    [48.5778, -3.7280],  // Vers l'est (22)
    [48.4778, -3.7280],
    [48.4778, -3.8280]
 ];
 // Le système va automatiquement :
 // 1. Détecter que le secteur touche 22 et 29
 // 2. Interroger cp22 et cp29 pour les adresses
 // 3. Créer les passages pour toutes les adresses trouvées
 ```
 ## Tables de données
 ### ope_sectors
 - `id` : Identifiant unique
 - `libelle` : Nom du secteur
 - `color` : Couleur d'affichage
 - `sector` : Coordonnées (format lat/lng#lat/lng#...)
 - `fk_entite` : Lien vers l'entité
 ### sectors_adresses
 - `fk_sector` : Lien vers le secteur
 - `fk_adresse` : ID de l'adresse dans la base externe
 - `numero`, `rue`, `rue_bis`, `cp`, `ville`
 - `gps_lat`, `gps_lng`
 - **Colonnes bâtiment** :
  - `fk_batiment` : ID bâtiment (VARCHAR 50, null si maison)
  - `fk_habitat` : 1=individuel, 2=collectif (TINYINT UNSIGNED)
  - `nb_niveau` : Nombre d'étages (INT, null)
  - `nb_log` : Nombre de logements (INT, null)
  - `residence` : Nom résidence/copropriété (VARCHAR 75)
  - `alt_sol` : Altitude sol en mètres (DECIMAL 10,2, null)
 ### ope_pass (passages)
 - `fk_operation`, `fk_sector`, `fk_user`, `fk_adresse`
 - `numero`, `rue`, `rue_bis`, `ville`
 - `gps_lat`, `gps_lng`
 - **Colonnes bâtiment** :
  - `residence` : Nom résidence (VARCHAR 75)
  - `appt` : Numéro appartement (VARCHAR 10, saisie libre)
  - `niveau` : Étage (VARCHAR 10, saisie libre)
  - `fk_habitat` : 1=individuel, 2=collectif (TINYINT UNSIGNED)
 - `fk_type` : Type passage (2=à faire, autres valeurs pour fait/refus)
 - `encrypted_name`, `encrypted_email`, `encrypted_phone` : Données cryptées
 - `created_at`, `fk_user_creat`, `chk_active`
 ### ope_users_sectors
 - `fk_operation` : Lien vers l'opération
 - `fk_user` : Lien vers l'utilisateur (ope_users)
 - `fk_sector` : Lien vers le secteur
 - `created_at`, `fk_user_creat`, `chk_active`
 ## Règles de gestion des bâtiments lors de l'UPDATE
 ### Principe général
 Lors de la mise à jour d'un secteur, le système applique une logique intelligente pour gérer les passages en fonction du type d'habitat (maison/immeuble) et du nombre de logements.
 ### Clé d'identification unique
 **Tous les passages** sont identifiés par la clé : `numero|rue|rue_bis|ville`
 Cette clé ne contient **pas** `residence` ni `appt` car ces champs sont en **saisie libre** par l'utilisateur.
 ### Cas 1 : Maison individuelle (fk_habitat=1)
 #### Si 0 passage existant :
 ```
 → INSERT 1 nouveau passage
  - fk_habitat = 1
  - residence = ''
  - appt = ''
 ```
 #### Si 1+ passages existants :
 ```
 → UPDATE le premier passage
  - fk_habitat = 1
  - residence = ''
 → Les autres passages restent INTACTS
  (peuvent correspondre à plusieurs habitants saisis manuellement)
 ```
 ### Cas 2 : Immeuble (fk_habitat=2)
 #### Étape 1 : UPDATE systématique
 ```
 → UPDATE TOUS les passages existants à cette adresse
  - fk_habitat = 2
  - residence = sectors_adresses.residence (si non vide)
 ```
 #### Étape 2a : Si nb_existants < nb_log (ex: 3 passages, nb_log=6)
 ```
 → INSERT (nb_log - nb_existants) nouveaux passages
  - fk_habitat = 2
  - residence = sectors_adresses.residence
  - appt = '' (pas de numéro prédéfini)
  - fk_type = 2 (à faire)
 Résultat : 6 passages total (3 conservés + 3 créés)
 ```
 #### Étape 2b : Si nb_existants > nb_log (ex: 10 passages, nb_log=6)
 ```
 → DELETE max (nb_existants - nb_log) passages
  Conditions de suppression :
    - fk_type = 2 (à faire)
    - ET encrypted_name vide (non visité)
    - Tri par created_at ASC (les plus anciens d'abord)
 Résultat : Entre 6 et 10 passages (selon combien sont visités)
 ```
 ### Points importants
 ✅ **Préservation des données utilisateur** :
 - `appt` et `niveau` ne sont **JAMAIS modifiés** (saisie libre conservée)
 - Les passages visités (encrypted_name rempli) ne sont **JAMAIS supprimés**
 ✅ **Mise à jour conditionnelle** :
 - `residence` est mis à jour **uniquement si non vide** dans sectors_adresses
 - Permet de conserver une saisie manuelle si la base bâtiments n'a pas l'info
 ✅ **Gestion des transitions** :
 - Une adresse peut passer de maison (fk_habitat=1) à immeuble (fk_habitat=2) ou inversement
 - La logique s'adapte automatiquement au nouveau type d'habitat
 ✅ **Uniformisation GPS** :
 - **Tous les passages d'une même adresse partagent les mêmes coordonnées GPS** (gps_lat, gps_lng)
 - Ces coordonnées proviennent de `sectors_adresses` (enrichies depuis la base externe `adresses`)
 - Cette règle s'applique lors de la **création** et de la **mise à jour** avec `chk_adresses_change=1`
 - Garantit la cohérence géographique pour tous les passages d'un même immeuble
 ### Exemple concret
 **Situation initiale** :
 - Adresse : "10 rue Victor Hugo, 22000 Saint-Brieuc"
 - 8 passages existants (dont 3 visités)
 - nb_log passe de 8 à 5
 **Actions** :
 1. UPDATE les 8 passages → fk_habitat=2, residence="Les Chênes"
 2. Tentative suppression de (8-5) = 3 passages
 3. Recherche des passages avec fk_type=2 ET encrypted_name vide
 4. Suppose 5 passages non visités trouvés
 5. Suppression des 3 plus anciens non visités
 6. **Résultat** : 5 passages restants (3 visités + 2 non visités)
 ## Logs et monitoring
 Le système génère des logs détaillés pour :
 - Nombre d'adresses trouvées par département
 - Secteurs hors limites départementales
 - Passages créés avec succès
 - Erreurs de connexion aux bases d'adresses
 - Performance des requêtes spatiales
 ## Scripts de test
 - `test_sector_departments.php` : Test des limites départementales
 - `test_addresses_connection.php` : Test de connexion à la base d'adresses
 ## Notes importantes
 1. **Fail-safe** : La création de secteur continue même si la base d'adresses est inaccessible
 2. **Transactions** : 
   - Toute la création est dans une transaction pour garantir la cohérence
   - Toujours vérifier `inTransaction()` avant d'appeler `rollBack()`
   - Gestion correcte des erreurs PDO avec try/catch
 3. **Performance** : Les requêtes spatiales utilisent des index spatiaux pour optimiser les performances
 4. **Modification de secteur** : Plus complexe car nécessite de gérer les passages existants (non implémenté)
 5. **Paramètres SQL** : Utiliser des noms uniques pour éviter l'erreur "Invalid parameter number"
 6. **Jointures** : Les données utilisateur viennent de la table `users`, pas `ope_users` (qui n'a pas nom/prenom)
 ## Bilan de la gestion des adresses et passages
 ### Vue d'ensemble du cycle de vie
 ```
 Base Adresses (cp22, cp23...) → sectors_adresses → ope_pass
 ```
 ### 1. CRÉATION D'UN SECTEUR
 #### Flux des données :
 1. **Récupération des adresses** depuis la base externe (`AddressService`)
 2. **Intégration des passages orphelins** (`fk_sector = NULL`) situés dans le polygone
 3. **Stockage dans `sectors_adresses`** de toutes les adresses du polygone
 4. **Création automatique de passages** (`ope_pass`) pour chaque adresse SAUF celles déjà utilisées par les passages orphelins
 #### Détails :
 - **Passages créés** : `fk_type = 2`, `encrypted_name = ''` (vide), affectés au premier utilisateur
 - **Passages orphelins** : mis à jour avec le nouveau `fk_sector`
 - **Évite les doublons** : les adresses déjà utilisées par des passages orphelins ne génèrent pas de nouveau passage
 ### 2. MISE À JOUR D'UN SECTEUR
 #### Processus de mise à jour :
 1. **Mise à jour des attributs** (libelle, color, sector)
 2. **Mise à jour des membres affectés**
 3. **Suppression/recréation des adresses** dans `sectors_adresses`
 4. **Gestion intelligente des passages** via `updatePassagesForSector` :
 #### Gestion des passages lors de l'UPDATE :
 ##### a) Vérification géographique des passages existants
 - Pour chaque passage du secteur, vérification si ses coordonnées GPS sont dans le nouveau polygone
 - **Si DANS le polygone** : Conservation du passage
 - **Si HORS du polygone** : Mise en orphelin (`fk_sector = NULL`)
 ##### b) Traitement des nouvelles adresses
 Pour chaque adresse dans `sectors_adresses` :
 1. **Vérification primaire** : Recherche par `fk_adresse`
 2. **Vérification secondaire** : Si pas trouvé, recherche par `numero`, `rue_bis`, `rue`, `ville`
   - Si trouvé → Mise à jour du `fk_adresse` dans le(s) passage(s)
 3. **Création** : Si aucun passage existant, création avec :
   - `fk_type = 2`, `encrypted_name = ''`
   - Affecté au premier utilisateur du secteur
   - Toutes les données de l'adresse
 ### 3. SUPPRESSION D'UN SECTEUR
 #### Traitement différencié des passages :
 1. **Passages "non visités"** (`fk_type = 2` ET `encrypted_name` vide) :
   - Suppression définitive de la base
   - Ces passages correspondent aux adresses non visitées
 2. **Passages "visités"** (tous les autres) :
   - Mise à jour : `fk_sector = NULL`
   - Deviennent des passages orphelins
   - Conservent toutes leurs données (contact, montant, etc.)
 #### Autres suppressions :
 - Suppression des affectations membres (`ope_users_sectors`)
 - Suppression des adresses (`sectors_adresses`)
 - Suppression du secteur lui-même
 ### Tableau récapitulatif
 | Action | sectors_adresses | ope_pass dans polygone | ope_pass hors polygone | Nouvelles adresses |
 |--------|------------------|------------------------|------------------------|-------------------|
 | CREATE | Insertion depuis base externe | - | Intégration si orphelins | Création automatique de passages |
 | UPDATE | Suppression/recréation | Conservation | Mise en orphelin | Création si pas de passage existant |
 | DELETE | Suppression totale | Suppression si non visités / Orphelin si visités | - | - |
 ### Points d'attention
 1. **Cohérence géographique** : Lors d'un UPDATE, le système vérifie automatiquement et met en orphelin les passages hors du nouveau périmètre
 2. **Passages orphelins** : Peuvent être réintégrés lors de la création d'un nouveau secteur englobant
 3. **Mise à jour du fk_adresse** : Lors d'un UPDATE, les passages existants peuvent recevoir leur `fk_adresse` s'ils correspondent à une adresse
 4. **Performance** : La création/mise à jour génère potentiellement des milliers de passages selon la densité d'adresses
 ## Erreurs communes et solutions
 ### "There is no active transaction"
 - **Cause** : Appel à `rollBack()` sans transaction active
 - **Solution** : Vérifier `$db->inTransaction()` avant rollback
 ### "Column not found: fk_address"
 - **Cause** : La colonne s'appelle `fk_adresse` (avec 'e')
 - **Solution** : Corriger les noms de colonnes dans les requêtes
 ### "Invalid parameter number"
 - **Cause** : Réutilisation du même nom de paramètre dans une requête
 - **Solution** : Utiliser des noms uniques (`:param1`, `:param2`, etc.)
 ### "Unknown column 'ou.nom'"
 - **Cause** : La table `ope_users` n'a pas de colonnes nom/prenom
 - **Solution** : Joindre avec la table `users` qui contient `encrypted_name` et `first_name`
 ### "Class 'ApiService' not found"
 - **Cause** : Import manquant dans le controller
 - **Solution** : Ajouter `use App\Services\ApiService;` et `require_once`
--- a/api/docs/INSTALL_FPDF.md
+++ b/api/docs/INSTALL_FPDF.md
@@ -0,0 +1,90 @@
 # Installation de FPDF pour la génération des reçus PDF avec logo
 ## Installation via Composer (RECOMMANDÉ)
 Sur chaque serveur (DEV, REC, PROD), exécuter :
 ```bash
 cd /var/www/geosector/api
 composer require setasign/fpdf
 ```
 Ou si composer.json est déjà mis à jour :
 ```bash
 cd /var/www/geosector/api
 composer update
 ```
 ## Fichiers à déployer
 1. **Nouveaux fichiers** :
   - `/src/Services/ReceiptPDFGenerator.php` - Nouvelle classe de génération PDF avec FPDF
   - `/docs/_logo_recu.png` - Logo par défaut (casque de pompier)
 2. **Fichiers modifiés** :
   - `/src/Services/ReceiptService.php` - Utilise maintenant ReceiptPDFGenerator
   - `/composer.json` - Ajout de la dépendance FPDF
 ## Vérification
 Après installation, tester la génération d'un reçu :
 ```bash
 # Vérifier que FPDF est installé
 ls -la vendor/setasign/fpdf/
 # Tester la génération d'un PDF
 php -r "
 require 'vendor/autoload.php';
 \$pdf = new FPDF();
 \$pdf->AddPage();
 \$pdf->SetFont('Arial','B',16);
 \$pdf->Cell(40,10,'Test FPDF OK');
 echo 'FPDF fonctionne' . PHP_EOL;
 "
 ```
 ## Fonctionnalités du nouveau générateur
 ✅ **Support des vrais logos PNG/JPG**
 ✅ **Logo par défaut** si l'entité n'a pas de logo
 ✅ **Taille du logo** : 40x40mm
 ✅ **Mise en page professionnelle** avec cadre pour le montant
 ✅ **Conversion automatique** des caractères UTF-8
 ✅ **PDF léger** (~20-30KB avec logo)
 ## Structure du reçu généré
 1. **En-tête** :
   - Logo (40x40mm) à gauche
   - Nom et ville de l'entité à droite du logo
 2. **Titre** :
   - "REÇU FISCAL DE DON"
   - Numéro du reçu
   - Article 200 CGI
 3. **Corps** :
   - Informations du donateur
   - Montant en gros dans un cadre grisé
   - Date du don
   - Mode de règlement et campagne
 4. **Pied de page** :
   - Mentions légales (réduction 66%)
   - Date et signature
 ## Résolution de problèmes
 Si erreur "Class 'FPDF' not found" :
 ```bash
 composer dump-autoload
 ```
 Si problème avec le logo :
 - Vérifier que `/docs/_logo_recu.png` existe
 - Vérifier les permissions : `chmod 644 docs/_logo_recu.png`
 Si caractères accentués mal affichés :
 - FPDF utilise ISO-8859-1, la conversion est automatique dans ReceiptPDFGenerator
--- a/api/docs/PLANNING-STRIPE-API.md
+++ b/api/docs/PLANNING-STRIPE-API.md
@@ -0,0 +1,818 @@
 # PLANNING STRIPE - DÉVELOPPEUR BACKEND PHP
 ## API PHP 8.3 - Intégration Stripe Tap to Pay (Mobile uniquement)
 ### Période : 25/08/2024 - 05/09/2024
 ### Mise à jour : Janvier 2025 - Simplification architecture
 ---
 ## 📅 LUNDI 25/08 - Setup et architecture (8h)
 ### 🌅 Matin (4h)
 ```bash
 # Installation Stripe PHP SDK
 cd api
 composer require stripe/stripe-php
 ```
 #### ✅ Configuration environnement
 - [x] Créer configuration Stripe dans `AppConfig.php` avec clés TEST
 - [x] Ajouter variables de configuration :
  ```php
  'stripe' => [
    'public_key_test' => 'pk_test_51QwoVN00pblGEgsXkf8qlXm...',
    'secret_key_test' => 'sk_test_51QwoVN00pblGEgsXnvqi8qf...',
    'webhook_secret_test' => 'whsec_test_...',
    'api_version' => '2024-06-20',
    'application_fee_percent' => 0, // DECISION: 0% commission
    'mode' => 'test'
  ]
  ```
 - [x] Créer service `StripeService.php` singleton
 - [x] Configurer authentification Session-based API
 #### ✅ Base de données
 ```sql
 -- Modification de la table ope_pass existante (JANVIER 2025)
 ALTER TABLE `ope_pass`
 DROP COLUMN IF EXISTS `is_striped`,
 ADD COLUMN `stripe_payment_id` VARCHAR(50) DEFAULT NULL COMMENT 'ID du PaymentIntent Stripe (pi_xxx)',
 ADD INDEX `idx_stripe_payment` (`stripe_payment_id`);
 -- Tables à créer (simplifiées)
 CREATE TABLE stripe_accounts (
    id INT PRIMARY KEY AUTO_INCREMENT,
    amicale_id INT NOT NULL,
    stripe_account_id VARCHAR(255) UNIQUE,
    charges_enabled BOOLEAN DEFAULT FALSE,
    payouts_enabled BOOLEAN DEFAULT FALSE,
    onboarding_completed BOOLEAN DEFAULT FALSE,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    FOREIGN KEY (amicale_id) REFERENCES amicales(id)
 );
 -- NOTE: Table payment_intents SUPPRIMÉE - on utilise directement stripe_payment_id dans ope_pass
 -- NOTE: Table terminal_readers SUPPRIMÉE - Tap to Pay uniquement, pas de terminaux externes
 CREATE TABLE android_certified_devices (
    id INT PRIMARY KEY AUTO_INCREMENT,
    manufacturer VARCHAR(100),
    model VARCHAR(200),
    model_identifier VARCHAR(200),
    tap_to_pay_certified BOOLEAN DEFAULT FALSE,
    certification_date DATE,
    min_android_version INT,
    country VARCHAR(2) DEFAULT 'FR',
    last_verified TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    INDEX idx_manufacturer_model (manufacturer, model)
 );
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Endpoints Connect - Onboarding (RÉALISÉS)
 ```php
 // POST /api/stripe/accounts - IMPLEMENTED
 public function createAccount() {
    $amicale = Amicale::find($amicaleId);
    $account = \Stripe\Account::create([
        'type' => 'express',
        'country' => 'FR',
        'email' => $amicale->email,
        'capabilities' => [
            'card_payments' => ['requested' => true],
            'transfers' => ['requested' => true],
        ],
        'business_type' => 'non_profit',
        'business_profile' => [
            'name' => $amicale->name,
            'product_description' => 'Vente de calendriers des pompiers',
        ],
    ]);
    // Sauvegarder stripe_account_id
    return $account;
 }
 // GET /api/amicales/{id}/onboarding-link
 public function getOnboardingLink($amicaleId) {
    $accountLink = \Stripe\AccountLink::create([
        'account' => $amicale->stripe_account_id,
        'refresh_url' => config('app.url') . '/stripe/refresh',
        'return_url' => config('app.url') . '/stripe/success',
        'type' => 'account_onboarding',
    ]);
    return ['url' => $accountLink->url];
 }
 ```
 ---
 ## 📅 MARDI 26/08 - Webhooks et Terminal (8h)
 ### 🌅 Matin (4h)
 #### ✅ Webhooks handler
 ```php
 // POST /api/webhooks/stripe
 public function handleWebhook(Request $request) {
    $payload = $request->getContent();
    $sig_header = $request->header('Stripe-Signature');
    try {
        $event = \Stripe\Webhook::constructEvent(
            $payload, $sig_header, config('stripe.webhook_secret')
        );
    } catch(\Exception $e) {
        return response('Invalid signature', 400);
    }
    switch ($event->type) {
        case 'account.updated':
            $this->handleAccountUpdated($event->data->object);
            break;
        case 'account.application.authorized':
            $this->handleAccountAuthorized($event->data->object);
            break;
        case 'payment_intent.succeeded':
            $this->handlePaymentSucceeded($event->data->object);
            break;
    }
    return response('Webhook handled', 200);
 }
 ```
 #### ✅ Configuration Tap to Pay
 ```php
 // POST /api/stripe/tap-to-pay/init
 public function initTapToPay(Request $request) {
    $userId = Session::getUserId();
    $entityId = Session::getEntityId();
    // Vérifier que l'entité a un compte Stripe
    $account = $this->getStripeAccount($entityId);
    return [
        'stripe_account_id' => $account->stripe_account_id,
        'tap_to_pay_enabled' => true
    ];
 }
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Vérification compatibilité Device
 ```php
 // POST /api/stripe/devices/check-tap-to-pay
 public function checkTapToPayCapability(Request $request) {
    $platform = $request->input('platform');
    $model = $request->input('device_model');
    $osVersion = $request->input('os_version');
    if ($platform === 'iOS') {
        // iPhone XS et ultérieurs avec iOS 16.4+
        $supported = $this->checkiOSCompatibility($model, $osVersion);
    } else {
        // Android certifié pour la France
        $supported = $this->checkAndroidCertification($model);
    }
    return [
        'tap_to_pay_supported' => $supported,
        'message' => $supported ?
            'Tap to Pay disponible' :
            'Appareil non compatible'
    ];
 }
 ```
 ---
 ## 📅 MERCREDI 27/08 - Paiements et fees (8h)
 ### 🌅 Matin (4h)
 #### ✅ Création PaymentIntent avec association au passage
 ```php
 // POST /api/payments/create-intent
 public function createPaymentIntent(Request $request) {
    $validated = $request->validate([
        'amount' => 'required|integer|min:100', // en centimes
        'passage_id' => 'required|integer', // ID du passage ope_pass
        'entity_id' => 'required|integer',
    ]);
    $userId = Session::getUserId();
    $entity = $this->getEntity($validated['entity_id']);
    // Commission à 0% (décision client)
    $applicationFee = 0;
    $paymentIntent = \Stripe\PaymentIntent::create([
        'amount' => $validated['amount'],
        'currency' => 'eur',
        'payment_method_types' => ['card_present'],
        'capture_method' => 'automatic',
        'application_fee_amount' => $applicationFee,
        'transfer_data' => [
            'destination' => $entity->stripe_account_id,
        ],
        'metadata' => [
            'passage_id' => $validated['passage_id'],
            'user_id' => $userId,
            'entity_id' => $entity->id,
            'year' => date('Y'),
        ],
    ]);
    // Mise à jour directe dans ope_pass
    $this->db->prepare("
        UPDATE ope_pass
        SET stripe_payment_id = :stripe_id,
            date_modified = NOW()
        WHERE id = :passage_id
    ")->execute([
        ':stripe_id' => $paymentIntent->id,
        ':passage_id' => $validated['passage_id']
    ]);
    return [
        'client_secret' => $paymentIntent->client_secret,
        'payment_intent_id' => $paymentIntent->id,
    ];
 }
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Capture et confirmation
 ```php
 // POST /api/payments/{id}/capture
 public function capturePayment($paymentIntentId) {
    // Récupérer le passage depuis ope_pass
    $stmt = $this->db->prepare("
        SELECT id, stripe_payment_id, montant
        FROM ope_pass
        WHERE stripe_payment_id = :stripe_id
    ");
    $stmt->execute([':stripe_id' => $paymentIntentId]);
    $passage = $stmt->fetch();
    $paymentIntent = \Stripe\PaymentIntent::retrieve($paymentIntentId);
    if ($paymentIntent->status === 'requires_capture') {
        $paymentIntent->capture();
    }
    // Mettre à jour le statut dans ope_pass si nécessaire
    if ($paymentIntent->status === 'succeeded' && $passage) {
        $this->db->prepare("
            UPDATE ope_pass
            SET date_stripe_validated = NOW()
            WHERE id = :passage_id
        ")->execute([':passage_id' => $passage['id']]);
        // Envoyer email reçu si configuré
        $this->sendReceipt($passage['id']);
    }
    return $paymentIntent;
 }
 // GET /api/passages/{id}/stripe-status
 public function getPassageStripeStatus($passageId) {
    $stmt = $this->db->prepare("
        SELECT stripe_payment_id, montant, date_creat
        FROM ope_pass
        WHERE id = :id
    ");
    $stmt->execute([':id' => $passageId]);
    $passage = $stmt->fetch();
    if (!$passage['stripe_payment_id']) {
        return ['status' => 'no_stripe_payment'];
    }
    // Récupérer le statut depuis Stripe
    $paymentIntent = \Stripe\PaymentIntent::retrieve($passage['stripe_payment_id']);
    return [
        'stripe_payment_id' => $passage['stripe_payment_id'],
        'status' => $paymentIntent->status,
        'amount' => $paymentIntent->amount,
        'currency' => $paymentIntent->currency,
        'created_at' => $passage['date_creat']
    ];
 }
 ```
 ---
 ## 📅 JEUDI 28/08 - Reporting et Android compatibility (8h)
 ### 🌅 Matin (4h)
 #### ✅ Gestion appareils Android certifiés
 ```php
 // POST /api/devices/check-tap-to-pay
 public function checkTapToPayCapability(Request $request) {
    $validated = $request->validate([
        'platform' => 'required|in:ios,android',
        'manufacturer' => 'required_if:platform,android',
        'model' => 'required_if:platform,android',
        'os_version' => 'required',
    ]);
    if ($validated['platform'] === 'ios') {
        // iPhone XS et ultérieurs avec iOS 15.4+
        $supportedModels = ['iPhone11,', 'iPhone12,', 'iPhone13,', 'iPhone14,', 'iPhone15,', 'iPhone16,'];
        $modelSupported = false;
        foreach ($supportedModels as $prefix) {
            if (str_starts_with($validated['model'], $prefix)) {
                $modelSupported = true;
                break;
            }
        }
        $osVersion = explode('.', $validated['os_version']);
        $osSupported = $osVersion[0] > 15 || 
            ($osVersion[0] == 15 && isset($osVersion[1]) && $osVersion[1] >= 4);
        return [
            'tap_to_pay_supported' => $modelSupported && $osSupported,
            'message' => $modelSupported && $osSupported ? 
                'Tap to Pay disponible' : 
                'iPhone XS ou ultérieur avec iOS 15.4+ requis'
        ];
    }
    // Android - vérifier dans la base de données
    $device = DB::table('android_certified_devices')
        ->where('manufacturer', $validated['manufacturer'])
        ->where('model', $validated['model'])
        ->where('tap_to_pay_certified', true)
        ->first();
    return [
        'tap_to_pay_supported' => $device !== null,
        'message' => $device ? 
            'Tap to Pay disponible sur cet appareil' : 
            'Appareil non certifié pour Tap to Pay en France',
        'alternative' => !$device ? 'Utilisez un iPhone compatible' : null
    ];
 }
 // GET /api/devices/certified-android
 public function getCertifiedAndroidDevices() {
    return DB::table('android_certified_devices')
        ->where('tap_to_pay_certified', true)
        ->where('country', 'FR')
        ->orderBy('manufacturer')
        ->orderBy('model')
        ->get();
 }
 ```
 #### ✅ Seeder pour appareils certifiés
 ```php
 // database/seeders/AndroidCertifiedDevicesSeeder.php
 public function run() {
    $devices = [
        // Samsung
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S21', 'model_identifier' => 'SM-G991B', 'min_android_version' => 11],
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S21+', 'model_identifier' => 'SM-G996B', 'min_android_version' => 11],
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S21 Ultra', 'model_identifier' => 'SM-G998B', 'min_android_version' => 11],
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S22', 'model_identifier' => 'SM-S901B', 'min_android_version' => 12],
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S23', 'model_identifier' => 'SM-S911B', 'min_android_version' => 13],
        ['manufacturer' => 'Samsung', 'model' => 'Galaxy S24', 'model_identifier' => 'SM-S921B', 'min_android_version' => 14],
        // Google Pixel
        ['manufacturer' => 'Google', 'model' => 'Pixel 6', 'model_identifier' => 'oriole', 'min_android_version' => 12],
        ['manufacturer' => 'Google', 'model' => 'Pixel 6 Pro', 'model_identifier' => 'raven', 'min_android_version' => 12],
        ['manufacturer' => 'Google', 'model' => 'Pixel 7', 'model_identifier' => 'panther', 'min_android_version' => 13],
        ['manufacturer' => 'Google', 'model' => 'Pixel 8', 'model_identifier' => 'shiba', 'min_android_version' => 14],
    ];
    foreach ($devices as $device) {
        DB::table('android_certified_devices')->insert([
            'manufacturer' => $device['manufacturer'],
            'model' => $device['model'],
            'model_identifier' => $device['model_identifier'],
            'tap_to_pay_certified' => true,
            'certification_date' => now(),
            'min_android_version' => $device['min_android_version'],
            'country' => 'FR',
        ]);
    }
 }
 ```
 #### ✅ Endpoints statistiques
 ```php
 // GET /api/amicales/{id}/stats
 public function getAmicaleStats($amicaleId) {
    $stats = DB::table('payment_intents')
        ->where('amicale_id', $amicaleId)
        ->where('status', 'succeeded')
        ->selectRaw('
            COUNT(*) as total_ventes,
            SUM(amount) as total_montant,
            SUM(application_fee) as total_commissions,
            DATE(created_at) as date
        ')
        ->groupBy('date')
        ->get();
    return $stats;
 }
 // GET /api/pompiers/{id}/ventes
 public function getPompierVentes($pompierId) {
    return PaymentIntent::where('pompier_id', $pompierId)
        ->where('status', 'succeeded')
        ->orderBy('created_at', 'desc')
        ->paginate(20);
 }
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Gestion des remboursements
 ```php
 // POST /api/payments/{id}/refund
 public function refundPayment($paymentIntentId, Request $request) {
    $validated = $request->validate([
        'amount' => 'integer|min:100', // optionnel, remboursement partiel
        'reason' => 'string|in:duplicate,fraudulent,requested_by_customer',
    ]);
    $payment = PaymentIntent::where('stripe_payment_intent_id', $paymentIntentId)->first();
    $refund = \Stripe\Refund::create([
        'payment_intent' => $paymentIntentId,
        'amount' => $validated['amount'] ?? null, // null = remboursement total
        'reason' => $validated['reason'] ?? 'requested_by_customer',
        'reverse_transfer' => true, // Important pour Connect
        'refund_application_fee' => true, // Rembourser aussi la commission
    ]);
    $payment->update(['status' => 'refunded']);
    return $refund;
 }
 ```
 ---
 ## 📅 VENDREDI 29/08 - Mode offline et sync (8h)
 ### 🌅 Matin (4h)
 #### ✅ Queue de synchronisation
 ```php
 // POST /api/payments/batch-sync
 public function batchSync(Request $request) {
    $validated = $request->validate([
        'transactions' => 'required|array',
        'transactions.*.local_id' => 'required|string',
        'transactions.*.amount' => 'required|integer',
        'transactions.*.created_at' => 'required|date',
        'transactions.*.payment_method' => 'required|in:card,cash',
    ]);
    $results = [];
    foreach ($validated['transactions'] as $transaction) {
        if ($transaction['payment_method'] === 'cash') {
            // Enregistrer paiement cash uniquement en DB
            $results[] = $this->recordCashPayment($transaction);
        } else {
            // Créer PaymentIntent a posteriori (si possible)
            $results[] = $this->createOfflinePayment($transaction);
        }
    }
    return ['synced' => $results];
 }
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Tests unitaires critiques
 ```php
 class StripePaymentTest extends TestCase {
    public function test_create_payment_intent_with_fees() {
        // Test création PaymentIntent avec commission
    }
    public function test_webhook_signature_validation() {
        // Test sécurité webhook
    }
    public function test_refund_reverses_transfer() {
        // Test remboursement avec annulation virement
    }
 }
 ```
 ---
 ## 📅 LUNDI 01/09 - Sécurité et optimisations (8h)
 ### 🌅 Matin (4h)
 #### ✅ Rate limiting et sécurité
 ```php
 // Middleware RateLimiter pour endpoints sensibles
 Route::middleware(['throttle:10,1'])->group(function () {
    Route::post('/payments/create-intent', 'PaymentController@createIntent');
 });
 // Validation des montants
 public function validateAmount($amount) {
    if ($amount < 100 || $amount > 50000) { // 1€ - 500€
        throw new ValidationException('Montant invalide');
    }
 }
 ```
 ### 🌆 Après-midi (4h)
 #### ✅ Logs et monitoring
 ```php
 // Logger tous les événements Stripe
 Log::channel('stripe')->info('Payment created', [
    'payment_intent_id' => $paymentIntent->id,
    'amount' => $paymentIntent->amount,
    'pompier_id' => $pompier->id,
 ]);
 ```
 ---
 ## 📅 MARDI 02/09 - Documentation API (4h)
 #### ✅ Documentation OpenAPI/Swagger
 ```yaml
 /api/payments/create-intent:
  post:
    summary: Créer une intention de paiement
    parameters:
      - name: amount
        type: integer
        required: true
        description: Montant en centimes
    responses:
      200:
        description: PaymentIntent créé
 ```
 ---
 ## 📅 MERCREDI 03/09 - Tests d'intégration (8h)
 #### ✅ Tests end-to-end
 - [ ] Parcours complet onboarding amicale
 - [ ] Création paiement → capture → confirmation
 - [ ] Test remboursement complet et partiel
 - [ ] Test webhooks avec ngrok
 ---
 ## 📅 JEUDI 04/09 - Mise en production (8h)
 ---
 ## 📅 VENDREDI 05/09 - Support et livraison finale (8h)
 ### 🌅 Matin (4h)
 #### ✅ Déploiement final
 - [ ] Migration DB production
 - [ ] Variables environnement LIVE
 - [ ] Smoke tests production
 - [ ] Vérification des webhooks en production
 ### 🌆 Après-midi (4h)
 #### ✅ Support et monitoring
 - [ ] Monitoring des premiers paiements réels
 - [ ] Support hotline pour équipes terrain
 - [ ] Documentation de passation
 - [ ] Réunion de clôture et retour d'expérience
 ---
 ## 📊 RÉCAPITULATIF
 - **Total heures** : 72h sur 10 jours
 - **Endpoints créés** : 15
 - **Tables DB** : 3
 - **Tests** : 20+
 ## 🔧 DÉPENDANCES
 ```json
 {
    "require": {
        "php": "^8.3",
        "stripe/stripe-php": "^13.0",
        "laravel/framework": "^10.0"
    }
 }
 ```
 ## ⚠️ CHECKLIST SÉCURITÉ
 - [ ] ❌ JAMAIS logger les clés secrètes
 - [ ] ✅ TOUJOURS valider signature webhooks
 - [ ] ✅ TOUJOURS utiliser HTTPS
 - [ ] ✅ Rate limiting sur endpoints paiement
 - [ ] ✅ Logs détaillés pour audit
 ---
 ## 🎯 BILAN DÉVELOPPEMENT API (01/09/2024)
 ### ✅ ENDPOINTS IMPLÉMENTÉS (TAP TO PAY UNIQUEMENT)
 #### **Stripe Connect - Comptes**
 - **POST /api/stripe/accounts** ✅
  - Création compte Stripe Express pour amicales
  - Gestion déchiffrement données (encrypted_email, encrypted_name)
  - Support des comptes existants
 - **GET /api/stripe/accounts/:entityId/status** ✅
  - Récupération statut complet du compte
  - Vérification charges_enabled et payouts_enabled
  - Retour JSON avec informations détaillées
 - **POST /api/stripe/accounts/:accountId/onboarding-link** ✅
  - Génération liens d'onboarding Stripe
  - URLs de retour configurées
  - Gestion des erreurs et timeouts
 #### **Configuration et Utilitaires**
 - **GET /api/stripe/config** ✅
  - Configuration publique Stripe
  - Clés publiques et paramètres client
  - Adaptation par environnement
 - **POST /api/stripe/webhook** ✅
  - Réception événements Stripe
  - Vérification signatures webhook
  - Traitement des événements Connect
 ### 🔧 CORRECTIONS TECHNIQUES RÉALISÉES
 #### **StripeController.php**
 - Fixed `Database::getInstance()` → `$this->db`
 - Fixed `$db->prepare()` → `$this->db->prepare()`
 - Removed `details_submitted` column from SQL UPDATE
 - Added proper exit statements after JSON responses
 - Commented out Logger class calls (class not found)
 #### **StripeService.php** 
 - Added proper Stripe SDK imports (`use Stripe\Account`)
 - Fixed `Account::retrieve()` → `$this->stripe->accounts->retrieve()`
 - **CRUCIAL**: Added data decryption support:
  ```php
  $nom = !empty($entite['encrypted_name']) ? 
    \ApiService::decryptData($entite['encrypted_name']) : '';
  $email = !empty($entite['encrypted_email']) ? 
    \ApiService::decryptSearchableData($entite['encrypted_email']) : null;
  ```
 - Fixed address mapping (adresse1, adresse2 vs adresse)
 - **REMOVED commission calculation - set to 0%**
 #### **Router.php**
 - Commented out excessive debug logging causing nginx 502 errors:
  ```php
  // error_log("Recherche de route pour: méthode=$method, uri=$uri");
  // error_log("Test pattern: $pattern contre uri: $uri");
  ```
 #### **AppConfig.php**
 - Set `application_fee_percent` to 0 (was 2.5)
 - Set `application_fee_minimum` to 0 (was 50)
 - **Policy**: 100% of payments go to amicales
 ### 📊 TESTS ET VALIDATION
 #### **Tests Réussis**
 1. **POST /api/stripe/accounts** → 200 OK (Compte créé: acct_1S2YfNP63A07c33Y)
 2. **GET /api/stripe/accounts/5/status** → 200 OK (charges_enabled: true)
 3. **POST /api/stripe/locations** → 200 OK (Location: tml_GLJ21w7KCYX4Wj)
 4. **POST /api/stripe/accounts/.../onboarding-link** → 200 OK (Link generated)
 5. **Onboarding Stripe** → Completed successfully by user
 #### **Erreurs Résolues**
 - ❌ 500 "Class App\Controllers\Database not found" → ✅ Fixed
 - ❌ 400 "Invalid email address: " → ✅ Fixed (decryption added)
 - ❌ 502 "upstream sent too big header" → ✅ Fixed (logs removed)
 - ❌ SQL "Column not found: details_submitted" → ✅ Fixed
 ### 🚀 ARCHITECTURE TECHNIQUE
 #### **Services Implémentés**
 - **StripeService**: Singleton pour interactions Stripe API
 - **StripeController**: Endpoints REST avec gestion sessions
 - **StripeWebhookController**: Handler événements webhook
 - **ApiService**: Déchiffrement données encrypted fields
 #### **Sécurité**
 - Validation signatures webhook Stripe
 - Authentification session-based pour APIs privées
 - Public endpoints: webhook uniquement
 - Pas de stockage clés secrètes en base
 #### **Base de données (MISE À JOUR JANVIER 2025)**
 - **Modification table `ope_pass`** : `stripe_payment_id` VARCHAR(50) remplace `is_striped`
 - **Table `payment_intents` supprimée** : Intégration directe dans `ope_pass`
 - Utilisation tables existantes (entites)
 - Champs encrypted_email et encrypted_name supportés
 - Déchiffrement automatique avant envoi Stripe
 ### 🎯 PROCHAINES ÉTAPES API
 1. **Tests paiements réels** avec PaymentIntents
 2. **Endpoints statistiques** pour dashboard amicales  
 3. **Webhooks production** avec clés live
 4. **Monitoring et logs** des transactions
 5. **Rate limiting** sur endpoints sensibles
 ---
 ## 📱 FLOW TAP TO PAY SIMPLIFIÉ (Janvier 2025)
 ### Architecture
 ```
 Flutter App (Tap to Pay) ↔ API PHP ↔ Stripe API
 ```
 ### Étape 1: Création PaymentIntent
 **Flutter → API**
 ```json
 POST /api/stripe/payments/create-intent
 {
    "amount": 1500,
    "passage_id": 123,
    "entity_id": 5
 }
 ```
 **API → Stripe → Base de données**
 ```php
 // 1. Créer le PaymentIntent
 $paymentIntent = Stripe\PaymentIntent::create([...]);
 // 2. Sauvegarder dans ope_pass
 UPDATE ope_pass SET stripe_payment_id = 'pi_xxx' WHERE id = 123;
 ```
 **API → Flutter**
 ```json
 {
    "client_secret": "pi_xxx_secret_yyy",
    "payment_intent_id": "pi_xxx"
 }
 ```
 ### Étape 2: Collecte du paiement (Flutter)
 - L'app Flutter utilise le SDK Stripe Terminal
 - Le téléphone devient le terminal de paiement (Tap to Pay)
 - Utilise le client_secret pour collecter le paiement
 ### Étape 3: Confirmation (Webhook)
 **Stripe → API**
 - Event: `payment_intent.succeeded`
 - Met à jour le statut dans la base de données
 ### Tables nécessaires
 - ✅ `ope_pass.stripe_payment_id` - Association passage/paiement
 - ✅ `stripe_accounts` - Comptes Connect des amicales
 - ✅ `android_certified_devices` - Vérification compatibilité
 - ❌ ~~`stripe_payment_intents`~~ - Supprimée
 - ❌ ~~`terminal_readers`~~ - Pas de terminaux externes
 ### Endpoints essentiels
 1. `POST /api/stripe/payments/create-intent` - Créer PaymentIntent
 2. `POST /api/stripe/devices/check-tap-to-pay` - Vérifier compatibilité
 3. `POST /api/stripe/webhook` - Recevoir confirmations
 4. `GET /api/passages/{id}/stripe-status` - Vérifier statut
 ---
 ## 📝 CHANGELOG
 ### Janvier 2025 - Refactoring base de données
 - **Suppression** de la table `payment_intents` (non nécessaire)
 - **Migration** : `is_striped` → `stripe_payment_id` VARCHAR(50) dans `ope_pass`
 - **Simplification** : Association directe PaymentIntent ↔ Passage
 - **Avantage** : Traçabilité directe sans table intermédiaire
 ---
 *Document créé le 24/08/2024 - Dernière mise à jour : 09/01/2025*
--- a/api/docs/PREPA_PROD.md
+++ b/api/docs/PREPA_PROD.md
@@ -0,0 +1,237 @@
 # PRÉPARATION PRODUCTION - Process Email Queue + Permissions Suppression Passages
 ## 📅 Date de mise en production prévue : _____________
 ## 🎯 Objectif
 1. Mettre en place le système de traitement automatique de la queue d'emails pour l'envoi des reçus fiscaux de dons.
 2. Ajouter le champ de permission pour autoriser les membres à supprimer des passages.
 ## ✅ Prérequis
 - [ ] Backup de la base de données effectué
 - [ ] Accès SSH au serveur PROD
 - [ ] Accès à la base de données PROD
 - [ ] Droits pour éditer le crontab
 ## 📝 Fichiers à déployer
 Les fichiers suivants doivent être présents sur le serveur PROD :
 - `/scripts/cron/process_email_queue.php`
 - `/scripts/cron/process_email_queue_with_daily_log.sh`
 - `/scripts/cron/test_email_queue.php`
 - `/src/Services/ReceiptPDFGenerator.php` (nouveau)
 - `/src/Services/ReceiptService.php` (mis à jour)
 - `/src/Core/MonitoredDatabase.php` (mis à jour)
 - `/src/Controllers/EntiteController.php` (mis à jour)
 - `/src/Controllers/LoginController.php` (mis à jour)
 - `/scripts/sql/add_chk_user_delete_pass.sql` (nouveau)
 ---
 ## 🔧 ÉTAPES DE MISE EN PRODUCTION
 ### 1️⃣ Mise à jour de la base de données
 Se connecter à la base de données PROD et exécuter :
 ```sql
 -- Vérifier d'abord la structure actuelle de email_queue
 DESCRIBE email_queue;
 -- Ajouter les champs manquants pour email_queue si nécessaire
 ALTER TABLE `email_queue` 
 ADD COLUMN IF NOT EXISTS `sent_at` TIMESTAMP NULL DEFAULT NULL 
 COMMENT 'Date/heure d\'envoi effectif de l\'email'
 AFTER `status`;
 ALTER TABLE `email_queue` 
 ADD COLUMN IF NOT EXISTS `error_message` TEXT NULL DEFAULT NULL 
 COMMENT 'Message d\'erreur en cas d\'échec'
 AFTER `attempts`;
 -- Ajouter les index pour optimiser les performances
 ALTER TABLE `email_queue` 
 ADD INDEX IF NOT EXISTS `idx_status_attempts` (`status`, `attempts`);
 ALTER TABLE `email_queue` 
 ADD INDEX IF NOT EXISTS `idx_sent_at` (`sent_at`);
 -- Vérifier les modifications email_queue
 DESCRIBE email_queue;
 -- ⚠️ IMPORTANT : Ajouter le nouveau champ chk_user_delete_pass dans entites
 source /var/www/geosector/api/scripts/sql/add_chk_user_delete_pass.sql;
 ```
 ### 2️⃣ Test du script avant mise en production
 ```bash
 # Se connecter au serveur PROD
 ssh user@prod-server
 # Aller dans le répertoire de l'API
 cd /var/www/geosector/api
 # Rendre les scripts exécutables
 chmod +x scripts/cron/process_email_queue.php
 chmod +x scripts/cron/test_email_queue.php
 # Tester l'état de la queue (lecture seule)
 php scripts/cron/test_email_queue.php
 # Si tout est OK, faire un test d'envoi sur 1 email
 # (modifier temporairement BATCH_SIZE à 1 dans le script si nécessaire)
 php scripts/cron/process_email_queue.php
 ```
 ### 3️⃣ Configuration du CRON avec logs journaliers
 ```bash
 # Rendre le script wrapper exécutable
 chmod +x /var/www/geosector/api/scripts/cron/process_email_queue_with_daily_log.sh
 # Éditer le crontab
 crontab -e
 # Ajouter cette ligne pour exécution toutes les 5 minutes avec logs journaliers
 */5 * * * * /var/www/geosector/api/scripts/cron/process_email_queue_with_daily_log.sh
 # Sauvegarder et quitter (:wq sous vi/vim)
 # Vérifier que le cron est bien enregistré
 crontab -l | grep email_queue
 # Vérifier que le service cron est actif
 systemctl status cron
 ```
 **Note** : Les logs seront créés automatiquement dans `/var/www/geosector/api/logs/` avec le format : `email_queue_20250820.log`, `email_queue_20250821.log`, etc. Les logs de plus de 30 jours sont supprimés automatiquement.
 ### 4️⃣ Surveillance post-déploiement
 Pendant les premières heures après la mise en production :
 ```bash
 # Surveiller les logs en temps réel (fichier du jour)
 tail -f /var/www/geosector/api/logs/email_queue_$(date +%Y%m%d).log
 # Vérifier le statut de la queue
 php scripts/cron/test_email_queue.php
 # Compter les emails traités
 mysql -u geo_app_user_prod -p geo_app -e "
 SELECT status, COUNT(*) as count 
 FROM email_queue 
 WHERE DATE(created_at) = CURDATE() 
 GROUP BY status;"
 # Vérifier les erreurs éventuelles
 mysql -u geo_app_user_prod -p geo_app -e "
 SELECT id, to_email, subject, attempts, error_message 
 FROM email_queue 
 WHERE status='failed' 
 ORDER BY created_at DESC 
 LIMIT 10;"
 ```
 ---
 ## 🚨 ROLLBACK (si nécessaire)
 En cas de problème, voici comment revenir en arrière :
 ```bash
 # 1. Stopper le cron
 crontab -e
 # Commenter la ligne du process_email_queue
 # 2. Marquer les emails en attente pour traitement manuel
 mysql -u geo_app_user_prod -p geo_app -e "
 UPDATE email_queue 
 SET status='pending', attempts=0 
 WHERE status='failed' AND DATE(created_at) = CURDATE();"
 # 3. Informer l'équipe pour traitement manuel si nécessaire
 ```
 ---
 ## 📊 VALIDATION POST-DÉPLOIEMENT
 ### Critères de succès :
 - [ ] Aucune erreur dans les logs
 - [ ] Les emails sont envoyés dans les 5 minutes
 - [ ] Les reçus PDF sont correctement attachés
 - [ ] Le champ `date_sent_recu` est mis à jour dans `ope_pass`
 - [ ] Pas d'accumulation d'emails en status 'pending'
 ### Commandes de vérification :
 ```bash
 # Statistiques générales
 mysql -u geo_app_user_prod -p geo_app -e "
 SELECT 
    status,
    COUNT(*) as count,
    MIN(created_at) as oldest,
    MAX(created_at) as newest
 FROM email_queue
 GROUP BY status;"
 # Vérifier les passages avec reçus envoyés aujourd'hui
 mysql -u geo_app_user_prod -p geo_app -e "
 SELECT COUNT(*) as recus_envoyes_aujourdhui
 FROM ope_pass
 WHERE DATE(date_sent_recu) = CURDATE();"
 # Performance du cron (dernières exécutions du jour)
 tail -20 /var/www/geosector/api/logs/email_queue_$(date +%Y%m%d).log | grep "Traitement terminé"
 ```
 ---
 ## 📞 CONTACTS EN CAS DE PROBLÈME
 - **Responsable technique** : _____________
 - **DBA** : _____________
 - **Support O2Switch** : support@o2switch.fr
 ---
 ## 📋 NOTES IMPORTANTES
 1. **Limite d'envoi** : 1500 emails/heure max (limite O2Switch)
 2. **Batch size** : 50 emails par exécution (toutes les 5 min = 600/heure max)
 3. **Lock file** : `/tmp/process_email_queue.lock` empêche l'exécution simultanée
 4. **Nettoyage auto** : Les emails envoyés > 30 jours sont supprimés automatiquement
 ## 🔒 SÉCURITÉ
 - Les mots de passe SMTP ne sont jamais loggués
 - Les emails en erreur conservent le message d'erreur pour diagnostic
 - Le PDF est envoyé en pièce jointe encodée en base64
 ---
 ## ✅ CHECKLIST FINALE
 ### Email Queue :
 - [ ] Table email_queue mise à jour (sent_at, error_message, index)
 - [ ] Scripts cron testés avec succès
 - [ ] Cron configuré et actif
 - [ ] Logs accessibles et fonctionnels
 - [ ] Premier batch d'emails envoyé avec succès
 ### Permissions Suppression Passages :
 - [ ] Champ chk_user_delete_pass ajouté dans la table entites
 - [ ] EntiteController.php mis à jour pour gérer le nouveau champ
 - [ ] LoginController.php mis à jour pour retourner le champ dans amicale
 - [ ] Test de modification de permissions via l'interface admin
 ### Général :
 - [ ] Documentation mise à jour
 - [ ] Équipe informée de la mise en production
 ---
 **Date de mise en production** : _______________
 **Validé par** : _______________
 **Signature** : _______________
--- a/api/docs/README-D6MON.md
+++ b/api/docs/README-D6MON.md
@@ -1,612 +0,0 @@
 # API D6MON - Documentation
 ## Introduction
 L'API D6MON est une interface RESTful permettant d'interagir avec l'application D6MON. Cette API gère l'authentification des utilisateurs, la gestion des profils utilisateurs et la gestion des entités.
 ## Configuration
 ### Base URL
 ```
 https://app.d6mon.com/api/mon
 ```
 ### En-têtes requis
 Pour toutes les requêtes à l'API, les en-têtes suivants sont requis :
 ```
 Content-Type: application/json
 X-App-Identifier: app.d6mon.com
 X-Client-Type: mobile
 ```
 Pour les endpoints protégés (nécessitant une authentification), ajoutez également :
 ```
 Authorization: Bearer {token}
 ```
 Où `{token}` est le jeton d'authentification obtenu lors de la connexion.
 ## Authentification
 ### Connexion
 **Endpoint :** `POST /login`
 **Corps de la requête :**
 ```json
 {
  "email": "utilisateur@exemple.com",
  "password": "motdepasse"
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "token": "session_token_here",
    "user": {
      "id": 123,
      "email": "utilisateur@exemple.com",
      "last_name": "Nom",
      "first_name": "Prénom",
      "display_name": "Nom d'affichage",
      "entity_id": 456
    }
  }
 }
 ```
 ### Inscription
 **Endpoint :** `POST /register`
 **Corps de la requête :**
 ```json
 {
  "display_name": "Nom d'affichage",
  "email": "utilisateur@exemple.com",
  "first_name": "Prénom",
  "last_name": "Nom",
  "entity_id": 456
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Inscription réussie. Un email contenant vos identifiants vous a été envoyé.",
  "data": {
    "user": {
      "id": 123,
      "email": "utilisateur@exemple.com",
      "display_name": "Nom d'affichage"
    }
  }
 }
 ```
 ### Mot de passe oublié
 **Endpoint :** `POST /lost-password`
 **Corps de la requête :**
 ```json
 {
  "email": "utilisateur@exemple.com"
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Un nouveau mot de passe a été envoyé à votre adresse email."
 }
 ```
 ### Déconnexion
 **Endpoint :** `POST /logout`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Déconnecté avec succès"
 }
 ```
 ## Gestion des utilisateurs
 ### Récupérer le profil de l'utilisateur connecté
 **Endpoint :** `GET /user/profile`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "id": 123,
    "entity_id": 456,
    "display_name": "Nom d'affichage",
    "first_name": "Prénom",
    "last_name": "Nom",
    "avatar": "url_avatar",
    "email": "utilisateur@exemple.com",
    "phone": "+33612345678",
    "address1": "Adresse ligne 1",
    "address2": "Adresse ligne 2",
    "code_postal": "75000",
    "city": "Paris",
    "country": "France",
    "seat_name": "Siège",
    "created_at": "2023-01-01T00:00:00Z",
    "updated_at": "2023-01-01T00:00:00Z",
    "connected_at": "2023-01-01T00:00:00Z",
    "is_active": true,
    "entity": {
      "id": 456,
      "name": "Nom de l'entité",
      "email": "entite@exemple.com",
      "phone": "+33123456789",
      "address1": "Adresse ligne 1",
      "address2": "Adresse ligne 2",
      "code_postal": "75000",
      "city": "Paris",
      "country": "France",
      "created_at": "2023-01-01T00:00:00Z",
      "updated_at": "2023-01-01T00:00:00Z",
      "is_active": true
    }
  }
 }
 ```
 ### Mettre à jour le profil de l'utilisateur connecté
 **Endpoint :** `PUT /user/profile`
 **Corps de la requête :**
 ```json
 {
  "display_name": "Nouveau nom d'affichage",
  "first_name": "Nouveau prénom",
  "last_name": "Nouveau nom",
  "phone": "+33612345678",
  "address1": "Nouvelle adresse ligne 1",
  "address2": "Nouvelle adresse ligne 2",
  "code_postal": "75001",
  "city": "Paris",
  "country": "France",
  "seat_name": "Nouveau siège"
 }
 ```
 **Réponse réussie :**
 Même format que `GET /user/profile` avec les données mises à jour.
 ### Changer le mot de passe
 **Endpoint :** `POST /user/change-password`
 **Corps de la requête :**
 ```json
 {
  "current_password": "ancien_mot_de_passe",
  "new_password": "nouveau_mot_de_passe"
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Mot de passe changé avec succès"
 }
 ```
 ### Récupérer un utilisateur par ID
 **Endpoint :** `GET /user/{id}`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "id": 123,
    "entity_id": 456,
    "display_name": "Nom d'affichage",
    "first_name": "Prénom",
    "last_name": "Nom",
    "avatar": "url_avatar",
    "email": "utilisateur@exemple.com",
    "phone": "+33612345678",
    "address1": "Adresse ligne 1",
    "address2": "Adresse ligne 2",
    "code_postal": "75000",
    "city": "Paris",
    "country": "France",
    "seat_name": "Siège",
    "created_at": "2023-01-01T00:00:00Z",
    "updated_at": "2023-01-01T00:00:00Z",
    "connected_at": "2023-01-01T00:00:00Z",
    "is_active": true
  }
 }
 ```
 ### Récupérer la liste des utilisateurs
 **Endpoint :** `GET /users`
 **Paramètres de requête :**
 - `page` (optionnel) : Numéro de page (défaut : 1)
 - `limit` (optionnel) : Nombre d'éléments par page (défaut : 20)
 - `entity_id` (optionnel) : Filtrer par ID d'entité
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "users": [
      {
        "id": 123,
        "entity_id": 456,
        "display_name": "Nom d'affichage",
        "first_name": "Prénom",
        "last_name": "Nom",
        "avatar": "url_avatar",
        "email": "utilisateur@exemple.com",
        "address1": "Adresse ligne 1",
        "city": "Paris",
        "country": "France",
        "created_at": "2023-01-01T00:00:00Z",
        "updated_at": "2023-01-01T00:00:00Z",
        "connected_at": "2023-01-01T00:00:00Z",
        "is_active": true
      }
    ],
    "pagination": {
      "total": 100,
      "page": 1,
      "limit": 20,
      "pages": 5
    }
  }
 }
 ```
 ### Créer un nouvel utilisateur
 **Endpoint :** `POST /user`
 **Corps de la requête :**
 ```json
 {
  "display_name": "Nom d'affichage",
  "email": "utilisateur@exemple.com",
  "first_name": "Prénom",
  "last_name": "Nom",
  "entity_id": 456,
  "phone": "+33612345678",
  "address1": "Adresse ligne 1",
  "address2": "Adresse ligne 2",
  "code_postal": "75000",
  "city": "Paris",
  "country": "France",
  "seat_name": "Siège"
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Utilisateur créé avec succès. Un email avec les identifiants a été envoyé.",
  "data": {
    "id": 123,
    "display_name": "Nom d'affichage",
    "email": "utilisateur@exemple.com"
  }
 }
 ```
 ### Désactiver un utilisateur
 **Endpoint :** `DELETE /user/{id}`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Utilisateur désactivé avec succès"
 }
 ```
 ## Gestion des entités
 ### Récupérer toutes les entités
 **Endpoint :** `GET /entities`
 **Paramètres de requête :**
 - `page` (optionnel) : Numéro de page (défaut : 1)
 - `limit` (optionnel) : Nombre d'éléments par page (défaut : 20)
 - `search` (optionnel) : Terme de recherche
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "entities": [
      {
        "id": 456,
        "name": "Nom de l'entité",
        "email": "entite@exemple.com",
        "phone": "+33123456789",
        "address1": "Adresse ligne 1",
        "address2": "Adresse ligne 2",
        "code_postal": "75000",
        "city": "Paris",
        "country": "France",
        "created_at": "2023-01-01T00:00:00Z",
        "updated_at": "2023-01-01T00:00:00Z",
        "is_active": true
      }
    ],
    "pagination": {
      "total": 50,
      "page": 1,
      "limit": 20,
      "pages": 3
    }
  }
 }
 ```
 ### Récupérer une entité par ID
 **Endpoint :** `GET /entity/{id}`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "id": 456,
    "name": "Nom de l'entité",
    "email": "entite@exemple.com",
    "phone": "+33123456789",
    "address1": "Adresse ligne 1",
    "address2": "Adresse ligne 2",
    "code_postal": "75000",
    "city": "Paris",
    "country": "France",
    "created_at": "2023-01-01T00:00:00Z",
    "updated_at": "2023-01-01T00:00:00Z",
    "is_active": true,
    "users": [
      {
        "id": 123,
        "display_name": "Nom d'affichage",
        "first_name": "Prénom",
        "last_name": "Nom",
        "avatar": "url_avatar",
        "email": "utilisateur@exemple.com",
        "created_at": "2023-01-01T00:00:00Z",
        "is_active": true
      }
    ]
  }
 }
 ```
 ### Créer une nouvelle entité
 **Endpoint :** `POST /entity`
 **Corps de la requête :**
 ```json
 {
  "name": "Nom de l'entité",
  "email": "entite@exemple.com",
  "phone": "+33123456789",
  "address1": "Adresse ligne 1",
  "address2": "Adresse ligne 2",
  "code_postal": "75000",
  "city": "Paris",
  "country": "France"
 }
 ```
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Entité créée avec succès",
  "data": {
    "id": 456,
    "name": "Nom de l'entité"
  }
 }
 ```
 ### Mettre à jour une entité
 **Endpoint :** `PUT /entity/{id}`
 **Corps de la requête :**
 ```json
 {
  "name": "Nouveau nom de l'entité",
  "email": "nouvelle-entite@exemple.com",
  "phone": "+33987654321",
  "address1": "Nouvelle adresse ligne 1",
  "address2": "Nouvelle adresse ligne 2",
  "code_postal": "75001",
  "city": "Paris",
  "country": "France"
 }
 ```
 **Réponse réussie :**
 Même format que `GET /entity/{id}` avec les données mises à jour.
 ### Désactiver une entité
 **Endpoint :** `DELETE /entity/{id}`
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "message": "Entité désactivée avec succès"
 }
 ```
 ### Récupérer les utilisateurs d'une entité
 **Endpoint :** `GET /entity/{id}/users`
 **Paramètres de requête :**
 - `page` (optionnel) : Numéro de page (défaut : 1)
 - `limit` (optionnel) : Nombre d'éléments par page (défaut : 20)
 **Réponse réussie :**
 ```json
 {
  "success": true,
  "data": {
    "users": [
      {
        "id": 123,
        "display_name": "Nom d'affichage",
        "first_name": "Prénom",
        "last_name": "Nom",
        "avatar": "url_avatar",
        "email": "utilisateur@exemple.com",
        "phone": "+33612345678",
        "created_at": "2023-01-01T00:00:00Z",
        "updated_at": "2023-01-01T00:00:00Z",
        "connected_at": "2023-01-01T00:00:00Z",
        "is_active": true
      }
    ],
    "pagination": {
      "total": 25,
      "page": 1,
      "limit": 20,
      "pages": 2
    }
  }
 }
 ```
 ## Structure des données
 ### Table `users`
 ```sql
 CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    entity_id INT,
    display_name VARCHAR(100) NOT NULL,
    first_name VARCHAR(100),
    encrypted_last_name VARCHAR(512),
    avatar VARCHAR(255),
    encrypted_email VARCHAR(512),
    encrypted_phone VARCHAR(255),
    address1 VARCHAR(255),
    address2 VARCHAR(255),
    code_postal VARCHAR(20),
    city VARCHAR(100),
    country VARCHAR(100),
    seat_name VARCHAR(20),
    created_at DATETIME DEFAULT CURRENT_TIMESTAMP,
    updated_at DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    connected_at DATETIME,
    is_active BOOLEAN DEFAULT TRUE,
    FOREIGN KEY (entity_id) REFERENCES entities(id)
 );
 ```
 ### Table `entities`
 ```sql
 CREATE TABLE entities (
    id INT AUTO_INCREMENT PRIMARY KEY,
    encrypted_name VARCHAR(512) NOT NULL,
    encrypted_email VARCHAR(512),
    encrypted_phone VARCHAR(255),
    address1 VARCHAR(255),
    address2 VARCHAR(255),
    code_postal VARCHAR(20),
    city VARCHAR(100),
    country VARCHAR(100),
    created_at DATETIME DEFAULT CURRENT_TIMESTAMP,
    updated_at DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    is_active BOOLEAN DEFAULT TRUE
 );
 ```
 ## Sécurité
 L'API utilise plusieurs mécanismes pour assurer la sécurité des données :
 1. **Authentification par jeton** : Un jeton d'authentification est requis pour accéder aux endpoints protégés.
 2. **Chiffrement des données sensibles** : Les données sensibles comme les noms, emails et numéros de téléphone sont chiffrées en base de données.
 3. **Validation des entrées** : Toutes les entrées utilisateur sont validées avant traitement.
 4. **Gestion des erreurs** : Les erreurs sont gérées de manière sécurisée sans divulguer d'informations sensibles.
 ## Codes d'erreur
 - `400 Bad Request` : Requête invalide ou données manquantes
 - `401 Unauthorized` : Authentification requise ou échouée
 - `403 Forbidden` : Accès non autorisé à la ressource
 - `404 Not Found` : Ressource non trouvée
 - `409 Conflict` : Conflit avec l'état actuel de la ressource
 - `500 Internal Server Error` : Erreur serveur
 ## Notes d'implémentation
 - Les mots de passe sont hachés avec l'algorithme bcrypt.
 - Les données sensibles sont chiffrées avec AES-256-CBC.
 - Les emails sont envoyés pour les opérations importantes (inscription, réinitialisation de mot de passe).
 - Les sessions sont gérées côté serveur avec un délai d'expiration.
--- a/api/docs/README-UPLOAD.md
+++ b/api/docs/README-UPLOAD.md
@@ -0,0 +1,339 @@
 # Système de Gestion des Fichiers - API Geosector
 ## Vue d'ensemble
 Ce document décrit l'organisation et la gestion des fichiers uploadés dans l'API Geosector. Le système permet de stocker et organiser différents types de fichiers par entité, utilisateur, opération et passage.
 ## Structure des Dossiers
 ```
 uploads/
 ├── entites/
 │   ├── {entite_id}/
 │   │   ├── documents/          # PDF, Excel généraux de l'entité
 │   │   ├── images/            # Images de l'entité
 │   │   ├── users/             # Dossier pour les fichiers des utilisateurs
 │   │   │   └── {user_id}/     # Images par utilisateur (avatars, etc.)
 │   │   └── operations/        # Dossier pour les opérations
 │   │       └── {operation_id}/
 │   │           ├── documents/ # Fichiers Excel de l'opération
 │   │           └── passages/  # Fichiers des passages de cette opération
 │   │               └── {passage_id}/ # PDF et images par passage
 │   └── temp/                  # Fichiers temporaires avant validation
 ```
 ### Exemples de chemins
 - Document d'entité : `uploads/entites/5/documents/reglement_2024.pdf`
 - Avatar utilisateur : `uploads/entites/5/users/123/avatar.jpg`
 - Excel d'opération : `uploads/entites/5/operations/2644/documents/planning.xlsx`
 - Photo de passage : `uploads/entites/5/operations/2644/passages/789/photo_1.jpg`
 ## Structure de la Table `medias`
 ### Table existante enrichie
 ```sql
 -- Structure complète de la table medias
 CREATE TABLE `medias` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `support` varchar(45) NOT NULL DEFAULT '' COMMENT 'Type de support (entite, user, operation, passage)',
  `support_id` int(10) unsigned NOT NULL DEFAULT 0 COMMENT 'ID de l\'élément associé',
  `fichier` varchar(250) NOT NULL DEFAULT '' COMMENT 'Nom du fichier stocké',
  `file_type` varchar(50) DEFAULT NULL COMMENT 'Extension du fichier (pdf, jpg, xlsx, etc.)',
  `file_size` int(10) unsigned DEFAULT NULL COMMENT 'Taille du fichier en octets',
  `mime_type` varchar(100) DEFAULT NULL COMMENT 'Type MIME du fichier',
  `original_name` varchar(255) DEFAULT NULL COMMENT 'Nom original du fichier uploadé',
  `fk_entite` int(10) unsigned DEFAULT NULL COMMENT 'ID de l\'entité propriétaire',
  `fk_operation` int(10) unsigned DEFAULT NULL COMMENT 'ID de l\'opération (pour passages)',
  `file_path` varchar(500) DEFAULT NULL COMMENT 'Chemin complet du fichier',
  `original_width` int(10) unsigned DEFAULT NULL COMMENT 'Largeur originale de l\'image',
  `original_height` int(10) unsigned DEFAULT NULL COMMENT 'Hauteur originale de l\'image',
  `processed_width` int(10) unsigned DEFAULT NULL COMMENT 'Largeur après traitement',
  `processed_height` int(10) unsigned DEFAULT NULL COMMENT 'Hauteur après traitement',
  `is_processed` tinyint(1) unsigned DEFAULT 0 COMMENT 'Image redimensionnée (1) ou originale (0)',
  `description` varchar(100) NOT NULL DEFAULT '' COMMENT 'Description du fichier',
  `created_at` timestamp NOT NULL DEFAULT current_timestamp(),
  `fk_user_creat` int(10) unsigned NOT NULL DEFAULT 0,
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE current_timestamp(),
  `fk_user_modif` int(10) unsigned NOT NULL DEFAULT 0,
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  KEY `idx_entite` (`fk_entite`),
  KEY `idx_operation` (`fk_operation`),
  KEY `idx_support_type` (`support`, `support_id`),
  KEY `idx_file_type` (`file_type`),
  CONSTRAINT `fk_medias_entite` FOREIGN KEY (`fk_entite`) REFERENCES `entites` (`id`) ON UPDATE CASCADE ON DELETE CASCADE,
  CONSTRAINT `fk_medias_operation` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON UPDATE CASCADE ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 ```
 ### Migration SQL pour table existante
 ```sql
 -- Ajout des nouvelles colonnes à la table existante
 ALTER TABLE `medias`
 ADD COLUMN `file_type` varchar(50) DEFAULT NULL COMMENT 'Extension du fichier (pdf, jpg, xlsx, etc.)' AFTER `fichier`,
 ADD COLUMN `file_size` int(10) unsigned DEFAULT NULL COMMENT 'Taille du fichier en octets' AFTER `file_type`,
 ADD COLUMN `mime_type` varchar(100) DEFAULT NULL COMMENT 'Type MIME du fichier' AFTER `file_size`,
 ADD COLUMN `original_name` varchar(255) DEFAULT NULL COMMENT 'Nom original du fichier uploadé' AFTER `mime_type`,
 ADD COLUMN `fk_entite` int(10) unsigned DEFAULT NULL COMMENT 'ID de l\'entité propriétaire' AFTER `support_id`,
 ADD COLUMN `fk_operation` int(10) unsigned DEFAULT NULL COMMENT 'ID de l\'opération (pour passages)' AFTER `fk_entite`,
 ADD COLUMN `file_path` varchar(500) DEFAULT NULL COMMENT 'Chemin complet du fichier' AFTER `original_name`,
 ADD COLUMN `original_width` int(10) unsigned DEFAULT NULL COMMENT 'Largeur originale de l\'image' AFTER `file_path`,
 ADD COLUMN `original_height` int(10) unsigned DEFAULT NULL COMMENT 'Hauteur originale de l\'image' AFTER `original_width`,
 ADD COLUMN `processed_width` int(10) unsigned DEFAULT NULL COMMENT 'Largeur après traitement' AFTER `original_height`,
 ADD COLUMN `processed_height` int(10) unsigned DEFAULT NULL COMMENT 'Hauteur après traitement' AFTER `processed_width`,
 ADD COLUMN `is_processed` tinyint(1) unsigned DEFAULT 0 COMMENT 'Image redimensionnée (1) ou originale (0)' AFTER `processed_height`;
 -- Ajout des index pour optimiser les requêtes
 ALTER TABLE `medias`
 ADD INDEX `idx_entite` (`fk_entite`),
 ADD INDEX `idx_operation` (`fk_operation`),
 ADD INDEX `idx_support_type` (`support`, `support_id`),
 ADD INDEX `idx_file_type` (`file_type`);
 -- Ajout des contraintes de clés étrangères
 ALTER TABLE `medias`
 ADD CONSTRAINT `fk_medias_entite` FOREIGN KEY (`fk_entite`) REFERENCES `entites` (`id`) ON UPDATE CASCADE ON DELETE CASCADE,
 ADD CONSTRAINT `fk_medias_operation` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON UPDATE CASCADE ON DELETE CASCADE;
 ```
 ## Types de Support
 ### 1. Entité (`support = 'entite'`)
 - **Fichiers autorisés** : PDF, Excel, Images (JPG, PNG)
 - **Taille max** : 20 MB
 - **Usage** : Documents généraux de l'entité (règlements, statuts, etc.)
 - **Chemin** : `uploads/entites/{entite_id}/documents/`
 ### 2. Utilisateur (`support = 'user'`)
 - **Fichiers autorisés** : Images uniquement (JPG, PNG, GIF, WebP)
 - **Taille max** : 5 MB
 - **Usage** : Avatars, photos de profil
 - **Chemin** : `uploads/entites/{entite_id}/users/{user_id}/`
 - **Traitement** : Redimensionnement automatique
 ### 3. Opération (`support = 'operation'`)
 - **Fichiers autorisés** : Excel uniquement (XLS, XLSX)
 - **Taille max** : 20 MB
 - **Usage** : Plannings, listes, données d'opération
 - **Chemin** : `uploads/entites/{entite_id}/operations/{operation_id}/documents/`
 ### 4. Passage (`support = 'passage'`)
 - **Fichiers autorisés** : PDF et Images (JPG, PNG, PDF)
 - **Taille max** : 10 MB par fichier
 - **Usage** : Reçus, photos de passage, justificatifs
 - **Chemin** : `uploads/entites/{entite_id}/operations/{operation_id}/passages/{passage_id}/`
 - **Traitement** : Redimensionnement automatique pour les images
 ## Traitement Automatique des Images
 ### Règles de redimensionnement
 - **Dimension maximale** : 250px (hauteur ou largeur, selon la plus grande)
 - **Résolution** : 72 DPI (optimisé web)
 - **Préservation du ratio** : Redimensionnement proportionnel
 - **Formats supportés** : JPG, PNG, GIF, WebP
 - **Qualité JPEG** : 85% (bon compromis qualité/poids)
 ### Exemples de transformation
 ```
 Image originale 1000x800px → Image traitée 250x200px
 Image originale 600x1200px → Image traitée 125x250px
 Image originale 200x150px → Pas de redimensionnement (déjà < 250px)
 ```
 ### Workflow de traitement
 1. **Upload** → Validation du type MIME
 2. **Analyse** → Détection des dimensions originales
 3. **Traitement** → Redimensionnement si nécessaire
 4. **Optimisation** → Compression et résolution web
 5. **Sauvegarde** → Image optimisée + métadonnées
 6. **Nettoyage** → Suppression du fichier temporaire
 ## API Endpoints
 ### Routes de gestion des fichiers
 ```php
 // Upload de fichiers
 POST /api/medias/upload
 Content-Type: multipart/form-data
 Body: {
  "file": [fichier],
  "support": "entite|user|operation|passage",
  "support_id": 123,
  "description": "Description du fichier"
 }
 // Récupération d'un fichier
 GET /api/medias/{id}
 // Liste des fichiers par support
 GET /api/medias/list/{support}/{support_id}
 // Suppression d'un fichier
 DELETE /api/medias/{id}
 ```
 ### Exemples de requêtes
 #### Upload d'un avatar utilisateur
 ```bash
 curl -X POST "https://api.geosector.fr/medias/upload" \
  -H "Authorization: Bearer {token}" \
  -F "file=@avatar.jpg" \
  -F "support=user" \
  -F "support_id=123" \
  -F "description=Avatar utilisateur"
 ```
 #### Upload d'une photo de passage
 ```bash
 curl -X POST "https://api.geosector.fr/medias/upload" \
  -H "Authorization: Bearer {token}" \
  -F "file=@photo_passage.jpg" \
  -F "support=passage" \
  -F "support_id=789" \
  -F "description=Photo du passage"
 ```
 ## Sécurité et Contrôles
 ### Validation des fichiers
 - **Types MIME** : Vérification stricte du type de fichier
 - **Extensions** : Validation de l'extension par rapport au contenu
 - **Taille** : Limite selon le type de support
 - **Contenu** : Scan antivirus recommandé en production
 ### Contrôles d'accès
 - **Authentification** : Token JWT requis
 - **Autorisation** : Utilisateur ne peut accéder qu'aux fichiers de son entité
 - **Vérification** : Contrôle que l'utilisateur appartient à l'entité du fichier
 - **Logs** : Traçabilité complète des uploads et accès
 ### Nommage des fichiers
 ```php
 // Format : {timestamp}_{random}_{sanitized_name}.{extension}
 // Exemple : 1640995200_a1b2c3_document_reglement.pdf
 ```
 ## Gestion des Erreurs
 ### Codes d'erreur HTTP
 - **400** : Fichier invalide ou paramètres manquants
 - **401** : Non authentifié
 - **403** : Accès refusé à cette entité
 - **413** : Fichier trop volumineux
 - **415** : Type de fichier non supporté
 - **500** : Erreur serveur lors du traitement
 ### Messages d'erreur
 ```json
 {
  "status": "error",
  "message": "Type de fichier non autorisé pour ce support",
  "code": "INVALID_FILE_TYPE",
  "allowed_types": ["jpg", "png", "gif", "webp"]
 }
 ```
 ## Maintenance et Nettoyage
 ### Nettoyage automatique
 - **Fichiers temporaires** : Suppression après 24h
 - **Fichiers orphelins** : Détection et suppression des fichiers sans référence en base
 - **Anciennes opérations** : Suppression en cascade lors de la suppression d'une opération
 ### Commandes de maintenance
 ```bash
 # Nettoyage des fichiers temporaires
 php scripts/cleanup_temp_files.php
 # Détection des fichiers orphelins
 php scripts/find_orphan_files.php
 # Statistiques d'utilisation
 php scripts/storage_stats.php
 ```
 ## Performances et Optimisation
 ### Optimisations
 - **CDN** : Recommandé pour la distribution des fichiers
 - **Cache** : Headers de cache appropriés pour les fichiers statiques
 - **Compression** : Gzip pour les réponses API
 - **Index** : Index optimisés sur la table medias
 ### Monitoring
 - **Espace disque** : Surveillance de l'utilisation
 - **Performance** : Temps de traitement des images
 - **Erreurs** : Logs des échecs d'upload et de traitement
 ## Exemples d'Utilisation
 ### Cas d'usage typiques
 1. **Upload d'avatar utilisateur**
   - Fichier JPG de 2MB
   - Redimensionnement automatique à 250x250px
   - Stockage dans `uploads/entites/5/users/123/`
 2. **Document d'opération**
   - Fichier Excel de planning
   - Stockage dans `uploads/entites/5/operations/2644/documents/`
   - Pas de traitement (fichier conservé tel quel)
 3. **Photo de passage**
   - Photo JPG de 8MB prise sur mobile
   - Redimensionnement automatique à 250px max
   - Stockage dans `uploads/entites/5/operations/2644/passages/789/`
 ### Intégration frontend
 ```javascript
 // Upload avec progress
 const uploadFile = async (file, support, supportId, description) => {
  const formData = new FormData();
  formData.append('file', file);
  formData.append('support', support);
  formData.append('support_id', supportId);
  formData.append('description', description);
  const response = await fetch('/api/medias/upload', {
    method: 'POST',
    headers: {
      Authorization: `Bearer ${token}`,
    },
    body: formData,
  });
  return response.json();
 };
 ```
 ---
 **Version** : 1.0  
 **Date** : Juin 2025  
 **Auteur** : API Geosector Team
--- a/api/docs/SETUP_EMAIL_QUEUE_CRON.md
+++ b/api/docs/SETUP_EMAIL_QUEUE_CRON.md
@@ -0,0 +1,149 @@
 # Instructions de mise en place du CRON pour la queue d'emails
 ## Problème résolu
 Les emails de reçus étaient insérés dans la table `email_queue` mais n'étaient jamais envoyés car il manquait le script de traitement.
 ## Fichiers créés
 1. `/scripts/cron/process_email_queue.php` - Script principal de traitement
 2. `/scripts/cron/test_email_queue.php` - Script de test/diagnostic
 3. `/scripts/sql/add_email_queue_fields.sql` - Migration SQL pour les champs manquants
 ## Installation sur les serveurs (DVA, REC, PROD)
 ### 1. Appliquer la migration SQL
 Se connecter à la base de données et exécuter :
 ```bash
 mysql -u [user] -p [database] < /path/to/api/scripts/sql/add_email_queue_fields.sql
 ```
 Ou directement dans MySQL :
 ```sql
 -- Ajouter les champs manquants
 ALTER TABLE `email_queue` 
 ADD COLUMN IF NOT EXISTS `sent_at` TIMESTAMP NULL DEFAULT NULL AFTER `status`;
 ALTER TABLE `email_queue` 
 ADD COLUMN IF NOT EXISTS `error_message` TEXT NULL DEFAULT NULL AFTER `attempts`;
 -- Ajouter les index pour les performances
 ALTER TABLE `email_queue` 
 ADD INDEX IF NOT EXISTS `idx_status_attempts` (`status`, `attempts`);
 ALTER TABLE `email_queue` 
 ADD INDEX IF NOT EXISTS `idx_sent_at` (`sent_at`);
 ```
 ### 2. Tester le script
 Avant de mettre en place le cron, tester que tout fonctionne :
 ```bash
 # Vérifier l'état de la queue
 php /path/to/api/scripts/cron/test_email_queue.php
 # Tester l'envoi (traite jusqu'à 50 emails)
 php /path/to/api/scripts/cron/process_email_queue.php
 ```
 ### 3. Configurer le CRON
 Ajouter la ligne suivante dans le crontab du serveur :
 ```bash
 # Éditer le crontab
 crontab -e
 # Ajouter cette ligne (exécution toutes les 5 minutes)
 */5 * * * * /usr/bin/php /path/to/api/scripts/cron/process_email_queue.php >> /var/log/email_queue.log 2>&1
 ```
 **Options de fréquence :**
 - `*/5 * * * *` - Toutes les 5 minutes (recommandé)
 - `*/10 * * * *` - Toutes les 10 minutes
 - `*/2 * * * *` - Toutes les 2 minutes (si volume important)
 ### 4. Monitoring
 Le script génère des logs via `LogService`. Vérifier les logs dans :
 - `/path/to/api/logs/` (selon la configuration)
 Points à surveiller :
 - Nombre d'emails traités
 - Emails en échec après 3 tentatives
 - Erreurs de connexion SMTP
 ### 5. Configuration SMTP
 Vérifier que la configuration SMTP est correcte dans `AppConfig` :
 - Host SMTP
 - Port (587 pour TLS, 465 pour SSL)
 - Username/Password
 - Encryption (tls ou ssl)
 - From Email/Name
 ## Fonctionnement du script
 ### Caractéristiques
 - **Batch size** : 50 emails par exécution
 - **Max tentatives** : 3 essais par email
 - **Lock file** : Empêche l'exécution simultanée
 - **Nettoyage** : Supprime les emails envoyés > 30 jours
 - **Pause** : 0.5s entre chaque email (anti-spam)
 ### Workflow
 1. Récupère les emails avec `status = 'pending'` et `attempts < 3`
 2. Pour chaque email :
   - Incrémente le compteur de tentatives
   - Envoie via PHPMailer avec la config SMTP
   - Si succès : `status = 'sent'` + mise à jour du passage
   - Si échec : réessai à la prochaine exécution
   - Après 3 échecs : `status = 'failed'`
 ### Tables mises à jour
 - `email_queue` : status, attempts, sent_at, error_message
 - `ope_pass` : date_sent_recu, chk_email_sent
 ## Commandes utiles
 ```bash
 # Voir les emails en attente
 mysql -e "SELECT COUNT(*) FROM email_queue WHERE status='pending'" [database]
 # Voir les emails échoués
 mysql -e "SELECT * FROM email_queue WHERE status='failed' ORDER BY created_at DESC LIMIT 10" [database]
 # Réinitialiser un email échoué pour réessai
 mysql -e "UPDATE email_queue SET status='pending', attempts=0 WHERE id=[ID]" [database]
 # Voir les logs du cron
 tail -f /var/log/email_queue.log
 # Vérifier que le cron est actif
 crontab -l | grep process_email_queue
 ```
 ## Troubleshooting
 ### Le cron ne s'exécute pas
 - Vérifier les permissions : `chmod +x process_email_queue.php`
 - Vérifier le chemin PHP : `which php`
 - Vérifier les logs système : `/var/log/syslog` ou `/var/log/cron`
 ### Emails en échec
 - Vérifier la config SMTP avec `test_email_queue.php`
 - Vérifier les logs pour les messages d'erreur
 - Tester la connexion SMTP : `telnet [smtp_host] [port]`
 ### Lock bloqué
 Si le message "Le processus est déjà en cours" persiste :
 ```bash
 rm /tmp/process_email_queue.lock
 ```
 ## Contact support
 En cas de problème, vérifier :
 1. Les logs de l'application
 2. La table `email_queue` pour les messages d'erreur
 3. La configuration SMTP dans AppConfig
--- a/api/docs/STRIPE-BACKEND-MIGRATION.md
+++ b/api/docs/STRIPE-BACKEND-MIGRATION.md
@@ -0,0 +1,464 @@
 # 🔧 Migration Backend Stripe - Option A (Tout en 1)
 ## 📋 Objectif
 Optimiser la création de compte Stripe Connect en **1 seule requête** côté Flutter qui crée :
 1. Le compte Stripe Connect
 2. La Location Terminal
 3. Le lien d'onboarding
 ---
 ## 🗄️ 1. Modification de la base de données
 ### **Ajouter la colonne `stripe_location_id`**
 ```sql
 ALTER TABLE amicales
 ADD COLUMN stripe_location_id VARCHAR(255) NULL
 AFTER stripe_id;
 ```
 **Vérification** :
 ```sql
 DESCRIBE amicales;
 ```
 Doit afficher :
 ```
 +-------------------+--------------+------+-----+---------+-------+
 | Field             | Type         | Null | Key | Default | Extra |
 +-------------------+--------------+------+-----+---------+-------+
 | stripe_id         | varchar(255) | YES  |     | NULL    |       |
 | stripe_location_id| varchar(255) | YES  |     | NULL    |       |
 +-------------------+--------------+------+-----+---------+-------+
 ```
 ---
 ## 🔧 2. Modification de l'endpoint `POST /stripe/accounts`
 ### **Fichier** : `app/Http/Controllers/StripeController.php` (ou similaire)
 ### **Méthode** : `createAccount()` ou `store()`
 ### **Code proposé** :
 ```php
 <?php
 use Illuminate\Http\Request;
 use Illuminate\Support\Facades\DB;
 use App\Models\Amicale;
 /**
 * Créer un compte Stripe Connect avec Location Terminal et lien d'onboarding
 *
 * @param Request $request
 * @return \Illuminate\Http\JsonResponse
 */
 public function createStripeAccount(Request $request)
 {
    $request->validate([
        'fk_entite' => 'required|integer|exists:amicales,id',
        'return_url' => 'required|string|url',
        'refresh_url' => 'required|string|url',
    ]);
    $fkEntite = $request->fk_entite;
    $amicale = Amicale::findOrFail($fkEntite);
    // Vérifier si un compte existe déjà
    if (!empty($amicale->stripe_id)) {
        return $this->handleExistingAccount($amicale, $request);
    }
    DB::beginTransaction();
    try {
        // Configurer la clé Stripe (selon environnement)
        \Stripe\Stripe::setApiKey(config('services.stripe.secret'));
        // 1️⃣ Créer le compte Stripe Connect Express
        $account = \Stripe\Account::create([
            'type' => 'express',
            'country' => 'FR',
            'email' => $amicale->email,
            'business_type' => 'non_profit', // ou 'company' selon le cas
            'business_profile' => [
                'name' => $amicale->name,
                'url' => config('app.url'),
            ],
            'capabilities' => [
                'card_payments' => ['requested' => true],
                'transfers' => ['requested' => true],
            ],
        ]);
        \Log::info('Stripe account created', [
            'amicale_id' => $amicale->id,
            'account_id' => $account->id,
        ]);
        // 2️⃣ Créer la Location Terminal pour Tap to Pay
        $location = \Stripe\Terminal\Location::create([
            'display_name' => $amicale->name,
            'address' => [
                'line1' => $amicale->adresse1 ?: 'Non renseigné',
                'line2' => $amicale->adresse2,
                'city' => $amicale->ville ?: 'Non renseigné',
                'postal_code' => $amicale->code_postal ?: '00000',
                'country' => 'FR',
            ],
        ], [
            'stripe_account' => $account->id, // ← Important : Connect account
        ]);
        \Log::info('Stripe Terminal Location created', [
            'amicale_id' => $amicale->id,
            'location_id' => $location->id,
        ]);
        // 3️⃣ Créer le lien d'onboarding
        $accountLink = \Stripe\AccountLink::create([
            'account' => $account->id,
            'refresh_url' => $request->refresh_url,
            'return_url' => $request->return_url,
            'type' => 'account_onboarding',
        ]);
        \Log::info('Stripe onboarding link created', [
            'amicale_id' => $amicale->id,
            'account_id' => $account->id,
        ]);
        // 4️⃣ Sauvegarder TOUT en base de données
        $amicale->stripe_id = $account->id;
        $amicale->stripe_location_id = $location->id;
        $amicale->chk_stripe = true;
        $amicale->save();
        DB::commit();
        // 5️⃣ Retourner TOUTES les informations
        return response()->json([
            'success' => true,
            'account_id' => $account->id,
            'location_id' => $location->id,
            'onboarding_url' => $accountLink->url,
            'charges_enabled' => $account->charges_enabled,
            'payouts_enabled' => $account->payouts_enabled,
            'existing' => false,
            'message' => 'Compte Stripe Connect créé avec succès',
        ], 201);
    } catch (\Stripe\Exception\ApiErrorException $e) {
        DB::rollBack();
        \Log::error('Stripe API error', [
            'amicale_id' => $amicale->id,
            'error' => $e->getMessage(),
            'type' => get_class($e),
        ]);
        return response()->json([
            'success' => false,
            'message' => 'Erreur Stripe : ' . $e->getMessage(),
        ], 500);
    } catch (\Exception $e) {
        DB::rollBack();
        \Log::error('Stripe account creation failed', [
            'amicale_id' => $amicale->id,
            'error' => $e->getMessage(),
            'trace' => $e->getTraceAsString(),
        ]);
        return response()->json([
            'success' => false,
            'message' => 'Erreur lors de la création du compte Stripe',
        ], 500);
    }
 }
 /**
 * Gérer le cas d'un compte Stripe existant
 */
 private function handleExistingAccount(Amicale $amicale, Request $request)
 {
    try {
        \Stripe\Stripe::setApiKey(config('services.stripe.secret'));
        // Récupérer les infos du compte existant
        $account = \Stripe\Account::retrieve($amicale->stripe_id);
        // Si pas de location_id, la créer maintenant
        if (empty($amicale->stripe_location_id)) {
            $location = \Stripe\Terminal\Location::create([
                'display_name' => $amicale->name,
                'address' => [
                    'line1' => $amicale->adresse1 ?: 'Non renseigné',
                    'city' => $amicale->ville ?: 'Non renseigné',
                    'postal_code' => $amicale->code_postal ?: '00000',
                    'country' => 'FR',
                ],
            ], [
                'stripe_account' => $amicale->stripe_id,
            ]);
            $amicale->stripe_location_id = $location->id;
            $amicale->save();
            \Log::info('Location created for existing account', [
                'amicale_id' => $amicale->id,
                'location_id' => $location->id,
            ]);
        }
        // Si le compte est déjà complètement configuré
        if ($account->charges_enabled && $account->payouts_enabled) {
            return response()->json([
                'success' => true,
                'account_id' => $amicale->stripe_id,
                'location_id' => $amicale->stripe_location_id,
                'onboarding_url' => null,
                'charges_enabled' => true,
                'payouts_enabled' => true,
                'existing' => true,
                'message' => 'Compte Stripe déjà configuré et actif',
            ]);
        }
        // Compte existant mais configuration incomplète : générer un nouveau lien
        $accountLink = \Stripe\AccountLink::create([
            'account' => $amicale->stripe_id,
            'refresh_url' => $request->refresh_url,
            'return_url' => $request->return_url,
            'type' => 'account_onboarding',
        ]);
        return response()->json([
            'success' => true,
            'account_id' => $amicale->stripe_id,
            'location_id' => $amicale->stripe_location_id,
            'onboarding_url' => $accountLink->url,
            'charges_enabled' => $account->charges_enabled,
            'payouts_enabled' => $account->payouts_enabled,
            'existing' => true,
            'message' => 'Compte existant, configuration à finaliser',
        ]);
    } catch (\Exception $e) {
        \Log::error('Error handling existing account', [
            'amicale_id' => $amicale->id,
            'error' => $e->getMessage(),
        ]);
        return response()->json([
            'success' => false,
            'message' => 'Erreur lors de la vérification du compte existant',
        ], 500);
    }
 }
 ```
 ---
 ## 📡 3. Modification de l'endpoint `GET /stripe/accounts/{id}/status`
 Ajouter `location_id` dans la réponse :
 ```php
 public function checkAccountStatus($amicaleId)
 {
    $amicale = Amicale::findOrFail($amicaleId);
    if (empty($amicale->stripe_id)) {
        return response()->json([
            'has_account' => false,
            'account_id' => null,
            'location_id' => null,
            'charges_enabled' => false,
            'payouts_enabled' => false,
            'onboarding_completed' => false,
        ]);
    }
    try {
        \Stripe\Stripe::setApiKey(config('services.stripe.secret'));
        $account = \Stripe\Account::retrieve($amicale->stripe_id);
        return response()->json([
            'has_account' => true,
            'account_id' => $amicale->stripe_id,
            'location_id' => $amicale->stripe_location_id, // ← Ajouté
            'charges_enabled' => $account->charges_enabled,
            'payouts_enabled' => $account->payouts_enabled,
            'onboarding_completed' => $account->details_submitted,
        ]);
    } catch (\Exception $e) {
        return response()->json([
            'has_account' => false,
            'error' => $e->getMessage(),
        ], 500);
    }
 }
 ```
 ---
 ## 🗑️ 4. Endpoint à SUPPRIMER (devenu inutile)
 ### **❌ `POST /stripe/locations`**
 Cet endpoint n'est plus nécessaire car la Location est créée automatiquement dans `POST /stripe/accounts`.
 **Option 1** : Supprimer complètement
 **Option 2** : Le garder pour compatibilité temporaire (si utilisé ailleurs)
 ---
 ## 📝 5. Modification du modèle Eloquent
 ### **Fichier** : `app/Models/Amicale.php`
 Ajouter le champ `stripe_location_id` :
 ```php
 protected $fillable = [
    // ... autres champs
    'stripe_id',
    'stripe_location_id', // ← Ajouté
    'chk_stripe',
 ];
 protected $casts = [
    'chk_stripe' => 'boolean',
 ];
 ```
 ---
 ## ✅ 6. Tests à effectuer
 ### **Test 1 : Nouvelle amicale**
 ```bash
 curl -X POST http://localhost/api/stripe/accounts \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer {token}" \
  -d '{
    "fk_entite": 123,
    "return_url": "https://app.geosector.fr/stripe/success",
    "refresh_url": "https://app.geosector.fr/stripe/refresh"
  }'
 ```
 **Réponse attendue** :
 ```json
 {
  "success": true,
  "account_id": "acct_xxxxxxxxxxxxx",
  "location_id": "tml_xxxxxxxxxxxxx",
  "onboarding_url": "https://connect.stripe.com/setup/...",
  "charges_enabled": false,
  "payouts_enabled": false,
  "existing": false,
  "message": "Compte Stripe Connect créé avec succès"
 }
 ```
 ### **Test 2 : Amicale avec compte existant**
 ```bash
 curl -X POST http://localhost/api/stripe/accounts \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer {token}" \
  -d '{
    "fk_entite": 456,
    "return_url": "https://app.geosector.fr/stripe/success",
    "refresh_url": "https://app.geosector.fr/stripe/refresh"
  }'
 ```
 **Réponse attendue** :
 ```json
 {
  "success": true,
  "account_id": "acct_xxxxxxxxxxxxx",
  "location_id": "tml_xxxxxxxxxxxxx",
  "onboarding_url": null,
  "charges_enabled": true,
  "payouts_enabled": true,
  "existing": true,
  "message": "Compte Stripe déjà configuré et actif"
 }
 ```
 ### **Test 3 : Vérifier la BDD**
 ```sql
 SELECT id, name, stripe_id, stripe_location_id, chk_stripe
 FROM amicales
 WHERE id = 123;
 ```
 **Résultat attendu** :
 ```
 +-----+------------------+-------------------+-------------------+------------+
 | id  | name             | stripe_id         | stripe_location_id| chk_stripe |
 +-----+------------------+-------------------+-------------------+------------+
 | 123 | Pompiers Paris15 | acct_xxxxxxxxxxxxx| tml_xxxxxxxxxxxxx | 1          |
 +-----+------------------+-------------------+-------------------+------------+
 ```
 ---
 ## 🚀 7. Déploiement
 ### **Étapes** :
 1. ✅ Appliquer la migration SQL
 2. ✅ Déployer le code Backend modifié
 3. ✅ Tester avec Postman/curl
 4. ✅ Déployer le code Flutter modifié
 5. ✅ Tester le flow complet depuis l'app
 ---
 ## 📊 Comparaison Avant/Après
 | Aspect | Avant | Après |
 |--------|-------|-------|
 | **Appels API Flutter → Backend** | 3 | 1 |
 | **Appels Backend → Stripe** | 3 | 3 (mais atomiques) |
 | **Latence totale** | ~3-5s | ~1-2s |
 | **Gestion erreurs** | Complexe | Simplifié avec transaction |
 | **Atomicité** | ❌ Non | ✅ Oui (DB transaction) |
 | **Location ID sauvegardé** | ❌ Non | ✅ Oui |
 ---
 ## 🎯 Bénéfices
 1. ✅ **Performance** : Latence divisée par 2-3
 2. ✅ **Fiabilité** : Transaction BDD garantit la cohérence
 3. ✅ **Simplicité** : Code Flutter plus simple
 4. ✅ **Maintenance** : Moins de code à maintenir
 5. ✅ **Traçabilité** : Logs centralisés côté Backend
 6. ✅ **Tap to Pay prêt** : `location_id` disponible immédiatement
 ---
 ## ⚠️ Points d'attention
 1. **Rollback** : Si la transaction échoue, rien n'est sauvegardé (bon comportement)
 2. **Logs** : Bien logger chaque étape pour le debug
 3. **Stripe Connect limitations** : Respecter les rate limits Stripe
 4. **Tests** : Tester avec des comptes Stripe de test d'abord
 ---
 ## 📚 Ressources
 - [Stripe Connect Express Accounts](https://stripe.com/docs/connect/express-accounts)
 - [Stripe Terminal Locations](https://stripe.com/docs/terminal/fleet/locations)
 - [Stripe Account Links](https://stripe.com/docs/connect/account-links)
--- a/api/docs/STRIPE-TAP-TO-PAY-FLOW.md
+++ b/api/docs/STRIPE-TAP-TO-PAY-FLOW.md
@@ -0,0 +1,343 @@
 # Flow de paiement Stripe Tap to Pay
 ## Vue d'ensemble
 Ce document décrit le flow complet pour les paiements Stripe Tap to Pay dans l'application GeoSector, depuis la création du compte Stripe Connect jusqu'au paiement final.
 ---
 ## 🏢 PRÉALABLE : Création d'un compte Amicale Stripe Connect
 Avant de pouvoir utiliser les paiements Stripe, chaque amicale doit créer son compte Stripe Connect.
 ### 📋 Flow de création du compte
 #### 1. Initiation depuis l'application web admin
 **Endpoint :** `POST /api/stripe/accounts/create`
 **Requête :**
 ```json
 {
  "amicale_id": 45,
  "type": "express",  // Type de compte Stripe Connect
  "country": "FR",
  "email": "contact@amicale-pompiers-paris.fr",
  "business_profile": {
    "name": "Amicale des Pompiers de Paris",
    "product_description": "Vente de calendriers des pompiers",
    "mcc": "8398",  // Code activité : organisations civiques
    "url": "https://www.amicale-pompiers-paris.fr"
  }
 }
 ```
 #### 2. Création du compte Stripe
 **Actions API :**
 1. Appel Stripe API pour créer un compte Express
 2. Génération d'un lien d'onboarding personnalisé
 3. Sauvegarde en base de données
 **Réponse :**
 ```json
 {
  "success": true,
  "stripe_account_id": "acct_1O3ABC456DEF789",
  "onboarding_url": "https://connect.stripe.com/express/oauth/authorize?...",
  "status": "pending"
 }
 ```
 #### 3. Processus d'onboarding Stripe
 **Actions utilisateur (dirigeant amicale) :**
 1. Clic sur le lien d'onboarding
 2. Connexion/création compte Stripe
 3. Saisie des informations légales :
   - **Entité** : Association loi 1901
   - **SIRET** de l'amicale
   - **RIB** pour les virements
   - **Pièce d'identité** du représentant légal
 4. Validation des conditions d'utilisation
 #### 4. Vérification et activation
 **Webhook Stripe → API :**
 ```json
 POST /api/stripe/webhooks
 {
  "type": "account.updated",
  "data": {
    "object": {
      "id": "acct_1O3ABC456DEF789",
      "charges_enabled": true,
      "payouts_enabled": true,
      "details_submitted": true
    }
  }
 }
 ```
 **Actions API :**
 1. Mise à jour du statut en base
 2. Notification email à l'amicale
 3. Activation des fonctionnalités de paiement
 #### 5. Structure en base de données
 **Table `stripe_accounts` :**
 ```sql
 CREATE TABLE `stripe_accounts` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `fk_entite` int(10) unsigned NOT NULL,
  `stripe_account_id` varchar(50) NOT NULL,
  `account_type` enum('express','standard','custom') DEFAULT 'express',
  `charges_enabled` tinyint(1) DEFAULT 0,
  `payouts_enabled` tinyint(1) DEFAULT 0,
  `details_submitted` tinyint(1) DEFAULT 0,
  `country` varchar(2) DEFAULT 'FR',
  `default_currency` varchar(3) DEFAULT 'eur',
  `business_name` varchar(255) DEFAULT NULL,
  `support_email` varchar(255) DEFAULT NULL,
  `onboarding_completed_at` timestamp NULL DEFAULT NULL,
  `created_at` timestamp NOT NULL DEFAULT current_timestamp(),
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE current_timestamp(),
  PRIMARY KEY (`id`),
  UNIQUE KEY `stripe_account_id` (`stripe_account_id`),
  KEY `fk_entite` (`fk_entite`),
  CONSTRAINT `stripe_accounts_ibfk_1` FOREIGN KEY (`fk_entite`) REFERENCES `entites` (`id`)
 );
 ```
 ### 🔐 Sécurité et validation
 #### Prérequis pour créer un compte :
 - ✅ Utilisateur administrateur de l'amicale
 - ✅ Amicale active avec statut validé
 - ✅ Email de contact vérifié
 - ✅ Informations légales complètes (SIRET, adresse)
 #### Validation avant paiements :
 - ✅ `charges_enabled = 1` (peut recevoir des paiements)
 - ✅ `payouts_enabled = 1` (peut recevoir des virements)
 - ✅ `details_submitted = 1` (onboarding terminé)
 ### 📊 États du compte Stripe
 | État | Description | Actions possibles |
 |------|-------------|-------------------|
 | `pending` | Compte créé, onboarding en cours | Compléter l'onboarding |
 | `restricted` | Informations manquantes | Fournir documents manquants |
 | `restricted_soon` | Vérification en cours | Attendre validation Stripe |
 | `active` | Compte opérationnel | Recevoir des paiements ✅ |
 | `rejected` | Compte refusé par Stripe | Contacter support |
 ### 🚨 Gestion des erreurs
 #### Erreurs courantes lors de la création :
 - **400** : Données manquantes ou invalides
 - **409** : Compte Stripe déjà existant pour cette amicale
 - **403** : Utilisateur non autorisé
 #### Erreurs durant l'onboarding :
 - Documents manquants ou invalides
 - Informations bancaires incorrectes
 - Activité non autorisée par Stripe
 ### 📞 Support et résolution
 #### Pour les amicales :
 1. **Email support** : support@geosector.fr
 2. **Documentation** : Guides d'onboarding disponibles
 3. **Assistance téléphonique** : Disponible aux heures ouvrables
 #### Pour les développeurs :
 1. **Stripe Dashboard** : Accès aux comptes et statuts
 2. **Logs API** : Traçabilité complète des opérations
 3. **Webhook monitoring** : Suivi des événements Stripe
 ---
 ## 🚨 IMPORTANT : Nouveau Flow (v2)
 **Le passage est TOUJOURS créé/modifié EN PREMIER** pour obtenir un ID réel, PUIS le PaymentIntent est créé avec cet ID.
 ## Flow détaillé
 ### 1. Sauvegarde du passage EN PREMIER
 L'application crée ou modifie d'abord le passage pour obtenir un ID réel :
 ```
 POST /api/passages/create  // Nouveau passage
 PUT /api/passages/456      // Mise à jour passage existant
 ```
 **Réponse avec l'ID réel :**
 ```json
 {
  "status": "success",
  "passage_id": 456  // ID RÉEL du passage créé/modifié
 }
 ```
 ### 2. Création du PaymentIntent AVEC l'ID réel
 Ensuite seulement, création du PaymentIntent avec le `passage_id` réel :
 ```
 POST /api/stripe/payments/create-intent
 ```
 ```json
 {
  "amount": 2500,  // En centimes (25€)
  "passage_id": 456,  // ID RÉEL du passage (JAMAIS 0)
  "payment_method_types": ["card_present"],  // Tap to Pay
  "location_id": "tml_xxx",  // Terminal reader location
  "amicale_id": 45,
  "member_id": 67,
  "stripe_account": "acct_xxx"
 }
 ```
 #### Réponse
 ```json
 {
  "status": "success",
  "data": {
    "client_secret": "pi_3QaXYZ_secret_xyz",
    "payment_intent_id": "pi_3QaXYZ123ABC456",
    "amount": 2500,
    "currency": "eur",
    "passage_id": 789,  // 0 pour nouveau passage
    "type": "tap_to_pay"
  }
 }
 ```
 ### 2. Traitement du paiement côté client
 L'application utilise le SDK Stripe pour traiter le paiement via NFC :
 ```dart
 // Flutter - Utilisation du client_secret
 final paymentResult = await stripe.collectPaymentMethod(
  clientSecret: response['client_secret'],
  // ... configuration Tap to Pay
 );
 ```
 ### 3. Traitement du paiement Tap to Pay
 L'application utilise le SDK Stripe Terminal avec le `client_secret` pour collecter le paiement via NFC.
 ### 4. Mise à jour du passage avec stripe_payment_id
 Après succès du paiement, l'app met à jour le passage avec le `stripe_payment_id` :
 ```json
 PUT /api/passages/456
 {
  "stripe_payment_id": "pi_3QaXYZ123ABC456",  // ← LIEN AVEC STRIPE
  // ... autres champs si nécessaire
 }
 ```
 ## Points clés du nouveau flow
 ### ✅ Avantages
 1. **Passage toujours existant** : Le passage existe toujours avec un ID réel avant le paiement
 2. **Traçabilité garantie** : Le `passage_id` dans Stripe est toujours valide
 3. **Gestion d'erreur robuste** : Si le paiement échoue, le passage existe déjà
 4. **Cohérence des données** : Pas de passage "orphelin" ou de paiement sans passage
 ### ❌ Ce qui n'est plus supporté
 1. **passage_id=0** : Plus jamais utilisé dans `/create-intent`
 2. **operation_id** : Plus nécessaire car le passage existe déjà
 3. **Création conditionnelle** : Le passage est toujours créé avant
 ## Schéma de séquence (Nouveau Flow v2)
 ```
 ┌─────────┐     ┌─────────┐     ┌────────┐     ┌────────────┐
 │   App   │     │   API   │     │ Stripe │     │  ope_pass  │
 └────┬────┘     └────┬────┘     └────┬───┘     └─────┬──────┘
     │               │                │                │
     │ 1. CREATE/UPDATE passage       │                │
     ├──────────────>│                │                │
     │               ├────────────────┼───────────────>│
     │               │                │   INSERT/UPDATE │
     │               │                │                │
     │ 2. passage_id: 456 (réel)      │                │
     │<──────────────│                │                │
     │               │                │                │
     │ 3. create-intent (id=456)      │                │
     ├──────────────>│                │                │
     │               │                │                │
     │               │ 4. Create PI   │                │
     │               ├───────────────>│                │
     │               │                │                │
     │               │ 5. PI created  │                │
     │               │<───────────────│                │
     │               │                │                │
     │               │ 6. UPDATE      │                │
     │               ├────────────────┼───────────────>│
     │               │ stripe_payment_id = pi_xxx      │
     │               │                │                │
     │ 7. client_secret + pi_id       │                │
     │<──────────────│                │                │
     │               │                │                │
     │ 8. Tap to Pay │                │                │
     ├───────────────┼───────────────>│                │
     │   avec SDK    │                │                │
     │               │                │                │
     │ 9. Payment OK │                │                │
     │<──────────────┼────────────────│                │
     │               │                │                │
     │ 10. UPDATE passage (optionnel) │                │
     ├──────────────>│                │                │
     │               ├────────────────┼───────────────>│
     │               │ Confirmer stripe_payment_id     │
     │               │                │                │
     │ 11. Success   │                │                │
     │<──────────────│                │                │
     │               │                │                │
 ```
 ## Points importants (Nouveau Flow v2)
 1. **Passage créé en premier** : Le passage est TOUJOURS créé/modifié AVANT le PaymentIntent
 2. **ID réel obligatoire** : Le `passage_id` ne peut jamais être 0 dans `/create-intent`
 3. **Lien Stripe automatique** : Le `stripe_payment_id` est ajouté automatiquement lors de la création du PaymentIntent
 4. **Idempotence** : Un passage ne peut avoir qu'un seul `stripe_payment_id`
 5. **Validation stricte** : Vérification du montant, propriété et existence du passage
 ## Erreurs possibles
 - **400** :
  - `passage_id` manquant ou ≤ 0
  - Montant invalide (< 1€ ou > 999€)
  - Passage déjà payé par Stripe
  - Montant ne correspond pas au passage
 - **401** : Non authentifié
 - **403** : Passage non autorisé (pas le bon utilisateur)
 - **404** : Passage non trouvé
 ## Migration base de données
 La colonne `stripe_payment_id VARCHAR(50)` a été ajoutée via :
 ```sql
 ALTER TABLE `ope_pass` ADD COLUMN `stripe_payment_id` VARCHAR(50) DEFAULT NULL;
 ALTER TABLE `ope_pass` ADD INDEX `idx_stripe_payment` (`stripe_payment_id`);
 ```
 ## Environnements
 - **DEV** : dva-geo sur IN3 - Base mise à jour ✅
 - **REC** : rca-geo sur IN3 - Base mise à jour ✅
 - **PROD** : pra-geo sur IN4 - À mettre à jour
--- a/api/docs/STRIPE-TAP-TO-PAY-REQUIREMENTS.md
+++ b/api/docs/STRIPE-TAP-TO-PAY-REQUIREMENTS.md
@@ -0,0 +1,197 @@
 # Stripe Tap to Pay - Requirements officiels
 > Document basé sur la documentation officielle Stripe - Dernière vérification : 29 septembre 2025
 ## 📱 iOS - Tap to Pay sur iPhone
 ### Configuration minimum requise
 | Composant | Requirement | Notes |
 |-----------|------------|--------|
 | **Appareil** | iPhone XS ou plus récent | iPhone XS, XR, 11, 12, 13, 14, 15, 16 |
 | **iOS** | iOS 16.4 ou plus récent | Pour support PIN complet |
 | **SDK** | Terminal iOS SDK 2.23.0+ | Version 3.6.0+ pour Interac (Canada) |
 | **Entitlement** | Apple Tap to Pay | À demander sur Apple Developer |
 ### Fonctionnalités par version iOS
 - **iOS 16.0-16.3** : Tap to Pay basique (sans PIN)
 - **iOS 16.4+** : Support PIN complet pour toutes les cartes
 - **Versions beta** : NON SUPPORTÉES
 ### Méthodes de paiement supportées
 - ✅ Cartes sans contact : Visa, Mastercard, American Express
 - ✅ Wallets NFC : Apple Pay, Google Pay, Samsung Pay
 - ✅ Discover (USA uniquement)
 - ✅ Interac (Canada uniquement, SDK 3.6.0+)
 - ✅ eftpos (Australie uniquement)
 ### Limitations importantes
 - ❌ iPad non supporté (pas de NFC)
 - ❌ Puerto Rico non disponible
 - ❌ Versions iOS beta non supportées
 ## 🤖 Android - Tap to Pay
 ### Configuration minimum requise
 | Composant | Requirement | Notes |
 |-----------|------------|--------|
 | **Android** | Android 11 ou plus récent | API level 30+ |
 | **NFC** | Capteur NFC fonctionnel | Obligatoire |
 | **Processeur** | ARM | x86 non supporté |
 | **Sécurité** | Appareil non rooté | Bootloader verrouillé |
 | **Services** | Google Mobile Services | GMS obligatoire |
 | **Keystore** | Hardware keystore intégré | Pour sécurité |
 | **OS** | OS constructeur non modifié | Pas de ROM custom |
 ### Appareils certifiés en France (liste non exhaustive)
 #### Samsung
 - Galaxy S21, S21+, S21 Ultra, S21 FE (Android 11+)
 - Galaxy S22, S22+, S22 Ultra (Android 12+)
 - Galaxy S23, S23+, S23 Ultra, S23 FE (Android 13+)
 - Galaxy S24, S24+, S24 Ultra (Android 14+)
 - Galaxy Z Fold 3, 4, 5, 6
 - Galaxy Z Flip 3, 4, 5, 6
 - Galaxy Note 20, Note 20 Ultra
 - Galaxy A54, A73 (haut de gamme)
 #### Google Pixel
 - Pixel 6, 6 Pro, 6a (Android 12+)
 - Pixel 7, 7 Pro, 7a (Android 13+)
 - Pixel 8, 8 Pro, 8a (Android 14+)
 - Pixel 9, 9 Pro, 9 Pro XL (Android 14+)
 - Pixel Fold (Android 13+)
 - Pixel Tablet (Android 13+)
 #### OnePlus
 - OnePlus 9, 9 Pro (Android 11+)
 - OnePlus 10 Pro, 10T (Android 12+)
 - OnePlus 11, 11R (Android 13+)
 - OnePlus 12, 12R (Android 14+)
 - OnePlus Open (Android 13+)
 #### Xiaomi
 - Mi 11, 11 Ultra (Android 11+)
 - Xiaomi 12, 12 Pro, 12T Pro (Android 12+)
 - Xiaomi 13, 13 Pro, 13T Pro (Android 13+)
 - Xiaomi 14, 14 Pro, 14 Ultra (Android 14+)
 #### Autres marques
 - OPPO Find X3/X5/X6 Pro, Find N2/N3
 - Realme GT 2 Pro, GT 3, GT 5 Pro
 - Honor Magic5/6 Pro, 90
 - ASUS Zenfone 9/10, ROG Phone 7
 - Nothing Phone (1), (2), (2a)
 ## 🌍 Disponibilité par pays
 ### Europe
 - ✅ France : Disponible
 - ✅ Royaume-Uni : Disponible
 - ✅ Allemagne : Disponible
 - ✅ Pays-Bas : Disponible
 - ✅ Irlande : Disponible
 - ✅ Italie : Disponible (récent)
 - ✅ Espagne : Disponible (récent)
 ### Amérique
 - ✅ États-Unis : Disponible (+ Discover)
 - ✅ Canada : Disponible (+ Interac)
 - ❌ Puerto Rico : Non disponible
 - ❌ Mexique : Non disponible
 ### Asie-Pacifique
 - ✅ Australie : Disponible (+ eftpos)
 - ✅ Nouvelle-Zélande : Disponible
 - ✅ Singapour : Disponible
 - ✅ Japon : Disponible (récent)
 ## 🔧 Intégration technique
 ### SDK Requirements
 ```javascript
 // iOS
 pod 'StripeTerminal', '~> 2.23.0'  // Minimum pour Tap to Pay
 pod 'StripeTerminal', '~> 3.6.0'   // Pour support Interac
 // Android
 implementation 'com.stripe:stripeterminal-taptopay:3.7.1'
 implementation 'com.stripe:stripeterminal-core:3.7.1'
 // React Native
 "@stripe/stripe-terminal-react-native": "^0.0.1-beta.17"
 // Flutter
 stripe_terminal: ^3.2.0
 ```
 ### Capacités requises
 #### iOS Info.plist
 ```xml
 <key>NSBluetoothAlwaysUsageDescription</key>
 <string>Bluetooth nécessaire pour Tap to Pay</string>
 <key>NFCReaderUsageDescription</key>
 <string>NFC nécessaire pour lire les cartes</string>
 <key>com.apple.developer.proximity-reader</key>
 <true/>
 ```
 #### Android Manifest
 ```xml
 <uses-permission android:name="android.permission.NFC" />
 <uses-permission android:name="android.permission.INTERNET" />
 <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
 <uses-feature android:name="android.hardware.nfc" android:required="true" />
 ```
 ## 📊 Limites techniques
 | Limite | Valeur | Notes |
 |--------|--------|-------|
 | **Montant min** | 1€ / $1 | Selon devise |
 | **Montant max** | Variable par pays | France : 50€ sans PIN, illimité avec PIN |
 | **Timeout transaction** | 60 secondes | Après présentation carte |
 | **Distance NFC** | 4cm max | Distance optimale |
 | **Tentatives PIN** | 3 max | Puis carte bloquée |
 ## 🔐 Sécurité
 ### Certifications
 - PCI-DSS Level 1
 - EMV Contactless Level 1
 - Apple ProximityReader Framework
 - Google SafetyNet Attestation
 ### Données sensibles
 - Les données de carte ne transitent JAMAIS par l'appareil
 - Tokenisation end-to-end par Stripe
 - Pas de stockage local des données carte
 - PIN chiffré directement vers Stripe
 ## 📚 Ressources officielles
 - [Documentation Stripe Terminal](https://docs.stripe.com/terminal)
 - [Tap to Pay sur iPhone - Apple Developer](https://developer.apple.com/tap-to-pay/)
 - [Guide d'intégration iOS](https://docs.stripe.com/terminal/payments/setup-reader/tap-to-pay?platform=ios)
 - [Guide d'intégration Android](https://docs.stripe.com/terminal/payments/setup-reader/tap-to-pay?platform=android)
 - [SDK Terminal iOS](https://github.com/stripe/stripe-terminal-ios)
 - [SDK Terminal Android](https://github.com/stripe/stripe-terminal-android)
 ## 🔄 Historique des versions
 | Date | Version iOS | Changement |
 |------|-------------|------------|
 | Sept 2022 | iOS 16.0 | Lancement initial Tap to Pay |
 | Mars 2023 | iOS 16.4 | Ajout support PIN |
 | Sept 2023 | iOS 17.0 | Améliorations performances |
 | Sept 2024 | iOS 18.0 | Support étendu international |
 ---
 *Document maintenu par l'équipe GeoSector - Dernière mise à jour : 29/09/2025*
--- a/api/docs/STRIPE_VERIF.md
+++ b/api/docs/STRIPE_VERIF.md
--- a/api/docs/TECHBOOK.md
+++ b/api/docs/TECHBOOK.md
@@ -1,300 +1,243 @@
-# Documentation Technique API RESTful PHP 8.3
+# Documentation Technique API GeoSector
-## Table des matières
+## 🏗️ Infrastructure
-1. [Structure du projet](#structure-du-projet)
+**Stack** : PHP 8.3 | NGINX | MariaDB 10.11 | Alpine Linux (Incus)
 2. [Configuration du serveur](#configuration-du-serveur)
 3. [Flux d'une requête](#flux-dune-requête)
 4. [Architecture des composants](#architecture-des-composants)
 5. [Base de données](#base-de-données)
 6. [Sécurité](#sécurité)
 7. [Endpoints API](#endpoints-api)
-## Structure du projet
+| Environnement | Container | DB (IP) | URL | Serveur |
 |---------------|-----------|---------|-----|---------|
 | **DEV** | dva-geo | maria3 (13.23.33.4) | https://dapp.geosector.fr | IN3 (195.154.80.116) |
 | **REC** | rca-geo | maria3 (13.23.33.4) | https://rapp.geosector.fr | IN3 (195.154.80.116) |
 | **PROD** | pra-geo | maria4 (13.23.33.4) | https://app3.geosector.fr | IN4 (51.159.7.190) |
-```plaintext
+**Architecture** : MVC sans framework | Point d'entrée : `index.php` | Config : `AppConfig.php` singleton
-/api/
+
-├── docs/
+## 🗄️ Base de données
-│   └── TECHBOOK.md
+
-├── src/
+### Modèle d'isolation par opération (CRITIQUE)
-│   ├── Controllers/
+
-│   │   └── UserController.php
+**Principe** : Chaque opération est un **univers fermé** isolé de la table centrale `users`.
-│   ├── Core/
+
-│   │   ├── Router.php
+```
-│   │   ├── Request.php
+users (table centrale, conservée après suppression opération)
-│   │   ├── Response.php
+  └── ope_users (id, fk_user, fk_operation) ← PIVOT par opération
-│   │   ├── Session.php
+        ├── ope_users_sectors (fk_user → ope_users.id)
-│   │   └── Database.php
+        └── ope_pass (fk_user → ope_users.id)
 │   └── Config/
 │       └── config.php
 ├── index.php
 └── .htaccess
 ```
-## Configuration du serveur
+**⚠️ IMPORTANT pour Flutter** :
-
+- **`users.id`** = Identifiant global (gestion membres, login)
-### Prérequis
+- **`ope_users.id`** = Identifiant opération (passages, secteurs)
-
+- **Flutter doit gérer les 2 IDs** lors du login et des CRUD
 - Debian 12
 - NGINX
 - PHP 8.3-FPM
 - MariaDB 10.11
 ### Configuration NGINX
 Le serveur NGINX est configuré pour rediriger toutes les requêtes vers le point d'entrée `index.php` de l'API.
 ### Configuration PHP-FPM
 PHP-FPM est configuré pour gérer les processus PHP avec des paramètres optimisés pour une API.
 ## Flux d'une requête
 Exemple détaillé du parcours d'une requête POST /api/users :
 1. **Entrée de la requête**
   - La requête arrive sur le serveur NGINX
   - NGINX redirige vers PHP-FPM via le socket unix
   - Le fichier .htaccess redirige vers index.php
 2. **Initialisation (index.php)**
   - Chargement des dépendances
   - Initialisation de la configuration
   - Démarrage de la session
   - Configuration des headers CORS
   - Initialisation du routeur
 3. **Routage**
   - Le Router analyse la méthode HTTP (POST)
   - Analyse de l'URI (/api/users)
   - Correspondance avec les routes enregistrées
   - Instanciation du Controller approprié
 4. **Traitement (UserController)**
   - Vérification de l'authentification
   - Récupération des données JSON
   - Validation des données reçues
   - Traitement métier
   - Interaction avec la base de données
   - Préparation de la réponse
 5. **Réponse**
   - Formatage de la réponse en JSON
   - Configuration des headers de réponse
   - Envoi au client
 ## Architecture des composants
 ### Core Components
 #### Router
 - Gère le routage des requêtes
 - Associe les URLs aux Controllers
 - Gère les paramètres d'URL
 - Dispatch vers les méthodes appropriées
 #### Request
 - Parse les données entrantes
 - Gère les différents types de contenu
 - Nettoie et valide les entrées
 - Fournit une interface unifiée pour accéder aux données
 #### Response
 - Formate les réponses en JSON
 - Gère les codes HTTP
 - Configure les headers de réponse
 - Assure la cohérence des réponses
 #### Session
 - Gère l'état des sessions
 - Stocke les données d'authentification
 - Vérifie les permissions
 - Sécurise les données de session
 #### Database
 - Gère la connexion à MariaDB
 - Fournit une interface PDO
 - Gère le pool de connexions
 - Assure la sécurité des requêtes
 ## Sécurité
 ### Mesures implémentées
 - Validation stricte des entrées
 - Protection contre les injections SQL (PDO)
 - Hachage sécurisé des mots de passe
 - Headers de sécurité HTTP
 - Gestion des CORS
 - Session sécurisée
 - Authentification requise
 ## Endpoints API
 ### Routes Publiques vs Privées
 L'API distingue deux types de routes :
 #### Routes Publiques
 - POST /api/login
 - POST /api/register
 - GET /api/health
 #### Routes Privées (Nécessitent une session authentifiée)
 - Toutes les autres routes
 ### Authentification
 L'authentification utilise le système de session PHP natif.
 #### Login
 ```http
 POST /api/login
 Content-Type: application/json
 {
    "email": "user@example.com",
    "password": "SecurePassword123"
 }
 ```
 **Réponse réussie :**
 **Réponse login :**
 ```json
 {
-  "message": "Connecté avec succès",
+  "users_sectors": [
-  "user": {
+    {
-    "id": 123,
+      "id": 123,           // users.id (gestion membres)
-    "email": "user@example.com"
+      "ope_user_id": 50,   // ope_users.id (passages/secteurs)
  }
 }
 ```
 **Notes importantes :**
 - Un cookie de session PHP sécurisé est automatiquement créé
 - Le cookie est httpOnly, secure et SameSite=Strict
 - L'ID de session est régénéré à chaque login réussi
 #### Logout
 ```http
 POST /api/logout
 ```
 **Réponse réussie :**
 ```json
 {
  "message": "Déconnecté avec succès"
 }
 ```
 ### Sécurité des Sessions
 La configuration des sessions inclut :
 - Sessions PHP natives sécurisées
 - Protection contre la fixation de session
 - Cookies httpOnly (protection XSS)
 - Mode strict pour les cookies
 - Validation côté serveur à chaque requête
 - use_strict_mode = 1
 - cookie_httponly = 1
 - cookie_secure = 1
 - cookie_samesite = Strict
 - Régénération de l'ID de session après login
 - Destruction complète de la session au logout
 ### Users
 #### Création d'utilisateur
 ```http
 POST /api/users
 Content-Type: application/json
 {
      "name": "John Doe",
-    "email": "john@example.com",
+      "fk_sector": 456
-    "password": "SecurePassword123"
+    }
  ]
 }
 ```
-**Réponse réussie :**
+**Requêtes API depuis Flutter :**
 ```json
-{
+// ✅ Création secteur : envoyer ope_users.id
-  "message": "Utilisateur créé",
+POST /api/sectors { "users": [50, 51] }  // ope_users.id
-  "id": "123"
+
-}
+// ✅ Création passage : fk_user = ope_users.id
 POST /api/passages { "fk_user": 50 }  // ope_users.id
 // ✅ Modification membre : utiliser users.id
 PUT /api/users/123  // users.id
 ```
-**Codes de statut :**
+### Tables principales
- 201: Création réussie
+- **`entites`** : Amicales (chiffrement AES-256-CBC sur nom, email, IBAN)
- 400: Données invalides
+- **`users`** : Table centrale utilisateurs (conservée même si opération supprimée)
- 401: Non authentifié
+- **`operations`** : Campagnes liées à une entité
- 500: Erreur serveur
+- **`ope_users`** : **PIVOT** users ↔ opérations (ON DELETE CASCADE depuis operations)
 - **`ope_sectors`** : Secteurs géographiques (polygones)
 - **`ope_users_sectors`** : Affectation users ↔ secteurs (FK → `ope_users.id`)
 - **`ope_pass`** : Passages (FK → `ope_users.id`, ON DELETE CASCADE)
 - **`medias`** : Fichiers (logos, exports, reçus) - Stockage : `/uploads/`
-#### Autres endpoints
+## 🔒 Sécurité
- GET /api/users
+- **Auth** : Sessions PHP (httpOnly, secure, SameSite=Strict)
- GET /api/users/{id}
+- **Mots de passe** : NIST SP 800-63B, bcrypt, HIBP check (k-anonymity)
- PUT /api/users/{id}
+- **Chiffrement** : AES-256-CBC (noms, emails, téléphones, IBAN)
- DELETE /api/users/{id}
+- **Protection** : Brute force (8 tentatives/5min), IP blocking, PDO prepared statements
 - **Monitoring** : `SecurityMonitor`, `AlertService`, `IPBlocker`
-## Intégration Frontend
+## 💳 Stripe Connect
-### Configuration des Requêtes
+- **DEV** : Clés TEST Pierre
 - **REC** : Clés TEST client + webhook `webhook-rca`
 - **PROD** : Clés LIVE client + webhook `webhook-pra`
 - **API** : `2025-08-27.basil`
 - **Tap to Pay** : iOS 16.4+ (iPhone XS+) | Android 11+ (95+ devices certifiés)
 - **Flow** : Passage créé → PaymentIntent → Tap to Pay → Mise à jour `stripe_payment_id`
-Toutes les requêtes API depuis le frontend doivent inclure :
+## 📦 Fonctionnalités
-```javascript
+1. **Reçus fiscaux** : PDF auto (<5KB) pour dons, envoi email queue
-fetch('/api/endpoint', {
+2. **Logos entités** : Upload PNG/JPG, redimensionnement 250x250px, base64
-  credentials: 'include', // Important pour les cookies de session
+3. **Migration** : Endpoints REST par entité (9 phases)
-  // ... autres options
+4. **CRONs** : Email queue (*/5), cleanup sécurité (2h)
-});
+
 ## 📊 Statistiques Events (Admin Flutter)
 ### Architecture
 **Principe** : Stats pré-agrégées en SQL + détail JSONL à la demande
 | Source | Usage | Performance |
 |--------|-------|-------------|
 | Table `event_stats_daily` | Dashboard, graphiques, tendances | Instantané (~1ms) |
 | Fichiers JSONL | Détail événements (clic sur stat) | Paginé (~50-100ms) |
 ### Flux de données
 1. **EventLogService** écrit les événements dans `/logs/events/YYYY-MM-DD.jsonl`
 2. **CRON nightly** agrège J-1 dans `event_stats_daily`
 3. **API** sert les stats agrégées (SQL) ou le détail paginé (JSONL)
 4. **Flutter Admin** affiche dashboard avec drill-down
 ### Table d'agrégation
 **`event_stats_daily`** : Une ligne par (date, entité, type d'événement)
 | Colonne | Description |
 |---------|-------------|
 | `stat_date` | Date des stats |
 | `entity_id` | Entité (NULL = global super-admin) |
 | `event_type` | Type événement (login_success, passage_created, etc.) |
 | `count` | Nombre d'occurrences |
 | `sum_amount` | Somme montants (passages) |
 | `unique_users` | Utilisateurs distincts |
 | `metadata` | JSON agrégé (top secteurs, erreurs fréquentes, etc.) |
 ### Endpoints API
 | Endpoint | Période | Source | Taille réponse |
 |----------|---------|--------|----------------|
 | `GET /events/stats/summary` | Jour courant | SQL | ~1 KB |
 | `GET /events/stats/daily` | Plage dates | SQL | ~5 KB |
 | `GET /events/stats/weekly` | Calculé depuis daily | SQL | ~2 KB |
 | `GET /events/stats/monthly` | Calculé depuis daily | SQL | ~1 KB |
 | `GET /events/details` | Détail paginé | JSONL | ~10 KB |
 ### Optimisations transfert Flutter
 - **Pagination** : 50 events max par requête détail
 - **Champs filtrés** : Pas d'IP ni user_agent complet dans les réponses
 - **Compression gzip** : -70% sur JSON
 - **Cache HTTP** : ETag sur stats (changent 1x/jour)
 - **Calcul hebdo/mensuel** : À la volée depuis `daily` (pas de tables supplémentaires)
 ### Types d'événements agrégés
 | Catégorie | Events |
 |-----------|--------|
 | **Auth** | login_success, login_failed, logout |
 | **Passages** | passage_created, passage_updated, passage_deleted |
 | **Secteurs** | sector_created, sector_updated, sector_deleted |
 | **Users** | user_created, user_updated, user_deleted |
 | **Entités** | entity_created, entity_updated, entity_deleted |
 | **Opérations** | operation_created, operation_updated, operation_deleted |
 | **Stripe** | stripe_payment_created, stripe_payment_success, stripe_payment_failed, stripe_payment_cancelled, stripe_terminal_error |
 ### Accès et sécurité
 - **Rôle requis** : Admin entité (role_id = 2) ou Super-admin (role_id = 1)
 - **Isolation** : Admin voit uniquement les stats de son entité
 - **Super-admin** : Accès global (entity_id = NULL dans requêtes)
 ## 🚀 Déploiement
 ```bash
 ./deploy-api.sh      # Local → dva-geo (DEV)
 ./deploy-api.sh rca  # dva-geo → rca-geo (REC)
 ./deploy-api.sh pra  # rca-geo → pra-geo (PROD)
 ```
-### Gestion des Sessions
+- Backup auto (10 versions)
 - Préservation `/logs/` et `/uploads/`
 - Permissions : `nginx:nginx` (code), `nginx:nginx` (logs/uploads)
 - Composer install avec `--optimize-autoloader`
- Les cookies de session sont automatiquement gérés par le navigateur
+## ⚠️ Points d'attention API ↔ Flutter
 - Pas besoin de stocker ou gérer des tokens manuellement
 - Redirection vers /login si session expirée (401)
-## Maintenance et Déploiement
+### 1. Isolation opérations (depuis Oct 2025)
-### Logs
+**Avant** : `ope_pass.fk_user` → `users.id` (table centrale)
 **Après** : `ope_pass.fk_user` → `ope_users.id` (pivot opération)
- Logs d'accès NGINX : /var/log/nginx/api-access.log
+**Impact Flutter** :
- Logs d'erreur NGINX : /var/log/nginx/api-error.log
+- Login retourne **2 IDs** : `id` (users.id) + `ope_user_id` (ope_users.id)
- Logs PHP : /var/log/php/php-error.log
+- Création secteur/passage : envoyer `ope_user_id`
 - Affichage passages : mapper avec `ope_user_id`
-### Déploiement
+### 2. Endpoints critiques modifiés
-1. Pull du repository
+| Endpoint | Body envoyé | Mapping |
-2. Vérification des permissions
+|----------|-------------|---------|
-3. Configuration de l'environnement
+| `POST /api/sectors` | `users: [50, 51]` | ope_users.id |
-4. Tests des endpoints
+| `PUT /api/sectors/{id}` | `users: [50, 51]` | ope_users.id |
-5. Redémarrage des services
+| `POST /api/passages` | `fk_user: 50` | ope_users.id |
 | `PUT /api/passages/{id}` | `fk_user: 50` | ope_users.id |
 | `POST /api/users` | - | Retourne `ope_user_id` |
-### Surveillance
+### 3. Requête SQL typique
- Monitoring des processus PHP-FPM
+```sql
- Surveillance de la base de données
+-- ❌ AVANT (CASSÉ)
- Monitoring des performances
+SELECT op.*, u.encrypted_name
- Alertes sur erreurs critiques
+FROM ope_pass op
 JOIN users u ON op.fk_user = u.id
 -- ✅ APRÈS (CORRECT)
 SELECT op.*, u.encrypted_name
 FROM ope_pass op
 JOIN ope_users ou ON op.fk_user = ou.id
 JOIN users u ON ou.fk_user = u.id
 ```
 ### 4. Suppression en cascade
 ```sql
 DELETE FROM operations WHERE id = 850;
 -- Supprime automatiquement (CASCADE) :
 -- - ope_users
 -- - ope_users_sectors
 -- - ope_pass
 -- - ope_sectors
 -- ✅ users conservé (table centrale)
 ```
 ## 📝 Changelog critique
 **Version 3.3.7 (26 Oct 2025)** :
 - 🔧 Correction bug `SectorController::update()` : Recherche users par `ope_users.id` au lieu de `users.id`
 - 🔧 Permissions logs corrigées : `nginx:nginx` + `750/640`
 - 🔧 PHP `display_errors = Off` (warnings loggés dans `/var/log/php83/error.log`)
 **Version 3.3.6 (21 Oct 2025)** :
 - Validation inscription : Code postal + ville (doublon)
 **Version 3.2.7 (16 Oct 2025)** :
 - Migration RCA-GEO vers maria3 complétée
 - URL PROD : `app3.geosector.fr`
 **Version 3.2.4-3.2.6 (Sep 2025)** :
 - Stripe Connect complet (Tap to Pay, webhooks multi-env)
 ---
 **Mis à jour : 22 Décembre 2025**
--- a/api/docs/UPLOAD-MIGRATION-RECAP.md
+++ b/api/docs/UPLOAD-MIGRATION-RECAP.md
@@ -0,0 +1,155 @@
 # 📋 RÉCAPITULATIF - Migration Arborescence Uploads
 ## ✅ Modifications effectuées
 ### 1. **EntiteController.php** (ligne 736)
 ```php
 // Avant : "/entites/{$entiteId}/logo"
 // Après : "/{$entiteId}/logo"
 ```
 ✅ Les logos sont maintenant stockés dans : `uploads/{entite_id}/logo/`
 ### 2. **ReceiptService.php** (ligne 95)
 ```php
 // Avant : "/entites/{$entiteId}/recus/{$operationId}"
 // Après : "/{$entiteId}/recus/{$operationId}"
 ```
 ✅ Les reçus PDF sont maintenant stockés dans : `uploads/{entite_id}/recus/{operation_id}/`
 ### 3. **ExportService.php** (lignes 40 et 141)
 ```php
 // Avant Excel : "/{$entiteId}/operations/{$operationId}/exports/excel"
 // Après Excel : "/{$entiteId}/operations/{$operationId}"
 // Avant JSON : "/{$entiteId}/operations/{$operationId}/exports/json"
 // Après JSON : "/{$entiteId}/operations/{$operationId}"
 ```
 ✅ Les exports sont maintenant stockés directement dans : `uploads/{entite_id}/operations/{operation_id}/`
 ## 📂 Nouvelle structure complète
 ```
 uploads/
 └── {entite_id}/              # Ex: 5, 1230, etc.
    ├── logo/                  # Logo de l'entité
    │   └── logo_{entite_id}_{timestamp}.{jpg|png}
    ├── operations/            # Exports d'opérations
    │   └── {operation_id}/    # Ex: 1525, 3124
    │       ├── geosector-export-{operation_id}-{timestamp}.xlsx
    │       └── backup-{operation_id}-{timestamp}.json.enc
    └── recus/                 # Reçus fiscaux
        └── {operation_id}/    # Ex: 3124
            └── recu_{passage_id}.pdf
 ```
 ## 🔧 Script de migration
 Un script a été créé pour migrer les fichiers existants :
 **Fichier :** `/scripts/migrate_uploads_structure.php`
 **Usage :**
 ```bash
 # Mode simulation (voir ce qui sera fait sans modifier)
 php scripts/migrate_uploads_structure.php --dry-run
 # Mode réel (effectue la migration)
 php scripts/migrate_uploads_structure.php
 ```
 **Ce que fait le script :**
 1. Déplace tout le contenu de `uploads/entites/*` vers `uploads/*`
 2. Fusionne les dossiers si nécessaire
 3. Simplifie la structure des exports (supprime `/documents/exports/excel/`)
 4. Applique les bonnes permissions (nginx:nobody 775/664)
 5. Crée un log détaillé dans `/logs/migration_uploads_YYYYMMDD_HHMMSS.log`
 ## 🚀 Procédure de déploiement
 ### Sur DEV (déjà fait)
 ✅ Code modifié
 ✅ Script de migration créé
 ### Sur REC
 ```bash
 # 1. Déployer le nouveau code
 ./livre-api.sh rec
 # 2. Faire un backup des uploads actuels
 cd /var/www/geosector/api
 tar -czf uploads_backup_$(date +%Y%m%d).tar.gz uploads/
 # 3. Tester en mode dry-run
 php scripts/migrate_uploads_structure.php --dry-run
 # 4. Si OK, lancer la migration
 php scripts/migrate_uploads_structure.php
 # 5. Vérifier la nouvelle structure
 ls -la uploads/
 ls -la uploads/*/
 ```
 ### Sur PROD
 Même procédure que REC après validation
 ## ⚠️ Points d'attention
 1. **Backup obligatoire** avant migration
 2. **Vérifier l'espace disque** disponible
 3. **Tester d'abord en dry-run**
 4. **Surveiller les logs** après migration
 5. **Tester** upload logo, génération reçu, et export Excel
 ## 📊 Gains obtenus
 | Aspect | Avant | Après |
 |--------|-------|-------|
 | **Profondeur max** | 8 niveaux | 4 niveaux |
 | **Complexité** | 2 structures parallèles | 1 structure unique |
 | **Clarté** | Confus (entites + racine) | Simple et logique |
 | **Navigation** | Difficile | Intuitive |
 ## 🔍 Vérification post-migration
 Après la migration, vérifier :
 ```bash
 # Structure attendue pour l'entité 5
 tree uploads/5/
 # Devrait afficher :
 # uploads/5/
 # ├── logo/
 # │   └── logo_5_*.png
 # ├── operations/
 # │   ├── 1525/
 # │   │   └── *.xlsx
 # │   └── 3124/
 # │       └── *.xlsx
 # └── recus/
 #     └── 3124/
 #         └── recu_*.pdf
 # Vérifier les permissions
 ls -la uploads/*/
 # Devrait montrer : nginx:nobody avec 775 pour dossiers, 664 pour fichiers
 ```
 ## ✅ Checklist finale
 - [ ] Code modifié et testé en DEV
 - [ ] Script de migration créé
 - [ ] Documentation mise à jour
 - [ ] Backup effectué sur REC
 - [ ] Migration testée en dry-run sur REC
 - [ ] Migration exécutée sur REC
 - [ ] Tests fonctionnels sur REC
 - [ ] Backup effectué sur PROD
 - [ ] Migration exécutée sur PROD
 - [ ] Tests fonctionnels sur PROD
 ---
 **Date de création :** 20/08/2025
 **Auteur :** Assistant Claude
 **Status :** Prêt pour déploiement
--- a/api/docs/UPLOAD-REORGANIZATION.md
+++ b/api/docs/UPLOAD-REORGANIZATION.md
@@ -0,0 +1,93 @@
 # Réorganisation de l'arborescence des uploads
 ## 📅 Date : 20/08/2025
 ## 🎯 Objectif
 Uniformiser et simplifier l'arborescence des fichiers uploads pour une meilleure organisation et maintenance.
 ## 📂 Arborescence actuelle (PROBLÈME)
 ```
 uploads/
 ├── entites/
 │   └── 5/
 │       ├── logo/
 │       ├── operations/
 │       │   └── 1525/
 │       │       └── documents/
 │       │           └── exports/
 │       │               └── excel/
 │       │                   └── geosector-export-*.xlsx
 │       └── recus/
 │           └── 3124/
 │               └── recu_*.pdf
 └── 5/
    └── operations/
        ├── 1525/
        └── 2021/
 ```
 **Problèmes identifiés :**
 - Duplication des structures (dossier `5` à la racine ET dans `entites/`)
 - Chemins trop profonds pour les exports Excel (6 niveaux)
 - Incohérence dans les chemins
 ## ✅ Nouvelle arborescence (SOLUTION)
 ```
 uploads/
 └── {entite_id}/              # Un seul dossier par entité à la racine
    ├── logo/                  # Logo de l'entité
    │   └── logo_*.{jpg,png}
    ├── operations/            # Exports par opération
    │   └── {operation_id}/
    │       └── *.xlsx         # Exports Excel directement ici
    └── recus/                 # Reçus par opération
        └── {operation_id}/
            └── recu_*.pdf
 ```
 ## 📝 Fichiers à modifier
 ### 1. EntiteController.php (Upload logo)
 **Actuel :** `/entites/{$entiteId}/logo`
 **Nouveau :** `/{$entiteId}/logo`
 ### 2. ReceiptService.php (Stockage reçus PDF)
 **Actuel :** `/entites/{$entiteId}/recus/{$operationId}`
 **Nouveau :** `/{$entiteId}/recus/{$operationId}`
 ### 3. ExportService.php (Export Excel)
 **Actuel :** `/{$entiteId}/operations/{$operationId}/exports/excel`
 **Nouveau :** `/{$entiteId}/operations/{$operationId}`
 ### 4. ExportService.php (Export JSON)
 **Actuel :** `/{$entiteId}/operations/{$operationId}/exports/json`
 **Nouveau :** `/{$entiteId}/operations/{$operationId}` (ou supprimer si non utilisé)
 ## 🔄 Plan de migration
 ### Étape 1 : Modifier le code
 1. Mettre à jour tous les chemins dans les contrôleurs et services
 2. Tester en environnement DEV
 ### Étape 2 : Script de migration des fichiers existants
 Créer un script PHP pour :
 1. Lister tous les fichiers existants
 2. Les déplacer vers la nouvelle structure
 3. Supprimer les anciens dossiers vides
 ### Étape 3 : Déploiement
 1. Exécuter le script de migration sur REC
 2. Vérifier le bon fonctionnement
 3. Exécuter sur PROD
 ## 🚀 Avantages de la nouvelle structure
 - **Plus simple** : Chemins plus courts et plus logiques
 - **Plus cohérent** : Une seule structure pour toutes les entités
 - **Plus maintenable** : Facile de naviguer et comprendre
 - **Performance** : Moins de niveaux de dossiers à parcourir
 ## ⚠️ Points d'attention
 - Vérifier les permissions (nginx:nobody 775/664)
 - S'assurer que les anciens fichiers sont bien migrés
 - Mettre à jour la documentation
 - Informer l'équipe du changement
--- a/api/docs/USERNAME_VALIDATION_CHANGES.md
+++ b/api/docs/USERNAME_VALIDATION_CHANGES.md
@@ -0,0 +1,135 @@
 # Changements de validation des usernames - Version ultra-souple
 ## Date : 17 janvier 2025
 ## Contexte
 Suite aux problèmes d'erreurs 400 et au besoin d'avoir une approche plus moderne et inclusive, les règles de validation des usernames ont été assouplies pour accepter tous les caractères UTF-8, similaire à l'approche NIST pour les mots de passe.
 ## Anciennes règles (trop restrictives)
 - ❌ 10-30 caractères
 - ❌ Doit commencer par une lettre minuscule
 - ❌ Seulement : a-z, 0-9, ., -, _
 - ❌ Pas d'espaces
 - ❌ Pas de majuscules
 - ❌ Pas d'accents ou caractères spéciaux
 ## Nouvelles règles (ultra-souples)
 - ✅ **8-30 caractères UTF-8**
 - ✅ **Tous caractères acceptés** : 
  - Lettres (majuscules/minuscules)
  - Chiffres
  - Espaces
  - Caractères spéciaux (!@#$%^&*()_+-=[]{}|;:'"<>,.?/)
  - Accents (é, è, à, ñ, ü, etc.)
  - Émojis (😀, 🎉, ❤️, etc.)
  - Caractères non-latins (中文, العربية, Русский, etc.)
 - ✅ **Sensible à la casse** (Jean ≠ jean)
 - ✅ **Trim automatique** des espaces début/fin
 - ✅ **Unicité vérifiée** dans toute la base
 ## Exemples de usernames valides
 ### Noms classiques
 - `Jean-Pierre`
 - `Marie Claire` (avec espace)
 - `O'Connor`
 - `José García`
 ### Avec chiffres et caractères spéciaux
 - `admin2024`
 - `user@company`
 - `test_user#1`
 - `Marie*123!`
 ### International
 - `李明` (chinois)
 - `محمد` (arabe)
 - `Владимир` (russe)
 - `さくら` (japonais)
 - `Παύλος` (grec)
 ### Modernes/Fun
 - `🦄Unicorn`
 - `Player_1 🎮`
 - `☕Coffee.Lover`
 - `2024_User`
 ## Exemples de usernames invalides
 - `short` ❌ (moins de 8 caractères)
 - `   ` ❌ (espaces seulement)
 - `very_long_username_that_exceeds_thirty_chars` ❌ (plus de 30 caractères)
 ## Modifications techniques
 ### 1. Code PHP (UserController.php)
 ```php
 // Avant (restrictif)
 if (!preg_match('/^[a-z][a-z0-9._-]{9,29}$/', $username))
 // Après (ultra-souple)
 $username = trim($data['username']);
 $usernameLength = mb_strlen($username, 'UTF-8');
 if ($usernameLength < 8) {
    // Erreur : trop court
 }
 if ($usernameLength > 30) {
    // Erreur : trop long
 }
 // C'est tout ! Pas d'autre validation
 ```
 ### 2. Base de données
 ```sql
 -- Script à exécuter : scripts/sql/migration_username_utf8_support.sql
 ALTER TABLE `users` 
 MODIFY COLUMN `encrypted_user_name` varchar(255) DEFAULT '';
 ```
 ### 3. Messages d'erreur simplifiés
 - Avant : "Format du nom d'utilisateur invalide (10-30 caractères, commence par une lettre, caractères autorisés: a-z, 0-9, ., -, _)"
 - Après : 
  - "Identifiant trop court" + "Minimum 8 caractères"
  - "Identifiant trop long" + "Maximum 30 caractères"
  - "Identifiant déjà utilisé"
 ## Impact sur l'expérience utilisateur
 ### Avantages
 1. **Inclusivité** : Support de toutes les langues et cultures
 2. **Modernité** : Permet les émojis et caractères spéciaux
 3. **Simplicité** : Règles faciles à comprendre (juste la longueur)
 4. **Flexibilité** : Les utilisateurs peuvent choisir l'identifiant qu'ils veulent
 5. **Moins d'erreurs** : Moins de rejets pour format invalide
 ### Points d'attention
 1. **Support client** : Former le support aux nouveaux formats possibles
 2. **Affichage** : S'assurer que l'UI supporte bien l'UTF-8
 3. **Recherche** : La recherche d'utilisateurs doit gérer la casse et l'UTF-8
 4. **Export** : Vérifier que les exports CSV/Excel gèrent bien l'UTF-8
 ## Sécurité
 ### Pas d'impact sur la sécurité
 - ✅ Les usernames sont toujours chiffrés en base (AES-256-CBC)
 - ✅ L'unicité est toujours vérifiée
 - ✅ Les injections SQL sont impossibles (prepared statements)
 - ✅ Le trim empêche les espaces invisibles
 ### Recommandations
 - Continuer à générer automatiquement des usernames simples (ASCII) pour éviter les problèmes
 - Mais permettre la saisie manuelle de tout format
 - Logger les usernames "exotiques" pour détecter d'éventuels abus
 ## Tests
 - Script de test disponible : `/tests/test_username_validation.php`
 - Teste tous les cas limites et formats internationaux
 ## Rollback si nécessaire
 Si besoin de revenir en arrière :
 1. Restaurer l'ancienne validation dans UserController
 2. Les usernames UTF-8 existants continueront de fonctionner
 3. Seuls les nouveaux seront restreints
 ## Conclusion
 Cette approche ultra-souple aligne les usernames sur les standards modernes d'inclusivité et d'accessibilité, tout en maintenant la sécurité grâce au chiffrement et à la validation de l'unicité.
--- a/api/docs/_logo_recu.png
+++ b/api/docs/_logo_recu.png
--- a/api/docs/_recu_template.pdf
+++ b/api/docs/_recu_template.pdf
--- a/api/docs/api-analysis.md
+++ b/api/docs/api-analysis.md
--- a/api/docs/contour-des-departements.geojson
+++ b/api/docs/contour-des-departements.geojson
--- a/api/docs/create_table_user_devices.sql
+++ b/api/docs/create_table_user_devices.sql
@@ -0,0 +1,53 @@
 -- Table pour stocker les informations des devices des utilisateurs
 CREATE TABLE IF NOT EXISTS `user_devices` (
 `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
 `fk_user` int(10) unsigned NOT NULL COMMENT 'Référence vers la table users',
 -- Informations générales du device
 `platform` varchar(20) NOT NULL COMMENT 'Plateforme: iOS, Android, etc.',
 `device_model` varchar(100) DEFAULT NULL COMMENT 'Modèle du device (ex: iPhone13,2)',
 `device_name` varchar(255) DEFAULT NULL COMMENT 'Nom personnalisé du device',
 `device_manufacturer` varchar(100) DEFAULT NULL COMMENT 'Fabricant (Apple, Samsung, etc.)',
 `device_identifier` varchar(100) DEFAULT NULL COMMENT 'Identifiant unique du device',
 -- Informations réseau (IPv4 uniquement)
 `device_ip_local` varchar(15) DEFAULT NULL COMMENT 'Adresse IP locale IPv4',
 `device_ip_public` varchar(15) DEFAULT NULL COMMENT 'Adresse IP publique IPv4',
 `device_wifi_name` varchar(255) DEFAULT NULL COMMENT 'Nom du réseau WiFi (SSID)',
 `device_wifi_bssid` varchar(17) DEFAULT NULL COMMENT 'BSSID du point d\'accès (format
 XX:XX:XX:XX:XX:XX)',
 -- Capacités et version OS
 `ios_version` varchar(20) DEFAULT NULL COMMENT 'Version iOS/Android OS',
 `device_nfc_capable` tinyint(1) DEFAULT NULL COMMENT 'Support NFC (1=oui, 0=non)',
 `device_supports_tap_to_pay` tinyint(1) DEFAULT NULL COMMENT 'Support Tap to Pay (1=oui, 0=non)',
 -- État batterie
 `battery_level` tinyint(3) unsigned DEFAULT NULL COMMENT 'Niveau batterie en pourcentage (0-100)',
 `battery_charging` tinyint(1) DEFAULT NULL COMMENT 'En charge (1=oui, 0=non)',
 `battery_state` varchar(20) DEFAULT NULL COMMENT 'État batterie (charging, discharging, full)',
 -- Versions application
 `app_version` varchar(20) DEFAULT NULL COMMENT 'Version de l\'application (ex: 3.2.8)',
 `app_build` varchar(20) DEFAULT NULL COMMENT 'Numéro de build (ex: 328)',
 -- Timestamps
 `last_device_info_check` timestamp NULL DEFAULT NULL COMMENT 'Dernier check des infos device côté
 app',
 `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création de
 l\'enregistrement',
 `updated_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT
 'Date de dernière modification',
 PRIMARY KEY (`id`),
 KEY `idx_fk_user` (`fk_user`) COMMENT 'Index pour recherche par utilisateur',
 KEY `idx_updated_at` (`updated_at`) COMMENT 'Index pour tri par date de mise à jour',
 KEY `idx_last_check` (`last_device_info_check`) COMMENT 'Index pour recherche par dernière
 vérification',
 UNIQUE KEY `unique_user_device` (`fk_user`, `device_identifier`) COMMENT 'Un seul enregistrement
 par device/user',
 CONSTRAINT `fk_user_devices_user` FOREIGN KEY (`fk_user`)
    REFERENCES `users` (`id`) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='Informations des devices
 utilisateurs';
--- a/api/docs/departements_limitrophes.md
+++ b/api/docs/departements_limitrophes.md
@@ -0,0 +1,53 @@
 # Départements limitrophes
 Ce document liste les départements limitrophes pour chaque département français.
 À utiliser pour remplir le champ `dept_limitrophes` dans la table `x_departements`.
 ## Format
 Le champ `dept_limitrophes` contient une liste de codes départements séparés par des virgules.
 Exemple : "22,35,56" pour un département limitrophe avec les Côtes-d'Armor (22), l'Ille-et-Vilaine (35) et le Morbihan (56).
 ## Liste par département
 ### Bretagne
 - **22 - Côtes-d'Armor** : 29,35,56
 - **29 - Finistère** : 22,56
 - **35 - Ille-et-Vilaine** : 22,44,49,50,53,56
 - **56 - Morbihan** : 22,29,35,44
 ### Pays de la Loire
 - **44 - Loire-Atlantique** : 35,49,56,85
 - **49 - Maine-et-Loire** : 35,37,44,53,72,79,85,86
 - **53 - Mayenne** : 14,35,49,50,61,72
 - **72 - Sarthe** : 14,27,28,37,41,49,53,61
 - **85 - Vendée** : 17,44,49,79
 ### Normandie
 - **14 - Calvados** : 27,50,53,61,72
 - **27 - Eure** : 14,28,60,61,72,76,78,95
 - **50 - Manche** : 14,35,53,61
 - **61 - Orne** : 14,27,28,35,41,50,53,72
 - **76 - Seine-Maritime** : 27,60,80
 ### Île-de-France
 - **75 - Paris** : 92,93,94
 - **77 - Seine-et-Marne** : 02,10,45,51,60,89,91,93,94,95
 - **78 - Yvelines** : 27,28,91,92,95
 - **91 - Essonne** : 28,45,77,78,92,94
 - **92 - Hauts-de-Seine** : 75,78,91,93,94,95
 - **93 - Seine-Saint-Denis** : 75,77,92,94,95
 - **94 - Val-de-Marne** : 75,77,91,92,93
 - **95 - Val-d'Oise** : 27,60,77,78,92,93
 ### Hauts-de-France
 - **02 - Aisne** : 08,51,59,60,77,80
 - **59 - Nord** : 02,62,80 (+ frontière Belgique)
 - **60 - Oise** : 02,27,76,77,80,95
 - **62 - Pas-de-Calais** : 59,80 (+ frontière Belgique et côte Manche)
 - **80 - Somme** : 02,27,59,60,62,76
 ## Notes
 - Cette liste est à compléter pour tous les départements français
 - Les départements d'outre-mer n'ont généralement pas de départements limitrophes terrestres
 - Certains départements peuvent avoir des limites maritimes non représentées ici
 - Source recommandée : données INSEE ou IGN pour une liste complète et exacte
--- a/api/docs/flowIncus.md
+++ b/api/docs/flowIncus.md
--- a/api/docs/geosector-db-diagram.md
+++ b/api/docs/geosector-db-diagram.md
--- a/api/docs/geosector_app.sql
+++ b/api/docs/geosector_app.sql
@@ -1,619 +0,0 @@
 -- Création de la base de données geo_app si elle n'existe pas
 DROP DATABASE IF EXISTS `geo_app`;
 CREATE DATABASE IF NOT EXISTS `geo_app` DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
 -- Création de l'utilisateur et attribution des droits
 CREATE USER IF NOT EXISTS 'geo_app_user'@'localhost' IDENTIFIED BY 'QO:96df*?k{4W6m';
 GRANT SELECT, INSERT, UPDATE, DELETE ON `geo_app`.* TO 'geo_app_user'@'localhost';
 FLUSH PRIVILEGES;
 USE geo_app;
 --
 -- Table structure for table `email_counter`
 --
 DROP TABLE IF EXISTS `email_counter`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `email_counter` (
  `id` int unsigned NOT NULL DEFAULT '1',
  `hour_start` timestamp NULL DEFAULT NULL,
  `count` int unsigned DEFAULT '0',
  PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `x_devises`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_devises` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `code` varchar(3) DEFAULT NULL,
  `symbole` varchar(6) DEFAULT NULL,
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 --
 -- Table structure for table `x_entites_types`
 --
 DROP TABLE IF EXISTS `x_entites_types`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_entites_types` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 --
 -- Table structure for table `x_types_passages`
 --
 DROP TABLE IF EXISTS `x_types_passages`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_types_passages` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(10) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `color_button` varchar(15) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `color_mark` varchar(15) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `color_table` varchar(15) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `chk_active` tinyint(1) unsigned NOT NULL DEFAULT '1',
  PRIMARY KEY (`id`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 --
 -- Table structure for table `x_types_reglements`
 --
 DROP TABLE IF EXISTS `x_types_reglements`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_types_reglements` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 --
 -- Table structure for table `x_users_roles`
 --
 DROP TABLE IF EXISTS `x_users_roles`;
 CREATE TABLE `x_users_roles` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=10 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='Les différents rôles des utilisateurs';
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `x_users_titres`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_users_titres` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='Les différents titres des utilisateurs';
 DROP TABLE IF EXISTS `x_pays`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_pays` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `code` varchar(3) DEFAULT NULL,
  `fk_continent` int unsigned DEFAULT NULL,
  `fk_devise` int unsigned DEFAULT '1',
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  CONSTRAINT `x_pays_ibfk_1` FOREIGN KEY (`fk_devise`) REFERENCES `x_devises` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=10 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci COMMENT='Table des pays avec leurs codes';
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `x_regions`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_regions` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_pays` int unsigned DEFAULT '1',
  `libelle` varchar(45) DEFAULT NULL,
  `libelle_long` varchar(45) DEFAULT NULL,
  `table_osm` varchar(45) DEFAULT NULL,
  `departements` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  CONSTRAINT `x_regions_ibfk_1` FOREIGN KEY (`fk_pays`) REFERENCES `x_pays` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=29 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `x_departements`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_departements` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `code` varchar(3) DEFAULT NULL,
  `fk_region` int unsigned DEFAULT '1',
  `libelle` varchar(45) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  CONSTRAINT `x_departements_ibfk_1` FOREIGN KEY (`fk_region`) REFERENCES `x_regions` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=105 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `entites`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `entites` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `encrypted_name` varchar(255) DEFAULT NULL,
  `adresse1` varchar(45) DEFAULT '',
  `adresse2` varchar(45) DEFAULT '',
  `code_postal` varchar(5) DEFAULT '',
  `ville` varchar(45) DEFAULT '',
  `fk_region` int unsigned DEFAULT NULL,
  `fk_type` int unsigned DEFAULT '1',
  `encrypted_phone` varchar(128) DEFAULT '',
  `encrypted_mobile` varchar(128) DEFAULT '',
  `encrypted_email` varchar(255) DEFAULT '',
  `gps_lat` varchar(20) NOT NULL DEFAULT '',
  `gps_lng` varchar(20) NOT NULL DEFAULT '',
  `encrypted_stripe_id` varchar(255) DEFAULT '',
  `encrypted_iban` varchar(255) DEFAULT '',
  `encrypted_bic` varchar(128) DEFAULT '',
  `chk_demo` tinyint(1) unsigned DEFAULT '1',
  `chk_mdp_manuel` tinyint(1) unsigned NOT NULL DEFAULT '1' COMMENT 'Gestion des mots de passe manuelle O/N',
  `chk_copie_mail_recu` tinyint(1) unsigned NOT NULL DEFAULT '0',
  `chk_accept_sms` tinyint(1) unsigned NOT NULL DEFAULT '0',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned DEFAULT NULL,
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  CONSTRAINT `entites_ibfk_1` FOREIGN KEY (`fk_region`) REFERENCES `x_regions` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `entites_ibfk_2` FOREIGN KEY (`fk_type`) REFERENCES `x_entites_types` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `x_villes`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `x_villes` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_departement` int unsigned DEFAULT '1',
  `libelle` varchar(65) DEFAULT NULL,
  `cp` varchar(5) DEFAULT NULL,
  `code_insee` varchar(5) DEFAULT NULL,
  `departement` varchar(65) DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  CONSTRAINT `x_villes_ibfk_1` FOREIGN KEY (`fk_departement`) REFERENCES `x_departements` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `users`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `users` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_entite` int unsigned DEFAULT '1',
  `fk_role` int unsigned DEFAULT '1',
  `fk_titre` int unsigned DEFAULT '1',
  `encrypted_name` varchar(255) DEFAULT NULL,
  `first_name` varchar(45) DEFAULT NULL,
  `sect_name` varchar(60) DEFAULT '',
  `encrypted_user_name` varchar(128) DEFAULT '',
  `user_pass_hash` varchar(60) DEFAULT NULL,
  `encrypted_phone` varchar(128) DEFAULT NULL,
  `encrypted_mobile` varchar(128) DEFAULT NULL,
  `encrypted_email` varchar(255) DEFAULT '',
  `chk_alert_email` tinyint(1) unsigned DEFAULT '1',
  `chk_suivi` tinyint(1) unsigned DEFAULT '0',
  `date_naissance` date DEFAULT NULL,
  `date_embauche` date DEFAULT NULL,
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned DEFAULT NULL,
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  KEY `fk_entite` (`fk_entite`),
  KEY `username` (`encrypted_user_name`),
  CONSTRAINT `users_ibfk_1` FOREIGN KEY (`fk_entite`) REFERENCES `entites` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `users_ibfk_2` FOREIGN KEY (`fk_role`) REFERENCES `x_users_roles` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `users_ibfk_3` FOREIGN KEY (`fk_titre`) REFERENCES `x_users_titres` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `operations`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `operations` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_entite` int unsigned NOT NULL DEFAULT '1',
  `libelle` varchar(75) NOT NULL DEFAULT '',
  `date_deb` date NOT NULL DEFAULT '0000-00-00',
  `date_fin` date NOT NULL DEFAULT '0000-00-00',
  `chk_distinct_sectors` tinyint(1) unsigned NOT NULL DEFAULT '0',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned NOT NULL DEFAULT '0',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned NOT NULL DEFAULT '0',
  `chk_active` tinyint(1) unsigned NOT NULL DEFAULT '1',
  PRIMARY KEY (`id`),
  KEY `fk_entite` (`fk_entite`),
  KEY `date_deb` (`date_deb`),
  CONSTRAINT `operations_ibfk_1` FOREIGN KEY (`fk_entite`) REFERENCES `entites` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `ope_sectors`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_sectors` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_operation` int unsigned NOT NULL DEFAULT '0',
  `fk_old_sector` int unsigned NOT NULL DEFAULT '0',
  `libelle` varchar(75) NOT NULL DEFAULT '',
  `sector` text NOT NULL DEFAULT '',
  `color` varchar(7) NOT NULL DEFAULT '#4B77BE',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned NOT NULL DEFAULT '0',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned NOT NULL DEFAULT '0',
  `chk_active` tinyint(1) unsigned NOT NULL DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id` (`id`),
  KEY `fk_operation` (`fk_operation`),
  CONSTRAINT `ope_sectors_ibfk_1` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `ope_users`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_users` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_operation` int unsigned NOT NULL DEFAULT '0',
  `fk_user` int unsigned NOT NULL DEFAULT '0',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned DEFAULT NULL,
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned DEFAULT NULL,
  `chk_active` tinyint(1) unsigned NOT NULL DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`),
  CONSTRAINT `ope_users_ibfk_1` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_users_ibfk_2` FOREIGN KEY (`fk_user`) REFERENCES `users` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `email_queue`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `email_queue` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_pass` int unsigned NOT NULL DEFAULT '0',
  `to_email` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `subject` varchar(255) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `body` text COLLATE utf8mb4_unicode_ci,
  `headers` text COLLATE utf8mb4_unicode_ci,
  `created_at` timestamp NULL DEFAULT CURRENT_TIMESTAMP,
  `status` enum('pending','sent','failed') COLLATE utf8mb4_unicode_ci DEFAULT 'pending',
  `attempts` int unsigned DEFAULT '0',
  PRIMARY KEY (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `ope_users_sectors`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_users_sectors` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_operation` int unsigned NOT NULL DEFAULT '0',
  `fk_user` int unsigned NOT NULL DEFAULT '0',
  `fk_sector` int unsigned NOT NULL DEFAULT '0',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned NOT NULL DEFAULT '0',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned DEFAULT NULL,
  `chk_active` tinyint(1) unsigned DEFAULT '1',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id` (`id`),
  KEY `fk_operation` (`fk_operation`),
  KEY `fk_user` (`fk_user`),
  KEY `fk_sector` (`fk_sector`),
  CONSTRAINT `ope_users_sectors_ibfk_1` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_users_sectors_ibfk_2` FOREIGN KEY (`fk_user`) REFERENCES `users` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_users_sectors_ibfk_3` FOREIGN KEY (`fk_sector`) REFERENCES `ope_sectors` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `ope_users_suivis`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_users_suivis` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_operation` int unsigned NOT NULL DEFAULT '0',
  `fk_user` int unsigned NOT NULL DEFAULT '0',
  `date_suivi` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date du suivi',
  `gps_lat` varchar(20) NOT NULL DEFAULT '',
  `gps_lng` varchar(20) NOT NULL DEFAULT '',
  `vitesse` varchar(20) NOT NULL DEFAULT '',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned NOT NULL DEFAULT '0',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `sectors_adresses`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `sectors_adresses` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_adresse` varchar(25) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL COMMENT 'adresses.cp??.id',
  `osm_id` int unsigned NOT NULL DEFAULT '0',
  `fk_sector` int unsigned NOT NULL DEFAULT '0',
  `osm_name` varchar(50) NOT NULL DEFAULT '',
  `numero` varchar(5) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `rue_bis` varchar(5) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `rue` varchar(60) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `cp` varchar(5) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `ville` varchar(60) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `gps_lat` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `gps_lng` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `osm_date_creat` timestamp NOT NULL DEFAULT '0000-00-00 00:00:00',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  PRIMARY KEY (`id`),
  KEY `sectors_adresses_fk_sector_index` (`fk_sector`),
  KEY `sectors_adresses_numero_index` (`numero`),
  KEY `sectors_adresses_rue_index` (`rue`),
  KEY `sectors_adresses_ville_index` (`ville`),
  CONSTRAINT `sectors_adresses_ibfk_1` FOREIGN KEY (`fk_sector`) REFERENCES `ope_sectors` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `ope_pass`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_pass` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_operation` int unsigned NOT NULL DEFAULT '0',
  `fk_sector` int unsigned DEFAULT '0',
  `fk_user` int unsigned NOT NULL DEFAULT '0',
  `fk_adresse` varchar(25) DEFAULT '' COMMENT 'adresses.cp??.id',
  `passed_at` timestamp NULL DEFAULT NULL COMMENT 'Date du passage',
  `fk_type` int unsigned DEFAULT '0',
  `numero` varchar(10) NOT NULL DEFAULT '',
  `rue` varchar(75) NOT NULL DEFAULT '',
  `rue_bis` varchar(1) NOT NULL DEFAULT '',
  `ville` varchar(75) NOT NULL DEFAULT '',
  `fk_habitat` int unsigned DEFAULT '1',
  `appt` varchar(5) DEFAULT '',
  `niveau` varchar(5) DEFAULT '',
  `residence` varchar(75) DEFAULT '',
  `gps_lat` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `gps_lng` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci NOT NULL DEFAULT '',
  `encrypted_name` varchar(255) NOT NULL DEFAULT '',
  `montant` decimal(7,2) NOT NULL DEFAULT '0.00',
  `fk_type_reglement` int unsigned DEFAULT '1',
  `remarque` text DEFAULT '',
  `encrypted_email` varchar(255) DEFAULT '',
  `nom_recu` varchar(50) COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `date_recu` timestamp NULL DEFAULT NULL COMMENT 'Date de réception',
  `date_creat_recu` timestamp NULL DEFAULT NULL COMMENT 'Date de création du reçu',
  `date_sent_recu` timestamp NULL DEFAULT NULL COMMENT 'Date envoi du reçu',
  `email_erreur` varchar(30) DEFAULT '',
  `chk_email_sent` tinyint(1) unsigned NOT NULL DEFAULT '0',
  `encrypted_phone` varchar(128) NOT NULL DEFAULT '',
  `chk_striped` tinyint(1) unsigned DEFAULT '0',
  `docremis` tinyint(1) unsigned DEFAULT '0',
  `date_repasser` timestamp NULL DEFAULT NULL COMMENT 'Date prévue pour repasser',
  `nb_passages` int DEFAULT '1' COMMENT 'Nb passages pour les a repasser',
  `chk_gps_maj` tinyint(1) unsigned DEFAULT '0',
  `chk_map_create` tinyint(1) unsigned DEFAULT '0',
  `chk_mobile` tinyint(1) unsigned DEFAULT '0',
  `chk_synchro` tinyint(1) unsigned DEFAULT '1' COMMENT 'chk synchro entre web et appli',
  `chk_api_adresse` tinyint(1) unsigned DEFAULT '0',
  `chk_maj_adresse` tinyint(1) unsigned DEFAULT '0',
  `anomalie` tinyint(1) unsigned DEFAULT '0',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
  `fk_user_creat` int unsigned DEFAULT NULL,
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP COMMENT 'Date de modification',
  `fk_user_modif` int unsigned DEFAULT NULL,
  `chk_active` tinyint(1) unsigned NOT NULL DEFAULT '1',
  PRIMARY KEY (`id`),
  KEY `fk_operation` (`fk_operation`),
  KEY `fk_sector` (`fk_sector`),
  KEY `fk_user` (`fk_user`),
  KEY `fk_type` (`fk_type`),
  KEY `fk_type_reglement` (`fk_type_reglement`),
  KEY `email` (`email`),
  CONSTRAINT `ope_pass_ibfk_1` FOREIGN KEY (`fk_operation`) REFERENCES `operations` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_pass_ibfk_2` FOREIGN KEY (`fk_sector`) REFERENCES `ope_sectors` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_pass_ibfk_3` FOREIGN KEY (`fk_user`) REFERENCES `users` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE,
  CONSTRAINT `ope_pass_ibfk_4` FOREIGN KEY (`fk_type_reglement`) REFERENCES `x_types_reglements` (`id`) ON DELETE RESTRICT ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `ope_pass_histo`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `ope_pass_histo` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `fk_pass` int unsigned NOT NULL DEFAULT '0',
  `date_histo` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date historique',
  `sujet` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci DEFAULT NULL,
  `remarque` varchar(250) NOT NULL DEFAULT '',
  PRIMARY KEY (`id`),
  KEY `ope_pass_histo_fk_pass_IDX` (`fk_pass`) USING BTREE,
  KEY `ope_pass_histo_date_histo_IDX` (`date_histo`) USING BTREE,
  CONSTRAINT `ope_pass_histo_ibfk_1` FOREIGN KEY (`fk_pass`) REFERENCES `ope_pass` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `medias`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `medias` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `support` varchar(45) NOT NULL DEFAULT '',
  `support_id` int unsigned NOT NULL DEFAULT '0',
  `fichier` varchar(250) NOT NULL DEFAULT '',
  `description` varchar(100) NOT NULL DEFAULT '',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `fk_user_creat` int unsigned NOT NULL DEFAULT '0',
  `updated_at` timestamp NULL DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP,
  `fk_user_modif` int unsigned NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`),
  UNIQUE KEY `id_UNIQUE` (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 -- Création des tables pour le système de chat
 DROP TABLE IF EXISTS `chat_rooms`;
 -- Table des salles de discussion
 CREATE TABLE chat_rooms (
    id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(100) NOT NULL,
    type ENUM('privee', 'groupe', 'liste_diffusion') NOT NULL,
    date_creation timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
    fk_user INT UNSIGNED NOT NULL,
    fk_entite INT UNSIGNED,
    statut ENUM('active', 'archive') NOT NULL DEFAULT 'active',
    description TEXT,
    INDEX idx_user (fk_user),
    INDEX idx_entite (fk_entite)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `chat_participants`;
 -- Table des participants aux salles de discussion
 CREATE TABLE chat_participants (
    id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    id_room INT UNSIGNED NOT NULL,
    id_user INT UNSIGNED NOT NULL,
    role ENUM('administrateur', 'participant', 'en_lecture_seule') NOT NULL DEFAULT 'participant',
    date_ajout timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date ajout',
    notification_activee BOOLEAN NOT NULL DEFAULT TRUE,
    INDEX idx_room (id_room),
    INDEX idx_user (id_user),
    CONSTRAINT uc_room_user UNIQUE (id_room, id_user),
    FOREIGN KEY (id_room) REFERENCES chat_rooms(id) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `chat_messages`;
 -- Table des messages
 CREATE TABLE chat_messages (
    id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    fk_room INT UNSIGNED NOT NULL,
    fk_user INT UNSIGNED NOT NULL,
    content TEXT,
    date_sent timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date envoi',
    type ENUM('texte', 'media', 'systeme') NOT NULL DEFAULT 'texte',
    statut ENUM('envoye', 'livre', 'lu') NOT NULL DEFAULT 'envoye',
    INDEX idx_room (fk_room),
    INDEX idx_user (fk_user),
    INDEX idx_date (date_sent),
    FOREIGN KEY (fk_room) REFERENCES chat_rooms(id) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `chat_listes_diffusion`;
 -- Table des listes de diffusion
 CREATE TABLE chat_listes_diffusion (
    id INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    fk_room INT UNSIGNED NOT NULL,
    name VARCHAR(100) NOT NULL,
    description TEXT,
    fk_user INT UNSIGNED NOT NULL,
    date_creation timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
    INDEX idx_room (fk_room),
    INDEX idx_user (fk_user),
    FOREIGN KEY (fk_room) REFERENCES chat_rooms(id) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `chat_read_messages`;
 -- Table pour suivre la lecture des messages
 CREATE TABLE chat_read_messages (
    id BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    fk_message INT UNSIGNED NOT NULL,
    fk_user INT UNSIGNED NOT NULL,
    date_read timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de lecture',
    INDEX idx_message (fk_message),
    INDEX idx_user (fk_user),
    CONSTRAINT uc_message_user UNIQUE (fk_message, fk_user),
    FOREIGN KEY (fk_message) REFERENCES chat_messages(id) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `chat_notifications`;
 -- Table des notifications
 CREATE TABLE chat_notifications (
    id BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    fk_user INT UNSIGNED NOT NULL,
    fk_message INT UNSIGNED,
    fk_room INT UNSIGNED,
    type VARCHAR(50) NOT NULL,
    contenu TEXT,
    date_creation timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT 'Date de création',
    date_lecture timestamp NULL DEFAULT NULL COMMENT 'Date de lecture',
    statut ENUM('non_lue', 'lue') NOT NULL DEFAULT 'non_lue',
    INDEX idx_user (fk_user),
    INDEX idx_message (fk_message),
    INDEX idx_room (fk_room),
    FOREIGN KEY (fk_message) REFERENCES chat_messages(id) ON DELETE SET NULL,
    FOREIGN KEY (fk_room) REFERENCES chat_rooms(id) ON DELETE SET NULL
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 DROP TABLE IF EXISTS `z_params`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `params` (
  `id` int unsigned NOT NULL AUTO_INCREMENT,
  `libelle` varchar(35) NOT NULL DEFAULT '',
  `valeur` varchar(255) NOT NULL DEFAULT '',
  `aide` varchar(150) NOT NULL DEFAULT '',
  PRIMARY KEY (`id`)
 ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
 DROP TABLE IF EXISTS `z_sessions`;
 /*!40101 SET @saved_cs_client     = @@character_set_client */;
 /*!50503 SET character_set_client = utf8mb4 */;
 CREATE TABLE `z_sessions` (
  `sid` text NOT NULL,
  `fk_user` int NOT NULL,
  `role` varchar(10) DEFAULT NULL,
  `date_modified` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  `ip` varchar(50) NOT NULL,
  `browser` varchar(150) NOT NULL,
  `data` mediumtext
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 /*!40101 SET character_set_client = @saved_cs_client */;
--- a/api/docs/logrotate_email_queue.conf
+++ b/api/docs/logrotate_email_queue.conf
@@ -0,0 +1,19 @@
 # Configuration logrotate pour email_queue.log
 # À placer dans /etc/logrotate.d/geosector-email-queue
 /var/www/geosector/api/logs/email_queue.log {
    daily                    # Rotation journalière
    rotate 30                # Garder 30 jours d'historique
    compress                 # Compresser les anciens logs
    delaycompress           # Compresser le jour suivant
    missingok               # Pas d'erreur si le fichier n'existe pas
    notifempty              # Ne pas tourner si vide
    create 664 www-data www-data  # Créer nouveau fichier avec permissions
    dateext                 # Ajouter la date au nom du fichier
    dateformat -%Y%m%d      # Format de date YYYYMMDD
    maxsize 100M            # Rotation si dépasse 100MB même avant la fin du jour
    postrotate
        # Optionnel : envoyer un signal au process si nécessaire
        # /usr/bin/killall -SIGUSR1 php 2>/dev/null || true
    endscript
 }
--- a/api/docs/nouvelles-routes-session-refresh.txt
+++ b/api/docs/nouvelles-routes-session-refresh.txt
@@ -0,0 +1,166 @@
 1. Route /session/refresh/all
  Méthode : POSTAuthentification : Requise (via session_id dans headers ou cookies)
  Headers requis :
  Authorization: Bearer {session_id}
  // ou
  Cookie: session_id={session_id}
  Réponse attendue :
  {
    "status": "success",
    "message": "Session refreshed",
    "user": {
      // Mêmes données que le login
      "id": 123,
      "email": "user@example.com",
      "name": "John Doe",
      "fk_role": 2,
      "fk_entite": 1,
      // ...
    },
    "amicale": {
      // Données de l'amicale
      "id": 1,
      "name": "Amicale Pompiers",
      // ...
    },
    "operations": [...],
    "sectors": [...],
    "passages": [...],
    "membres": [...],
    "session_id": "current_session_id",
    "session_expiry": "2024-01-20T10:00:00Z"
  }
  Code PHP suggéré :
  // routes/session.php
  Route::post('/session/refresh/all', function(Request $request) {
      $user = Auth::user();
      if (!$user) {
          return response()->json(['status' => 'error', 'message' => 'Not authenticated'], 401);
      }
      // Retourner les mêmes données qu'un login normal
      return response()->json([
          'status' => 'success',
          'user' => $user->toArray(),
          'amicale' => $user->amicale,
          'operations' => Operation::where('fk_entite', $user->fk_entite)->get(),
          'sectors' => Sector::where('fk_entite', $user->fk_entite)->get(),
          'passages' => Passage::where('fk_entite', $user->fk_entite)->get(),
          'membres' => Membre::where('fk_entite', $user->fk_entite)->get(),
          'session_id' => session()->getId(),
          'session_expiry' => now()->addDays(7)->toIso8601String()
      ]);
  });
  2. Route /session/refresh/partial
  Méthode : POSTAuthentification : Requise
  Body requis :
  {
    "last_sync": "2024-01-19T10:00:00Z"
  }
  Réponse attendue :
  {
    "status": "success",
    "message": "Partial refresh completed",
    "sectors": [
      // Uniquement les secteurs modifiés après last_sync
      {
        "id": 45,
        "name": "Secteur A",
        "updated_at": "2024-01-19T15:00:00Z",
        // ...
      }
    ],
    "passages": [
      // Uniquement les passages modifiés après last_sync
      {
        "id": 789,
        "fk_sector": 45,
        "updated_at": "2024-01-19T14:30:00Z",
        // ...
      }
    ],
    "operations": [...],  // Si modifiées
    "membres": [...]       // Si modifiés
  }
  Code PHP suggéré :
  // routes/session.php
  Route::post('/session/refresh/partial', function(Request $request) {
      $user = Auth::user();
      if (!$user) {
          return response()->json(['status' => 'error', 'message' => 'Not authenticated'], 401);
      }
      $lastSync = Carbon::parse($request->input('last_sync'));
      // Récupérer uniquement les données modifiées après last_sync
      $response = [
          'status' => 'success',
          'message' => 'Partial refresh completed'
      ];
      // Secteurs modifiés
      $sectors = Sector::where('fk_entite', $user->fk_entite)
                      ->where('updated_at', '>', $lastSync)
                      ->get();
      if ($sectors->count() > 0) {
          $response['sectors'] = $sectors;
      }
      // Passages modifiés
      $passages = Passage::where('fk_entite', $user->fk_entite)
                        ->where('updated_at', '>', $lastSync)
                        ->get();
      if ($passages->count() > 0) {
          $response['passages'] = $passages;
      }
      // Opérations modifiées
      $operations = Operation::where('fk_entite', $user->fk_entite)
                            ->where('updated_at', '>', $lastSync)
                            ->get();
      if ($operations->count() > 0) {
          $response['operations'] = $operations;
      }
      // Membres modifiés
      $membres = Membre::where('fk_entite', $user->fk_entite)
                      ->where('updated_at', '>', $lastSync)
                      ->get();
      if ($membres->count() > 0) {
          $response['membres'] = $membres;
      }
      return response()->json($response);
  });
  Points importants pour l'API :
  1. Vérification de session : Les deux routes doivent vérifier que le session_id est valide et non expiré
  2. Timestamps : Assurez-vous que toutes vos tables ont des colonnes updated_at qui sont mises à jour automatiquement
  3. Gestion des suppressions : Pour le refresh partiel, vous pourriez ajouter un champ pour les éléments supprimés :
  {
    "deleted": {
      "sectors": [12, 34],  // IDs des secteurs supprimés
      "passages": [567, 890]
    }
  }
  4. Optimisation : Pour éviter de surcharger, limitez le refresh partiel aux dernières 24-48h maximum
  5. Gestion d'erreurs :
  {
    "status": "error",
    "message": "Session expired",
    "code": "SESSION_EXPIRED"
  }
  L'app Flutter s'attend à ces formats de réponse et utilisera automatiquement le refresh partiel si la dernière sync
  date de moins de 24h, sinon elle fera un refresh complet.
--- a/api/docs/recu_13718.pdf
+++ b/api/docs/recu_13718.pdf
--- a/api/docs/recu_19500582.pdf
+++ b/api/docs/recu_19500582.pdf
@@ -0,0 +1,93 @@
 %PDF-1.4
 %âãÏÓ
 1 0 obj
 << /Type /Catalog /Pages 2 0 R >>
 endobj
 2 0 obj
 << /Type /Pages /Kids [3 0 R] /Count 1 >>
 endobj
 3 0 obj
 << /Type /Page /Parent 2 0 R /MediaBox [0 0 595 842] /Resources << /Font << /F1 4 0 R >> >> /Contents 5 0 R >>
 endobj
 4 0 obj
 << /Type /Font /Subtype /Type1 /BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding >>
 endobj
 5 0 obj
 << /Length 599 >>
 stream
 BT
 /F1 14 Tf
 217 792 Td
 (AMICALE TEST DEV PIERRE) Tj
 ET
 BT
 /F1 11 Tf
 281 770 Td
 (RENNES) Tj
 ET
 BT
 /F1 14 Tf
 213.5 726 Td
 (RECU FISCAL N 19500582) Tj
 ET
 BT
 /F1 9 Tf
 263.75 704 Td
 (Article 200 CGI) Tj
 ET
 BT
 /F1 12 Tf
 50 657 Td
 (Dugues) Tj
 ET
 BT
 /F1 11 Tf
 50 637 Td
 (8 le Petit Monthelon Acigne) Tj
 ET
 BT
 /F1 16 Tf
 257.5 598 Td
 (8,00 euros) Tj
 ET
 BT
 /F1 12 Tf
 267.5 559 Td
 (20/08/2025) Tj
 ET
 BT
 /F1 10 Tf
 277.5 529 Td
 (OPE 2025) Tj
 ET
 BT
 /F1 9 Tf
 198.5 476 Td
 (Don ouvrant droit a reduction d'impot de 66%) Tj
 ET
 BT
 /F1 10 Tf
 50 419 Td
 (Le 20/08/2025) Tj
 ET
 BT
 /F1 10 Tf
 50 401 Td
 (Le President) Tj
 ET
 endstream
 endobj
 xref
 0 6
 0000000000 65535 f 
 0000000019 00000 n 
 0000000068 00000 n 
 0000000125 00000 n 
 0000000251 00000 n 
 0000000353 00000 n 
 trailer
 << /Size 6 /Root 1 0 R >>
 startxref
 1003
 %%EOF
--- a/api/docs/recu_19500586.pdf
+++ b/api/docs/recu_19500586.pdf
@@ -0,0 +1,75 @@
 %PDF-1.3
 1 0 obj
 << /Type /Catalog /Pages 2 0 R >>
 endobj
 2 0 obj
 << /Type /Pages /Kids [3 0 R] /Count 1 >>
 endobj
 3 0 obj
 << /Type /Page /Parent 2 0 R /MediaBox [0 0 595 842] /Resources << /Font << /F1 4 0 R >> >> /Contents 5 0 R >>
 endobj
 4 0 obj
 << /Type /Font /Subtype /Type1 /BaseFont /Helvetica >>
 endobj
 5 0 obj
 << /Length 767 >>
 stream
 BT
 /F1 12 Tf
 50 750 Td
 (AMICALE TEST DEV PIERRE) Tj
 0 -20 Td
 (17 place hoche 35000 RENNES) Tj
 /F1 16 Tf
 0 -40 Td
 (RECU DE DON N° 19500586) Tj
 /F1 10 Tf
 0 -15 Td
 (Article 200 du Code General des Impots) Tj
 /F1 12 Tf
 0 -45 Td
 (DONATEUR) Tj
 /F1 11 Tf
 0 -20 Td
 (Nom : M. Hermann) Tj
 0 -15 Td
 (Adresse : 12 le Petit Monthelon Acigne) Tj
 0 -15 Td
 (Email : pierre.vaissaire@gmail.com) Tj
 0 -30 Td
 /F1 12 Tf
 (DETAILS DU DON) Tj
 /F1 11 Tf
 0 -20 Td
 (Date : 19/08/2025) Tj
 0 -15 Td
 (Montant : 12,00 EUR) Tj
 0 -15 Td
 (Mode de reglement : Espece) Tj
 0 -15 Td
 (Campagne : OPE 2025) Tj
 /F1 9 Tf
 0 -40 Td
 (Reduction d'impot egale a 66% du montant verse dans la limite de 20% du revenu imposable) Tj
 /F1 11 Tf
 0 -30 Td
 (Fait a RENNES, le 19/08/2025) Tj
 0 -20 Td
 (Le President) Tj
 ET
 endstream
 endobj
 xref
 0 6
 0000000000 65535 f 
 0000000009 00000 n 
 0000000058 00000 n 
 0000000115 00000 n 
 0000000241 00000 n 
 0000000311 00000 n 
 trailer
 << /Size 6 /Root 1 0 R >>
 startxref
 1129
 %%EOF
--- a/api/docs/recu_537254062.pdf
+++ b/api/docs/recu_537254062.pdf
--- a/api/docs/recu_972506460.pdf
+++ b/api/docs/recu_972506460.pdf
--- a/api/docs/traite_batiments.sql
+++ b/api/docs/traite_batiments.sql
@@ -0,0 +1,193 @@
 USE batiments;
 -- Table temp pour FFO (nb_niveau, nb_log)
 DROP TABLE IF EXISTS tmp_ffo_999;
 CREATE TABLE tmp_ffo_999 (
 	batiment_groupe_id VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	nb_niveau INT,
 	annee_construction INT,
 	usage_niveau_1_txt VARCHAR(100),
 	mat_mur_txt VARCHAR(100),
 	mat_toit_txt VARCHAR(100),
 	nb_log INT,
 	KEY (batiment_groupe_id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/batiment_groupe_ffo_bat.csv'
 INTO TABLE tmp_ffo_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Table temp pour Adresse (lien BAN)
 DROP TABLE IF EXISTS tmp_adr_999;
 CREATE TABLE tmp_adr_999 (
 	wkt TEXT,
 	batiment_groupe_id VARCHAR(50),
 	cle_interop_adr VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	classe VARCHAR(50),
 	lien_valide TINYINT,
 	origine VARCHAR(50),
 	KEY (batiment_groupe_id),
 	KEY (cle_interop_adr)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/rel_batiment_groupe_adresse.csv'
 INTO TABLE tmp_adr_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Table temp pour RNC (copropriétés)
 DROP TABLE IF EXISTS tmp_rnc_999;
 CREATE TABLE tmp_rnc_999 (
 	batiment_groupe_id VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	numero_immat_principal VARCHAR(50),
 	periode_construction_max VARCHAR(50),
 	l_annee_construction VARCHAR(100),
 	nb_lot_garpark INT,
 	nb_lot_tot INT,
 	nb_log INT,
 	nb_lot_tertiaire INT,
 	l_nom_copro VARCHAR(200),
 	l_siret VARCHAR(50),
 	copro_dans_pvd TINYINT,
 	KEY (batiment_groupe_id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/batiment_groupe_rnc.csv'
 INTO TABLE tmp_rnc_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Table temp pour BDTOPO (altitude)
 DROP TABLE IF EXISTS tmp_topo_999;
 CREATE TABLE tmp_topo_999 (
 	batiment_groupe_id VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	l_nature VARCHAR(200),
 	l_usage_1 VARCHAR(200),
 	l_usage_2 VARCHAR(200),
 	l_etat VARCHAR(100),
 	hauteur_mean DECIMAL(10,2),
 	max_hauteur DECIMAL(10,2),
 	altitude_sol_mean DECIMAL(10,2),
 	KEY (batiment_groupe_id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/batiment_groupe_bdtopo_bat.csv'
 INTO TABLE tmp_topo_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Table temp pour Usage principal
 DROP TABLE IF EXISTS tmp_usage_999;
 CREATE TABLE tmp_usage_999 (
 	batiment_groupe_id VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	usage_principal_bdnb_open VARCHAR(100),
 	KEY (batiment_groupe_id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/batiment_groupe_synthese_propriete_usage.csv'
 INTO TABLE tmp_usage_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Table temp pour DLE Enedis (compteurs électriques)
 DROP TABLE IF EXISTS tmp_dle_999;
 CREATE TABLE tmp_dle_999 (
 	batiment_groupe_id VARCHAR(50),
 	code_departement_insee VARCHAR(5),
 	millesime VARCHAR(10),
 	nb_pdl_res INT,
 	nb_pdl_pro INT,
 	nb_pdl_tot INT,
 	conso_res DECIMAL(12,2),
 	conso_pro DECIMAL(12,2),
 	conso_tot DECIMAL(12,2),
 	conso_res_par_pdl DECIMAL(12,2),
 	conso_pro_par_pdl DECIMAL(12,2),
 	conso_tot_par_pdl DECIMAL(12,2),
 	KEY (batiment_groupe_id)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 LOAD DATA LOCAL INFILE '/var/osm/csv/batiment_groupe_dle_elec_multimillesime.csv'
 INTO TABLE tmp_dle_999
 CHARACTER SET 'UTF8mb4'
 FIELDS TERMINATED BY ','
 OPTIONALLY ENCLOSED BY '"'
 IGNORE 1 LINES;
 -- Création de la table finale avec jointure et filtre
 DROP TABLE IF EXISTS bat999;
 CREATE TABLE bat999 (
 	batiment_groupe_id VARCHAR(50) PRIMARY KEY,
 	code_departement_insee VARCHAR(5),
 	cle_interop_adr VARCHAR(50),
 	nb_niveau INT,
 	nb_log INT,
 	nb_pdl_tot INT,
 	annee_construction INT,
 	residence VARCHAR(200),
 	usage_principal VARCHAR(100),
 	altitude_sol_mean DECIMAL(10,2),
 	gps_lat DECIMAL(10,7),
 	gps_lng DECIMAL(10,7),
 	KEY (cle_interop_adr),
 	KEY (usage_principal),
 	KEY (nb_log)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
 INSERT INTO bat999
 SELECT
 	f.batiment_groupe_id,
 	f.code_departement_insee,
 	a.cle_interop_adr,
 	f.nb_niveau,
 	f.nb_log,
 	d.nb_pdl_tot,
 	f.annee_construction,
 	REPLACE(REPLACE(REPLACE(REPLACE(r.l_nom_copro, '[', ''), ']', ''), '"', ''), '  ', ' ') as residence,
 	u.usage_principal_bdnb_open as usage_principal,
 	t.altitude_sol_mean,
 	NULL as gps_lat,
 	NULL as gps_lng
 FROM tmp_ffo_999 f
 INNER JOIN tmp_adr_999 a ON f.batiment_groupe_id = a.batiment_groupe_id AND a.lien_valide = 1
 LEFT JOIN tmp_rnc_999 r ON f.batiment_groupe_id = r.batiment_groupe_id
 LEFT JOIN tmp_topo_999 t ON f.batiment_groupe_id = t.batiment_groupe_id
 LEFT JOIN tmp_usage_999 u ON f.batiment_groupe_id = u.batiment_groupe_id
 LEFT JOIN tmp_dle_999 d ON f.batiment_groupe_id = d.batiment_groupe_id
 WHERE u.usage_principal_bdnb_open IN ('Résidentiel individuel', 'Résidentiel collectif', 'Secondaire', 'Tertiaire')
 AND f.nb_log > 1
 AND a.cle_interop_adr IS NOT NULL
 GROUP BY f.batiment_groupe_id;
 -- Mise à jour des coordonnées GPS depuis la base adresses
 UPDATE bat999 b
 JOIN adresses.cp999 a ON b.cle_interop_adr = a.id
 SET b.gps_lat = a.gps_lat, b.gps_lng = a.gps_lng
 WHERE b.cle_interop_adr IS NOT NULL;
 -- Nettoyage des tables temporaires
 DROP TABLE IF EXISTS tmp_ffo_999;
 DROP TABLE IF EXISTS tmp_adr_999;
 DROP TABLE IF EXISTS tmp_rnc_999;
 DROP TABLE IF EXISTS tmp_topo_999;
 DROP TABLE IF EXISTS tmp_usage_999;
 DROP TABLE IF EXISTS tmp_dle_999;
 -- Historique
 INSERT INTO _histo SET date_import=NOW(), dept='999', nb_batiments=(SELECT COUNT(*) FROM bat999);
--- a/api/docs/x_departements_contours.sql
+++ b/api/docs/x_departements_contours.sql
--- a/api/docs/x_departements_contours_corrected.sql
+++ b/api/docs/x_departements_contours_corrected.sql
--- a/api/docs/x_departements_contours_fixed.sql
+++ b/api/docs/x_departements_contours_fixed.sql
--- a/api/export_operation.php
+++ b/api/export_operation.php
@@ -0,0 +1,145 @@
 <?php
 use PhpOffice\PhpSpreadsheet\Spreadsheet;
 use PhpOffice\PhpSpreadsheet\Writer\Xlsx;
 global $Session, $Conf, $Route;
 // appel de geolib en admin
 require_once __DIR__ . '/../pub/res/php/geolib.php';
 function nettoie_input($input) {
    return htmlspecialchars(strip_tags(trim($input)));
 }
 function getinfos($sql) {
    // This is a placeholder function. Replace with actual database query logic.
    // For example, you might use PDO to execute the query and return the results.
    // $db = Database::getInstance();
    // $stmt = $db->prepare($sql);
    // $stmt->execute();
    // return $stmt->fetchAll(PDO::FETCH_ASSOC);
    return [];
 }
 function eLog($message) {
    error_log($message);
 }
 switch ($Route->_action) {
    case "export_operation":
        $data = json_decode(file_get_contents("php://input"));
        if (isset($data->cid)) {
            $cid = nettoie_input($data->cid);
            $idMembre = "0";
            $libMembre = "";
            if (isset($data->idMembre) && isset($data->libMembre)) {
                $idMembre = nettoie_input($data->idMembre);
                $libMembre = nettoie_input($data->libMembre);
            }
            // On crée le dossier de l'amicale s'il n'est pas déjà créé
            $dir = 'pub/files/upload/' . $Conf->_entite["rowid"];
            if (!is_dir($dir)) {
                mkdir($dir, 0777, true);
            }
            $sql = 'SELECT p.date_eve, u.prenom, u.libelle AS nom, u.nom_tournee, p.fk_type, p.numero, p.rue_bis, p.rue, p.ville, p.fk_habitat, p.appt, p.niveau, p.libelle, p.email, p.phone, p.montant, xtr.libelle AS reglement, p.remarque FROM ope_pass p LEFT JOIN users u ON u.rowid=p.fk_user LEFT JOIN x_types_reglements xtr ON xtr.rowid=p.fk_type_reglement WHERE p.fk_operation=' . $cid;
            if ($idMembre != "0") {
                $sql .= ' AND p.fk_user=' . $idMembre . ';';
            }
            $pass = getinfos($sql);
            $aData = array();
            $aData[] = array(
                'Date',
                'Heure',
                'Prenom',
                'Nom',
                'Tournee',
                'Type',
                'N°',
                'Rue',
                'Ville',
                'Habitat',
                'Donateur',
                'Email',
                'Tel',
                'Montant',
                'Reglement',
                'Remarque'
            );
            foreach ($pass as $p) {
                switch ($p["fk_type"]) {
                    case 1:
                        $ptype = "Effectué";
                        $preglement = $p["reglement"];
                        break;
                    case 2:
                        $ptype = "A finaliser";
                        $preglement = "";
                        break;
                    case 3:
                        $ptype = "Refusé";
                        $preglement = "";
                        break;
                    case 4:
                        $ptype = "Don";
                        $preglement = "";
                        break;
                    case 9:
                        $ptype = "Habitat vide";
                        $preglement = "";
                        break;
                    default:
                        $ptype = $p["fk_type"];
                        $preglement = "";
                        break;
                }
                if ($p["fk_habitat"] == 1) {
                    $phabitat = "Individuel";
                } else {
                    $phabitat = "Etage " . $p["niveau"] . " - Appt " . $p["appt"];
                }
                $dateEve = date("d/m/Y", strtotime($p["date_eve"]));
                $heureEve = date("H:i", strtotime($p["date_eve"]));
                $nom = str_replace("/", "-", $p["nom"]);
                $tournee = str_replace("/", "-", $p["nom_tournee"]);
                $aData[] = array(
                    $dateEve,
                    $heureEve,
                    $p["prenom"],
                    $nom,
                    $tournee,
                    $ptype,
                    $p["numero"] . $p["rue_bis"],
                    $p["rue"],
                    $p["ville"],
                    $phabitat,
                    $p["libelle"],
                    $p["email"],
                    $p["phone"],
                    $p["montant"],
                    $preglement,
                    $p["remarque"]
                );
            }
            $spreadsheet = new \PhpOffice\PhpSpreadsheet\Spreadsheet();
            $activeWorksheet = $spreadsheet->getActiveSheet()
                ->fromArray($aData, null, 'A1');
            $writer = new Xlsx($spreadsheet);
            if ($idMembre == "0") {
                $xlsxName = $dir . '/geosector-ope-' . $cid . '-' . date("Ymd-His") . '.xlsx';
            } else {
                $libMembre = str_replace("/", "-", $libMembre);
                $libMembre = str_replace("*", "-", $libMembre);
                $xlsxName = $dir . '/geosector-ope-' . $cid . '-' . $libMembre . '-' . date("Ymd-His") . '.xlsx';
            }
            eLog("Export Operation : " . $xlsxName);
            $writer->save($xlsxName);
            $ret = array('url' => $xlsxName);
            echo json_encode($ret);
        }
        break;
 }
--- a/api/index.php
+++ b/api/index.php
@@ -7,6 +7,7 @@ require_once __DIR__ . '/bootstrap.php';
 // Chargement des fichiers principaux
 require_once __DIR__ . '/src/Config/AppConfig.php';
 require_once __DIR__ . '/src/Core/Database.php';
 require_once __DIR__ . '/src/Core/AddressesDatabase.php';
 require_once __DIR__ . '/src/Core/Router.php';
 require_once __DIR__ . '/src/Core/Session.php';
 require_once __DIR__ . '/src/Core/Request.php';
@@ -14,19 +15,46 @@ require_once __DIR__ . '/src/Core/Response.php';
 require_once __DIR__ . '/src/Utils/ClientDetector.php';
 require_once __DIR__ . '/src/Services/LogService.php';
 // Chargement des services
 require_once __DIR__ . '/src/Services/StripeService.php';
 // Chargement des services de sécurité
 require_once __DIR__ . '/src/Services/Security/PerformanceMonitor.php';
 require_once __DIR__ . '/src/Services/Security/IPBlocker.php';
 require_once __DIR__ . '/src/Services/Security/SecurityMonitor.php';
 require_once __DIR__ . '/src/Services/Security/AlertService.php';
 // Chargement de la classe Controller de base
 require_once __DIR__ . '/src/Core/Controller.php';
 // Chargement des contrôleurs
 require_once __DIR__ . '/src/Controllers/LogController.php';
 require_once __DIR__ . '/src/Controllers/LoginController.php';
 require_once __DIR__ . '/src/Controllers/EntiteController.php';
 require_once __DIR__ . '/src/Controllers/UserController.php';
 require_once __DIR__ . '/src/Controllers/OperationController.php';
 require_once __DIR__ . '/src/Controllers/PassageController.php';
 require_once __DIR__ . '/src/Controllers/VilleController.php';
 require_once __DIR__ . '/src/Controllers/FileController.php';
 require_once __DIR__ . '/src/Controllers/SectorController.php';
 require_once __DIR__ . '/src/Controllers/PasswordController.php';
 require_once __DIR__ . '/src/Controllers/ChatController.php';
 require_once __DIR__ . '/src/Controllers/SecurityController.php';
 require_once __DIR__ . '/src/Controllers/StripeController.php';
 require_once __DIR__ . '/src/Controllers/StripeWebhookController.php';
 require_once __DIR__ . '/src/Controllers/MigrationController.php';
 require_once __DIR__ . '/src/Controllers/HealthController.php';
 // Initialiser la configuration
 $appConfig = AppConfig::getInstance();
 $config = $appConfig->getFullConfig();
-// Initialiser la base de données
+// Initialiser la base de données principale
 Database::init($config['database']);
 // Initialiser la base de données des adresses
 AddressesDatabase::init($appConfig->getAddressesDatabaseConfig());
 // Configuration CORS
 $origin = $_SERVER['HTTP_ORIGIN'] ?? '';
 $allowedOrigins = $config['api']['allowed_origins'];
@@ -47,8 +75,141 @@ if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
 // Initialiser la session
 Session::start();
 // ===== DÉBUT DU MONITORING DE SÉCURITÉ =====
 use App\Services\Security\PerformanceMonitor;
 use App\Services\Security\IPBlocker;
 use App\Services\Security\SecurityMonitor;
 use App\Services\Security\AlertService;
 // Obtenir l'IP du client
 $clientIp = $_SERVER['REMOTE_ADDR'] ?? 'unknown';
 // Vérifier si l'IP est bloquée
 if (IPBlocker::isBlocked($clientIp)) {
    http_response_code(403);
    Response::json([
        'status' => 'error',
        'message' => 'Access denied. Your IP has been blocked.',
        'error_code' => 'IP_BLOCKED'
    ], 403);
    exit;
 }
 // Vérifier le rate limiting
 if (!SecurityMonitor::checkRateLimit($clientIp)) {
    http_response_code(429);
    Response::json([
        'status' => 'error',
        'message' => 'Too many requests. Please try again later.',
        'error_code' => 'RATE_LIMIT_EXCEEDED'
    ], 429);
    exit;
 }
 // Démarrer le monitoring de performance
 PerformanceMonitor::startRequest();
 // Capturer le endpoint pour le monitoring
 $requestUri = $_SERVER['REQUEST_URI'] ?? '/';
 $requestMethod = $_SERVER['REQUEST_METHOD'] ?? 'GET';
 // Vérifier les patterns de scan
 if (!SecurityMonitor::checkScanPattern($requestUri)) {
    // Pattern suspect détecté, bloquer l'IP temporairement
    IPBlocker::block($clientIp, 3600, 'Suspicious scan pattern detected');
    http_response_code(404);
    Response::json([
        'status' => 'error',
        'message' => 'Not found'
    ], 404);
    exit;
 }
 // Vérifier les paramètres pour injection SQL
 $allParams = array_merge($_GET, $_POST, json_decode(file_get_contents('php://input'), true) ?? []);
 if (!empty($allParams) && !SecurityMonitor::checkRequestParameters($allParams)) {
    // Injection SQL détectée, bloquer l'IP définitivement
    IPBlocker::blockPermanent($clientIp, 'SQL injection attempt');
    http_response_code(400);
    Response::json([
        'status' => 'error',
        'message' => 'Bad request'
    ], 400);
    exit;
 }
 // Créer l'instance de routeur
 $router = new Router();
 // Enregistrer une fonction de shutdown pour capturer les métriques
 register_shutdown_function(function() use ($requestUri, $requestMethod) {
    $statusCode = http_response_code();
    // Terminer le monitoring de performance
    PerformanceMonitor::endRequest($requestUri, $requestMethod, $statusCode);
    // Vérifier les patterns 404
    if ($statusCode === 404) {
        $clientIp = $_SERVER['REMOTE_ADDR'] ?? 'unknown';
        SecurityMonitor::check404Pattern($clientIp);
    }
    // Alerter sur les erreurs 500
    if ($statusCode >= 500) {
        $error = error_get_last();
        $errorMessage = $error['message'] ?? null;
        // Si pas d'erreur PHP, c'est probablement une exception capturée
        // Le détail de l'erreur sera dans les logs applicatifs
        if ($errorMessage === null) {
            $errorMessage = 'Exception capturée (voir logs/app.log pour détails)';
        }
        AlertService::trigger('HTTP_500', [
            'endpoint' => $requestUri,
            'method' => $requestMethod,
            'error_message' => $errorMessage,
            'error_file' => $error['file'] ?? 'N/A',
            'error_line' => $error['line'] ?? 0,
            'stack_trace' => 'Consulter logs/app.log pour le stack trace complet',
            'message' => "Erreur serveur 500 sur $requestUri"
        ], 'ERROR');
    }
    // Nettoyer périodiquement les IPs expirées (1% de chance)
    if (rand(1, 100) === 1) {
        IPBlocker::cleanupExpired();
    }
 });
 // Gérer les erreurs non capturées
 set_exception_handler(function($exception) use ($requestUri, $requestMethod) {
    // Logger l'erreur
    error_log("Uncaught exception: " . $exception->getMessage());
    // Créer une alerte
    AlertService::trigger('UNCAUGHT_EXCEPTION', [
        'endpoint' => $requestUri,
        'method' => $requestMethod,
        'exception' => get_class($exception),
        'message' => $exception->getMessage(),
        'file' => $exception->getFile(),
        'line' => $exception->getLine(),
        'trace' => substr($exception->getTraceAsString(), 0, 1000)
    ], 'ERROR');
    // Retourner une erreur 500
    http_response_code(500);
    Response::json([
        'status' => 'error',
        'message' => 'Internal server error'
    ], 500);
 });
 // Gérer la requête
-$router->handle();
+try {
    $router->handle();
 } catch (Exception $e) {
    // Les exceptions sont gérées par le handler ci-dessus
    throw $e;
 }
--- a/api/livre-api.sh
+++ b/api/livre-api.sh
@@ -1,144 +0,0 @@
 #!/bin/bash
 # Vérification des arguments
 if [ $# -ne 2 ]; then
    echo "Usage: $0 <source_container> <destination_container>"
    echo "Example: $0 dva-geo rca-geo"
    exit 1
 fi
 HOST_IP="195.154.80.116"
 HOST_USER=root
 HOST_KEY=/Users/pierre/.ssh/id_rsa_mbpi
 HOST_PORT=22
 SOURCE_CONTAINER=$1
 DEST_CONTAINER=$2
 API_PATH="/var/www/geosector/api"
 TIMESTAMP=$(date +"%Y%m%d_%H%M%S")
 BACKUP_DIR="${API_PATH}_backup_${TIMESTAMP}"
 PROJECT="default"
 echo "🔄 Copie de l'API de $SOURCE_CONTAINER vers $DEST_CONTAINER (projet: $PROJECT)"
 # Vérifier si les containers existent
 echo "🔍 Vérification des containers..."
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus info $SOURCE_CONTAINER --project $PROJECT" > /dev/null 2>&1
 if [ $? -ne 0 ]; then
    echo "❌ Erreur: Le container source $SOURCE_CONTAINER n'existe pas ou n'est pas accessible dans le projet $PROJECT"
    exit 1
 fi
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus info $DEST_CONTAINER --project $PROJECT" > /dev/null 2>&1
 if [ $? -ne 0 ]; then
    echo "❌ Erreur: Le container destination $DEST_CONTAINER n'existe pas ou n'est pas accessible dans le projet $PROJECT"
    exit 1
 fi
 # Créer une sauvegarde du dossier de destination avant de le remplacer
 echo "📦 Création d'une sauvegarde sur $DEST_CONTAINER..."
 # Vérifier si le dossier API existe
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d $API_PATH"
 if [ $? -eq 0 ]; then
    # Le dossier existe, créer une sauvegarde
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- cp -r $API_PATH $BACKUP_DIR"
    echo "✅ Sauvegarde créée dans $BACKUP_DIR"
 else
    echo "⚠️ Le dossier API n'existe pas sur la destination"
 fi
 # Sauvegarder spécifiquement le dossier logs
 echo "📋 Sauvegarde du dossier logs..."
 # Vérifier si le dossier logs existe
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d $API_PATH/logs"
 if [ $? -eq 0 ]; then
    # Le dossier logs existe, le sauvegarder
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- mkdir -p /tmp/geosector_logs_backup"
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- cp -r $API_PATH/logs /tmp/geosector_logs_backup/"
    echo "✅ Dossier logs sauvegardé temporairement"
 else
    echo "⚠️ Le dossier logs n'existe pas sur la destination"
 fi
 # Copier le dossier API entre les containers
 echo "📋 Copie des fichiers en cours..."
 # Approche directe: utiliser incus copy pour copier directement entre containers
 echo "📤 Transfert direct entre containers..."
 # Nettoyer le dossier de destination
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- rm -rf $API_PATH"
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- mkdir -p $API_PATH"
 # Copier directement du container source vers le container destination
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $SOURCE_CONTAINER --project $PROJECT -- tar -cf - -C $API_PATH . | incus exec $DEST_CONTAINER --project $PROJECT -- tar -xf - -C $API_PATH"
 if [ $? -ne 0 ]; then
    echo "❌ Erreur lors du transfert direct entre containers"
    echo "⚠️ Tentative de restauration de la sauvegarde..."
    # Vérifier si la sauvegarde existe
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d $BACKUP_DIR"
    if [ $? -eq 0 ]; then
        # La sauvegarde existe, la restaurer
        ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- cp -r $BACKUP_DIR $API_PATH"
        echo "✅ Restauration réussie"
    else
        echo "❌ Échec de la restauration"
    fi
    exit 1
 fi
 # Pas de fichiers temporaires à nettoyer avec cette approche
 # Restaurer le dossier logs
 echo "📋 Restauration du dossier logs..."
 # Vérifier si la sauvegarde des logs existe
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d /tmp/geosector_logs_backup/logs"
 if [ $? -eq 0 ]; then
    # La sauvegarde des logs existe, la restaurer
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- mkdir -p $API_PATH/logs"
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- cp -r /tmp/geosector_logs_backup/logs/* $API_PATH/logs/"
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- rm -rf /tmp/geosector_logs_backup"
    echo "✅ Dossier logs restauré"
 else
    echo "⚠️ Aucune sauvegarde de logs à restaurer"
 fi
 # Changer le propriétaire et les permissions des fichiers
 echo "👤 Application des droits et permissions pour tous les fichiers..."
 # Définir le propriétaire pour tous les fichiers
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- chown -R nginx:nginx $API_PATH"
 # Appliquer les permissions de base pour les dossiers (755)
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- find $API_PATH -type d -exec chmod 755 {} \;"
 # Appliquer les permissions pour les fichiers (644)
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- find $API_PATH -type f -exec chmod 644 {} \;"
 # Appliquer des permissions spécifiques pour le dossier logs (pour permettre à PHP-FPM de l'utilisateur nobody d'y écrire)
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d $API_PATH/logs"
 if [ $? -eq 0 ]; then
    # Changer le groupe du dossier logs à nobody (utilisateur PHP-FPM)
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- chown -R nginx:nobody $API_PATH/logs"
    # Appliquer les permissions 775 pour le dossier
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- chmod -R 775 $API_PATH/logs"
    # Appliquer les permissions 664 pour les fichiers
    ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- find $API_PATH/logs -type f -exec chmod 664 {} \;"
    echo "✅ Droits spécifiques appliqués au dossier logs (nginx:nobody avec permissions 775/664)"
 else
    echo "⚠️ Le dossier logs n'existe pas"
 fi
 echo "✅ Propriétaire et permissions appliqués avec succès"
 # Vérifier la copie
 echo "✅ Vérification de la copie..."
 ssh -i $HOST_KEY -p $HOST_PORT $HOST_USER@$HOST_IP "incus exec $DEST_CONTAINER --project $PROJECT -- test -d $API_PATH"
 if [ $? -eq 0 ]; then
    echo "✅ Copie réussie"
 else
    echo "❌ Erreur: Le dossier API n'a pas été copié correctement"
 fi
 echo "✅ Opération terminée! L'API a été copiée de $SOURCE_CONTAINER vers $DEST_CONTAINER"
 echo "📁 Une sauvegarde a été créée dans $BACKUP_DIR sur $DEST_CONTAINER"
 echo "👤 Les fichiers appartiennent maintenant à l'utilisateur nginx"
--- a/api/migration_add_departements_contours.sql
+++ b/api/migration_add_departements_contours.sql
@@ -0,0 +1,28 @@
 -- Table pour stocker les contours (polygones) des départements
 CREATE TABLE IF NOT EXISTS `x_departements_contours` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `code_dept` varchar(3) NOT NULL COMMENT 'Code département (22, 2A, 971...)',
  `nom_dept` varchar(100) NOT NULL,
  `contour` POLYGON NOT NULL COMMENT 'Polygone du contour du département',
  `bbox_min_lat` decimal(10,8) DEFAULT NULL COMMENT 'Latitude min de la bounding box',
  `bbox_max_lat` decimal(10,8) DEFAULT NULL COMMENT 'Latitude max de la bounding box',
  `bbox_min_lng` decimal(11,8) DEFAULT NULL COMMENT 'Longitude min de la bounding box',
  `bbox_max_lng` decimal(11,8) DEFAULT NULL COMMENT 'Longitude max de la bounding box',
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `updated_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`id`),
  UNIQUE KEY `idx_code_dept` (`code_dept`),
  SPATIAL KEY `idx_contour` (`contour`)
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 -- Index pour améliorer les performances
 CREATE INDEX idx_dept_bbox ON x_departements_contours (bbox_min_lat, bbox_max_lat, bbox_min_lng, bbox_max_lng);
 -- Exemples d'insertion (à remplacer par les vraies données)
 -- Les coordonnées doivent être dans l'ordre : longitude latitude
 -- Le polygone doit être fermé (premier point = dernier point)
 /*
 INSERT INTO x_departements_contours (code_dept, nom_dept, contour, bbox_min_lat, bbox_max_lat, bbox_min_lng, bbox_max_lng) VALUES
 ('22', 'Côtes-d\'Armor', ST_GeomFromText('POLYGON((-3.65 48.90, -2.00 48.90, -2.00 48.05, -3.65 48.05, -3.65 48.90))'), 48.05, 48.90, -3.65, -2.00),
 ('29', 'Finistère', ST_GeomFromText('POLYGON((-5.14 48.75, -3.38 48.75, -3.38 47.64, -5.14 47.64, -5.14 48.75))'), 47.64, 48.75, -5.14, -3.38);
 */
--- a/api/migration_add_file_category.sql
+++ b/api/migration_add_file_category.sql
@@ -0,0 +1,26 @@
 -- Migration pour ajouter la colonne file_category à la table medias
 -- Date: 2025-06-22
 -- Description: Ajout du champ file_category pour distinguer les types métier des fichiers
 -- Ajout de la colonne file_category
 ALTER TABLE `medias` 
 ADD COLUMN `file_category` varchar(50) DEFAULT NULL COMMENT 'Catégorie du fichier (logo, carte, photo, document, etc.)' AFTER `file_type`;
 -- Ajout de l'index pour optimiser les requêtes
 ALTER TABLE `medias`
 ADD INDEX `idx_file_category` (`file_category`);
 -- Mise à jour des données existantes avec des catégories par défaut selon le support
 UPDATE `medias` SET `file_category` = 'document' WHERE `support` = 'entite' AND `file_category` IS NULL;
 UPDATE `medias` SET `file_category` = 'avatar' WHERE `support` = 'user' AND `file_category` IS NULL;
 UPDATE `medias` SET `file_category` = 'export' WHERE `support` = 'operation' AND `file_category` IS NULL;
 UPDATE `medias` SET `file_category` = 'recu' WHERE `support` = 'passage' AND `file_category` IS NULL;
 -- Vérification des modifications
 SELECT 
    support,
    file_category,
    COUNT(*) as count
 FROM medias 
 GROUP BY support, file_category
 ORDER BY support, file_category;
--- a/api/migration_add_ope_users_fields.sql
+++ b/api/migration_add_ope_users_fields.sql
@@ -0,0 +1,16 @@
 -- Migration pour ajouter les champs utilisateur dans ope_users
 -- Date: 2025-06-23
 -- Description: Ajout des champs fk_role, first_name, encrypted_name, sect_name dans ope_users
 --              pour conserver un historique propre de chaque opération
 USE geo_app;
 -- Ajout des nouvelles colonnes dans ope_users
 ALTER TABLE ope_users 
 ADD COLUMN fk_role int unsigned DEFAULT 1 AFTER fk_user,
 ADD COLUMN first_name varchar(45) DEFAULT '' AFTER fk_role,
 ADD COLUMN encrypted_name varchar(255) DEFAULT '' AFTER first_name,
 ADD COLUMN sect_name varchar(60) DEFAULT '' AFTER encrypted_name;
 -- Vérification de la structure modifiée
 DESCRIBE ope_users;
--- a/api/migration_add_sectors_adresses.sql
+++ b/api/migration_add_sectors_adresses.sql
@@ -0,0 +1,29 @@
 -- Migration pour ajouter la table sectors_adresses
 -- Cette table stocke les adresses associées à chaque secteur
 CREATE TABLE IF NOT EXISTS `sectors_adresses` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `fk_sector` int(11) NOT NULL,
  `fk_address` bigint(20) NOT NULL COMMENT 'ID de l''adresse dans la base adresses',
  `numero` varchar(10) DEFAULT NULL,
  `voie` varchar(255) DEFAULT NULL,
  `code_postal` varchar(5) DEFAULT NULL,
  `commune` varchar(100) DEFAULT NULL,
  `latitude` decimal(10,8) NOT NULL,
  `longitude` decimal(11,8) NOT NULL,
  `created_at` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP,
  PRIMARY KEY (`id`),
  KEY `idx_sector` (`fk_sector`),
  KEY `idx_address` (`fk_address`),
  KEY `idx_code_postal` (`code_postal`),
  KEY `idx_commune` (`commune`),
  KEY `idx_coords` (`latitude`, `longitude`),
  CONSTRAINT `fk_sectors_adresses_sector` FOREIGN KEY (`fk_sector`) REFERENCES `ope_sectors` (`id`) ON DELETE CASCADE
 ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;
 -- Index pour améliorer les performances des requêtes géographiques
 CREATE INDEX idx_sectors_adresses_geo ON sectors_adresses (fk_sector, latitude, longitude);
 -- Commentaire sur la table
 ALTER TABLE `sectors_adresses` 
 COMMENT = 'Table de liaison entre les secteurs et les adresses géographiques contenues dans leurs périmètres';
--- a/api/migrations/add_dept_limitrophes.sql
+++ b/api/migrations/add_dept_limitrophes.sql
@@ -0,0 +1,45 @@
 -- Ajout du champ dept_limitrophes dans la table x_departements
 -- Ce champ contiendra la liste des codes départements limitrophes séparés par des virgules
 -- Exemple : "22,35,44,56" pour le Morbihan (56)
 ALTER TABLE x_departements 
 ADD COLUMN dept_limitrophes VARCHAR(100) DEFAULT NULL 
 COMMENT 'Liste des codes départements limitrophes séparés par des virgules'
 AFTER libelle;
 -- Exemples de mise à jour pour quelques départements bretons
 -- À compléter avec tous les départements
 -- Côtes-d'Armor (22) : limitrophe avec 29, 35, 56
 UPDATE x_departements SET dept_limitrophes = '29,35,56' WHERE code = '22';
 -- Finistère (29) : limitrophe avec 22, 56
 UPDATE x_departements SET dept_limitrophes = '22,56' WHERE code = '29';
 -- Ille-et-Vilaine (35) : limitrophe avec 22, 44, 49, 50, 53, 56
 UPDATE x_departements SET dept_limitrophes = '22,44,49,50,53,56' WHERE code = '35';
 -- Morbihan (56) : limitrophe avec 22, 29, 35, 44
 UPDATE x_departements SET dept_limitrophes = '22,29,35,44' WHERE code = '56';
 -- Loire-Atlantique (44) : limitrophe avec 35, 49, 56, 85
 UPDATE x_departements SET dept_limitrophes = '35,49,56,85' WHERE code = '44';
 -- Hauts-de-France
 -- Aisne (02) : limitrophe avec 08, 51, 59, 60, 77, 80
 UPDATE x_departements SET dept_limitrophes = '08,51,59,60,77,80' WHERE code = '02';
 -- Nord (59) : limitrophe avec 02, 62, 80 (+ frontière Belgique)
 UPDATE x_departements SET dept_limitrophes = '02,62,80' WHERE code = '59';
 -- Oise (60) : limitrophe avec 02, 27, 76, 77, 80, 95
 UPDATE x_departements SET dept_limitrophes = '02,27,76,77,80,95' WHERE code = '60';
 -- Pas-de-Calais (62) : limitrophe avec 59, 80
 UPDATE x_departements SET dept_limitrophes = '59,80' WHERE code = '62';
 -- Somme (80) : limitrophe avec 02, 27, 59, 60, 62, 76
 UPDATE x_departements SET dept_limitrophes = '02,27,59,60,62,76' WHERE code = '80';
 -- Note : Ces données sont à compléter pour tous les départements français
 -- Source recommandée : données INSEE ou IGN pour la liste complète et exacte
--- a/api/migrations/integrate_contours_to_departements.sql
+++ b/api/migrations/integrate_contours_to_departements.sql
@@ -0,0 +1,55 @@
 -- Script pour intégrer les données de x_departements_contours dans x_departements
 -- Ce script ajoute une colonne contour à x_departements et y copie les données
 -- Note : Les colonnes bbox_* ne sont pas migrées car elles ne sont pas utilisées dans l'API
 -- 1. Ajouter la colonne contour à x_departements si elle n'existe pas déjà
 ALTER TABLE x_departements 
 ADD COLUMN IF NOT EXISTS contour GEOMETRY DEFAULT NULL 
 COMMENT 'Contour géographique du département'
 AFTER dept_limitrophes;
 -- 2. Mettre à jour x_departements avec les contours depuis x_departements_contours
 -- On copie directement les contours non NULL
 UPDATE x_departements d
 INNER JOIN x_departements_contours dc ON d.code = dc.code_dept
 SET d.contour = dc.contour
 WHERE dc.contour IS NOT NULL;
 -- 3. Vérifier les départements sans contour (hors DOM-TOM et Corse historique)
 SELECT 
    d.code, 
    d.libelle,
    CASE 
        WHEN d.code IN ('20', '971', '972', '973', '974', '975', '976') THEN 'DOM-TOM ou Corse historique - Normal'
        WHEN d.contour IS NULL THEN 'Pas de contour'
        ELSE 'OK'
    END as statut
 FROM x_departements d
 WHERE d.contour IS NULL
  AND d.code NOT IN ('20', '971', '972', '973', '974', '975', '976')
 ORDER BY d.code;
 -- 4. Créer l'index spatial 
 -- Les valeurs NULL sont autorisées dans un index spatial MySQL
 ALTER TABLE x_departements 
 ADD SPATIAL INDEX idx_contour (contour);
 -- 5. Vérifier le nombre de départements mis à jour
 SELECT 
    COUNT(*) as total_departements,
    SUM(CASE WHEN contour IS NOT NULL THEN 1 ELSE 0 END) as departements_avec_contour,
    SUM(CASE WHEN contour IS NULL THEN 1 ELSE 0 END) as departements_sans_contour
 FROM x_departements;
 -- 6. Lister les départements qui n'ont pas de contour (s'il y en a)
 SELECT code, libelle 
 FROM x_departements 
 WHERE contour IS NULL
 ORDER BY code;
 -- 7. Optionnel : Après vérification, vous pouvez supprimer la table x_departements_contours
 -- ATTENTION : Ne décommentez cette ligne qu'après avoir vérifié que toutes les données sont bien migrées
 -- DROP TABLE IF EXISTS x_departements_contours;
 -- 8. Mettre à jour les statistiques de la table pour optimiser les requêtes spatiales
 ANALYZE TABLE x_departements;
--- a/api/migrations/update_all_dept_limitrophes.sql
+++ b/api/migrations/update_all_dept_limitrophes.sql
@@ -0,0 +1,131 @@
 -- Mise à jour complète des départements limitrophes pour tous les départements français
 -- Format : liste des codes départements séparés par des virgules
 -- Auvergne-Rhône-Alpes
 UPDATE x_departements SET dept_limitrophes = '07,15,43,48' WHERE code = '01'; -- Ain : Ardèche, Cantal, Haute-Loire, Lozère
 UPDATE x_departements SET dept_limitrophes = '04,05,26,84' WHERE code = '03'; -- Allier : Alpes-de-Haute-Provence, Hautes-Alpes, Drôme, Vaucluse
 UPDATE x_departements SET dept_limitrophes = '01,26,30,43,48,84' WHERE code = '07'; -- Ardèche : Ain, Drôme, Gard, Haute-Loire, Lozère, Vaucluse
 UPDATE x_departements SET dept_limitrophes = '12,19,43,46,48' WHERE code = '15'; -- Cantal : Aveyron, Corrèze, Haute-Loire, Lot, Lozère
 UPDATE x_departements SET dept_limitrophes = '04,05,73,84' WHERE code = '26'; -- Drôme : Alpes-de-Haute-Provence, Hautes-Alpes, Savoie, Vaucluse
 UPDATE x_departements SET dept_limitrophes = '05,06,13,73' WHERE code = '38'; -- Isère : Hautes-Alpes, Alpes-Maritimes, Bouches-du-Rhône, Savoie
 UPDATE x_departements SET dept_limitrophes = '07,15,19,43,48,63' WHERE code = '42'; -- Loire : Ardèche, Cantal, Corrèze, Haute-Loire, Lozère, Puy-de-Dôme
 UPDATE x_departements SET dept_limitrophes = '01,07,15,42,48,63' WHERE code = '43'; -- Haute-Loire : Ain, Ardèche, Cantal, Loire, Lozère, Puy-de-Dôme
 UPDATE x_departements SET dept_limitrophes = '03,15,23,42,43' WHERE code = '63'; -- Puy-de-Dôme : Allier, Cantal, Creuse, Loire, Haute-Loire
 UPDATE x_departements SET dept_limitrophes = '01,38,39,71' WHERE code = '69'; -- Rhône : Ain, Isère, Jura, Saône-et-Loire
 UPDATE x_departements SET dept_limitrophes = '01,25,38,39,74' WHERE code = '73'; -- Savoie : Ain, Doubs, Isère, Jura, Haute-Savoie
 UPDATE x_departements SET dept_limitrophes = '01,73' WHERE code = '74'; -- Haute-Savoie : Ain, Savoie (+ frontières Suisse et Italie)
 -- Bourgogne-Franche-Comté
 UPDATE x_departements SET dept_limitrophes = '10,45,52,58,77,89' WHERE code = '21'; -- Côte-d'Or : Aube, Loiret, Haute-Marne, Nièvre, Seine-et-Marne, Yonne
 UPDATE x_departements SET dept_limitrophes = '39,68,70,73,90' WHERE code = '25'; -- Doubs : Jura, Haut-Rhin, Haute-Saône, Savoie, Territoire de Belfort (+ frontière Suisse)
 UPDATE x_departements SET dept_limitrophes = '01,25,69,70,71,73' WHERE code = '39'; -- Jura : Ain, Doubs, Rhône, Haute-Saône, Saône-et-Loire, Savoie
 UPDATE x_departements SET dept_limitrophes = '03,18,21,45,71,89' WHERE code = '58'; -- Nièvre : Allier, Cher, Côte-d'Or, Loiret, Saône-et-Loire, Yonne
 UPDATE x_departements SET dept_limitrophes = '21,25,39,52,88' WHERE code = '70'; -- Haute-Saône : Côte-d'Or, Doubs, Jura, Haute-Marne, Vosges
 UPDATE x_departements SET dept_limitrophes = '01,03,21,39,58,69' WHERE code = '71'; -- Saône-et-Loire : Ain, Allier, Côte-d'Or, Jura, Nièvre, Rhône
 UPDATE x_departements SET dept_limitrophes = '10,21,45,58,77' WHERE code = '89'; -- Yonne : Aube, Côte-d'Or, Loiret, Nièvre, Seine-et-Marne
 UPDATE x_departements SET dept_limitrophes = '25,68,70' WHERE code = '90'; -- Territoire de Belfort : Doubs, Haut-Rhin, Haute-Saône
 -- Bretagne
 UPDATE x_departements SET dept_limitrophes = '29,35,56' WHERE code = '22'; -- Côtes-d'Armor
 UPDATE x_departements SET dept_limitrophes = '22,56' WHERE code = '29'; -- Finistère
 UPDATE x_departements SET dept_limitrophes = '22,44,49,50,53,56' WHERE code = '35'; -- Ille-et-Vilaine
 UPDATE x_departements SET dept_limitrophes = '22,29,35,44' WHERE code = '56'; -- Morbihan
 -- Centre-Val de Loire
 UPDATE x_departements SET dept_limitrophes = '03,23,36,41,58' WHERE code = '18'; -- Cher
 UPDATE x_departements SET dept_limitrophes = '27,37,41,45,61,72,78,91' WHERE code = '28'; -- Eure-et-Loir
 UPDATE x_departements SET dept_limitrophes = '18,23,37,41,86,87' WHERE code = '36'; -- Indre
 UPDATE x_departements SET dept_limitrophes = '36,41,49,72,86' WHERE code = '37'; -- Indre-et-Loire
 UPDATE x_departements SET dept_limitrophes = '18,28,36,37,45,72' WHERE code = '41'; -- Loir-et-Cher
 UPDATE x_departements SET dept_limitrophes = '18,21,28,41,58,77,89,91' WHERE code = '45'; -- Loiret
 -- Corse
 UPDATE x_departements SET dept_limitrophes = '2B' WHERE code = '2A'; -- Corse-du-Sud : Haute-Corse
 UPDATE x_departements SET dept_limitrophes = '2A' WHERE code = '2B'; -- Haute-Corse : Corse-du-Sud
 -- Grand Est
 UPDATE x_departements SET dept_limitrophes = '02,51,55' WHERE code = '08'; -- Ardennes (+ frontière Belgique)
 UPDATE x_departements SET dept_limitrophes = '21,51,52,77,89' WHERE code = '10'; -- Aube
 UPDATE x_departements SET dept_limitrophes = '02,08,10,52,77' WHERE code = '51'; -- Marne
 UPDATE x_departements SET dept_limitrophes = '10,21,51,55,70,88' WHERE code = '52'; -- Haute-Marne
 UPDATE x_departements SET dept_limitrophes = '55,57,88' WHERE code = '54'; -- Meurthe-et-Moselle
 UPDATE x_departements SET dept_limitrophes = '08,52,54,57' WHERE code = '55'; -- Meuse (+ frontière Belgique)
 UPDATE x_departements SET dept_limitrophes = '54,55,67' WHERE code = '57'; -- Moselle (+ frontières Luxembourg et Allemagne)
 UPDATE x_departements SET dept_limitrophes = '25,57,68,88,90' WHERE code = '67'; -- Bas-Rhin (+ frontière Allemagne)
 UPDATE x_departements SET dept_limitrophes = '67,70,88,90' WHERE code = '68'; -- Haut-Rhin (+ frontières Allemagne et Suisse)
 UPDATE x_departements SET dept_limitrophes = '52,54,67,68,70' WHERE code = '88'; -- Vosges
 -- Hauts-de-France
 UPDATE x_departements SET dept_limitrophes = '08,51,59,60,77,80' WHERE code = '02'; -- Aisne
 UPDATE x_departements SET dept_limitrophes = '02,62,80' WHERE code = '59'; -- Nord (+ frontière Belgique)
 UPDATE x_departements SET dept_limitrophes = '02,27,76,77,80,95' WHERE code = '60'; -- Oise
 UPDATE x_departements SET dept_limitrophes = '59,80' WHERE code = '62'; -- Pas-de-Calais (+ frontière Belgique)
 UPDATE x_departements SET dept_limitrophes = '02,27,59,60,62,76' WHERE code = '80'; -- Somme
 -- Île-de-France
 UPDATE x_departements SET dept_limitrophes = '92,93,94' WHERE code = '75'; -- Paris
 UPDATE x_departements SET dept_limitrophes = '02,10,45,51,60,89,91,93,94,95' WHERE code = '77'; -- Seine-et-Marne
 UPDATE x_departements SET dept_limitrophes = '27,28,91,92,95' WHERE code = '78'; -- Yvelines
 UPDATE x_departements SET dept_limitrophes = '28,45,77,78,92,94' WHERE code = '91'; -- Essonne
 UPDATE x_departements SET dept_limitrophes = '75,78,91,93,94,95' WHERE code = '92'; -- Hauts-de-Seine
 UPDATE x_departements SET dept_limitrophes = '75,77,92,94,95' WHERE code = '93'; -- Seine-Saint-Denis
 UPDATE x_departements SET dept_limitrophes = '75,77,91,92,93' WHERE code = '94'; -- Val-de-Marne
 UPDATE x_departements SET dept_limitrophes = '27,60,77,78,92,93' WHERE code = '95'; -- Val-d'Oise
 -- Normandie
 UPDATE x_departements SET dept_limitrophes = '27,50,53,61,72' WHERE code = '14'; -- Calvados
 UPDATE x_departements SET dept_limitrophes = '14,28,60,61,72,76,78,95' WHERE code = '27'; -- Eure
 UPDATE x_departements SET dept_limitrophes = '14,35,53,61' WHERE code = '50'; -- Manche
 UPDATE x_departements SET dept_limitrophes = '14,27,28,35,41,50,53,72' WHERE code = '61'; -- Orne
 UPDATE x_departements SET dept_limitrophes = '27,60,80' WHERE code = '76'; -- Seine-Maritime
 -- Nouvelle-Aquitaine
 UPDATE x_departements SET dept_limitrophes = '17,24,33,87' WHERE code = '16'; -- Charente
 UPDATE x_departements SET dept_limitrophes = '16,33,79,85' WHERE code = '17'; -- Charente-Maritime
 UPDATE x_departements SET dept_limitrophes = '15,23,24,46,87' WHERE code = '19'; -- Corrèze
 UPDATE x_departements SET dept_limitrophes = '18,19,36,86,87' WHERE code = '23'; -- Creuse
 UPDATE x_departements SET dept_limitrophes = '16,19,33,46,47,87' WHERE code = '24'; -- Dordogne
 UPDATE x_departements SET dept_limitrophes = '16,17,24,40,47' WHERE code = '33'; -- Gironde
 UPDATE x_departements SET dept_limitrophes = '32,33,47,64,65' WHERE code = '40'; -- Landes
 UPDATE x_departements SET dept_limitrophes = '24,32,40,46,82' WHERE code = '47'; -- Lot-et-Garonne
 UPDATE x_departements SET dept_limitrophes = '40,65' WHERE code = '64'; -- Pyrénées-Atlantiques (+ frontière Espagne)
 UPDATE x_departements SET dept_limitrophes = '17,49,85,86' WHERE code = '79'; -- Deux-Sèvres
 UPDATE x_departements SET dept_limitrophes = '16,23,36,37,79' WHERE code = '86'; -- Vienne
 UPDATE x_departements SET dept_limitrophes = '16,19,23,24,36,86' WHERE code = '87'; -- Haute-Vienne
 -- Occitanie
 UPDATE x_departements SET dept_limitrophes = '11,31,66' WHERE code = '09'; -- Ariège : Aude, Haute-Garonne, Pyrénées-Orientales (+ frontières Espagne et Andorre)
 UPDATE x_departements SET dept_limitrophes = '09,31,66' WHERE code = '11'; -- Aude
 UPDATE x_departements SET dept_limitrophes = '15,30,34,46,48,81,82' WHERE code = '12'; -- Aveyron
 UPDATE x_departements SET dept_limitrophes = '07,12,34,48,84' WHERE code = '30'; -- Gard
 UPDATE x_departements SET dept_limitrophes = '09,32,65,82' WHERE code = '31'; -- Haute-Garonne : Ariège, Gers, Hautes-Pyrénées, Tarn-et-Garonne (+ frontière Espagne)
 UPDATE x_departements SET dept_limitrophes = '31,40,47,65,82' WHERE code = '32'; -- Gers
 UPDATE x_departements SET dept_limitrophes = '11,12,30' WHERE code = '34'; -- Hérault
 UPDATE x_departements SET dept_limitrophes = '12,15,19,24,47,81,82' WHERE code = '46'; -- Lot
 UPDATE x_departements SET dept_limitrophes = '07,12,15,30,43' WHERE code = '48'; -- Lozère
 UPDATE x_departements SET dept_limitrophes = '31,32,40,64' WHERE code = '65'; -- Hautes-Pyrénées (+ frontière Espagne)
 UPDATE x_departements SET dept_limitrophes = '09,11' WHERE code = '66'; -- Pyrénées-Orientales (+ frontière Espagne)
 UPDATE x_departements SET dept_limitrophes = '12,34,46,82' WHERE code = '81'; -- Tarn
 UPDATE x_departements SET dept_limitrophes = '12,31,32,46,47,81' WHERE code = '82'; -- Tarn-et-Garonne
 -- Pays de la Loire
 UPDATE x_departements SET dept_limitrophes = '35,49,56,85' WHERE code = '44'; -- Loire-Atlantique
 UPDATE x_departements SET dept_limitrophes = '35,37,44,53,72,79,85,86' WHERE code = '49'; -- Maine-et-Loire
 UPDATE x_departements SET dept_limitrophes = '14,35,49,50,61,72' WHERE code = '53'; -- Mayenne
 UPDATE x_departements SET dept_limitrophes = '14,27,28,37,41,49,53,61' WHERE code = '72'; -- Sarthe
 UPDATE x_departements SET dept_limitrophes = '17,44,49,79' WHERE code = '85'; -- Vendée
 -- Provence-Alpes-Côte d'Azur
 UPDATE x_departements SET dept_limitrophes = '05,06,26,83,84' WHERE code = '04'; -- Alpes-de-Haute-Provence
 UPDATE x_departements SET dept_limitrophes = '04,26,38,73' WHERE code = '05'; -- Hautes-Alpes (+ frontière Italie)
 UPDATE x_departements SET dept_limitrophes = '04,83' WHERE code = '06'; -- Alpes-Maritimes (+ frontières Italie et Monaco)
 UPDATE x_departements SET dept_limitrophes = '30,83,84' WHERE code = '13'; -- Bouches-du-Rhône
 UPDATE x_departements SET dept_limitrophes = '04,06,13,84' WHERE code = '83'; -- Var
 UPDATE x_departements SET dept_limitrophes = '04,07,13,26,30,83' WHERE code = '84'; -- Vaucluse
 -- Départements et régions d'outre-mer (pas de limitrophes terrestres)
 UPDATE x_departements SET dept_limitrophes = NULL WHERE code = '971'; -- Guadeloupe
 UPDATE x_departements SET dept_limitrophes = NULL WHERE code = '972'; -- Martinique
 UPDATE x_departements SET dept_limitrophes = NULL WHERE code = '973'; -- Guyane (frontières Brésil et Suriname)
 UPDATE x_departements SET dept_limitrophes = NULL WHERE code = '974'; -- La Réunion
 UPDATE x_departements SET dept_limitrophes = NULL WHERE code = '976'; -- Mayotte
--- a/api/ralph
+++ b/api/ralph
--- a/api/scripts/CORRECTIONS_MIGRATE.md
+++ b/api/scripts/CORRECTIONS_MIGRATE.md
@@ -0,0 +1,290 @@
 # 🔧 CORRECTIONS CRITIQUES - migrate_from_backup.php
 ## ❌ ERREURS DÉTECTÉES
 ### 1. **migrateUsers** (ligne 456)
 ```sql
 -- ERREUR
 u.nom, u.prenom, u.nom_sect, u.username, u.password, u.phone, u.mobile
 -- CORRECTION (noms réels dans geosector.users)
 u.libelle, u.prenom, u.nom_tournee, u.username, u.userpass, u.telephone, u.mobile
 ```
 ### 2. **migrateOpePass** (ligne 1043)
 ```sql
 -- ERREUR
 p.passed_at, p.libelle, p.email, p.phone
 -- CORRECTION (noms réels dans geosector.ope_pass)
 p.date_eve AS passed_at, p.libelle AS encrypted_name, p.email, p.phone
 ```
 ### 3. **migrateSectorsAdresses** (ligne 777)
 ```sql
 -- ERREUR
 sa.osm_id, sa.osm_name, sa.osm_date_creat
 -- CORRECTION (ces champs n'existent PAS dans geosector.sectors_adresses)
 -- Ces champs doivent être mis à 0 ou NULL dans la cible
 0 AS osm_id, '' AS osm_name, NULL AS osm_date_creat
 ```
 ### 4. **migrateOpeUsersSectors** (ligne 955)
 ```sql
 -- ERREUR
 ous.date_creat, ous.fk_user_creat, ous.date_modif, ous.fk_user_modif
 -- CORRECTION (geosector.ope_users_sectors n'a PAS ces champs)
 NULL AS created_at, NULL AS fk_user_creat, NULL AS updated_at, NULL AS fk_user_modif
 ```
 ### 5. **migrateMedias** (à vérifier)
 ```sql
 -- ERREUR potentielle
 m.support_rowid
 -- CORRECTION
 m.support_rowid AS support_id
 ```
 ### 6. **migrateOperations** (erreur NOT NULL)
 ```sql
 -- PROBLÈME: Column 'fk_user_modif' cannot be null
 -- CORRECTION: Utiliser 0 au lieu de NULL
 'fk_user_modif' => $row['fk_user_modif'] ?? 0
 ```
 ---
 ## ✅ SOLUTION RAPIDE
 Créez un script `HOTFIX_migrate.sql` pour corriger rapidement :
 ```sql
 -- Permettre NULL sur les champs problématiques
 ALTER TABLE operations MODIFY COLUMN fk_user_modif INT(10) UNSIGNED NULL DEFAULT NULL;
 ALTER TABLE ope_sectors MODIFY COLUMN fk_user_modif INT(10) UNSIGNED NULL DEFAULT NULL;
 ALTER TABLE ope_users MODIFY COLUMN fk_user_creat INT(10) UNSIGNED NULL DEFAULT NULL;
 ALTER TABLE ope_users MODIFY COLUMN fk_user_modif INT(10) UNSIGNED NULL DEFAULT NULL;
 ALTER TABLE ope_users_sectors MODIFY COLUMN fk_user_creat INT(10) UNSIGNED NULL DEFAULT NULL;
 ALTER TABLE ope_users_sectors MODIFY COLUMN fk_user_modif INT(10) UNSIGNED NULL DEFAULT NULL;
 ```
 OU utiliser `0` à la place de `NULL` systématiquement dans le script PHP.
 ---
 ## 📋 STATUT DES CORRECTIONS (10/10/2025)
 1. ✅ **migrateEntites** - CORRIGÉ (cp, tel1, tel2, demo)
 2. ✅ **migrateUsers** - CORRIGÉ (libelle, nom_tournee, telephone, userpass, alert_email) - Lignes 455-537
 3. ✅ **migrateOperations** - CORRIGÉ (fk_user_modif ?? 0, fk_user_creat ?? 0) - Lignes 614-625
 4. ✅ **migrateOpeSectors** - CORRIGÉ (fk_user_modif ?? 0, fk_user_creat ?? 0) - Lignes 727-738
 5. ✅ **migrateSectorsAdresses** - CORRIGÉ (osm_id=0, osm_name='', osm_date_creat=null, created_at/updated_at=null) - Lignes 776-855
 6. ✅ **migrateOpeUsers** - CORRIGÉ (vérification existence user dans TARGET avant insertion) - Lignes 960-1020
 7. ✅ **migrateOpeUsersSectors** - CORRIGÉ (date_creat, fk_user_creat, date_modif, fk_user_modif = null + vérification user) - Lignes 1054-1135
 8. ✅ **migrateOpePass** - CORRIGÉ (date_eve, libelle, recu + fk_type_reglement forcé à 4 si invalide + vérification user) - Lignes 1215-1330
 9. ✅ **migrateMedias** - CORRIGÉ (support_rowid, type_fichier, hauteur/largeur) - Lignes 1281-1343
 10. ✅ **countTargetRows()** - CORRIGÉ (requêtes SQL spécifiques par table avec JOINs corrects) - Lignes 303-355
 ---
 ## ✅ CORRECTIONS APPLIQUÉES
 **Toutes les erreurs ont été corrigées dans `migrate_from_backup.php`.**
 Les corrections incluent :
 - Utilisation des vrais noms de colonnes SOURCE (`geosector-structure.sql`)
 - Gestion des champs manquants dans SOURCE avec valeurs par défaut
 - Utilisation de `?? 0` au lieu de `?? null` pour les FK NOT NULL
 - Suppression des champs inexistants dans les requêtes SELECT
 **ATTENTION** : Les noms de colonnes TARGET n'ont PAS été vérifiés contre `geo_app_structure.sql`.
 Le script utilise peut-être les mauvais noms TARGET (à vérifier avec `migrate_users.php` et autres `migrate_*.php` de référence).
 ---
 ## 🔧 CORRECTIONS RÉCENTES (Session actuelle)
 ### 10. **Vérification FK users** (lignes 1008-1015, 1117-1125, 1257-1266)
 **Problème** : Violations de contraintes FK car certains `fk_user` référencent des utilisateurs absents dans TARGET.
 **Solution** : Ajout de vérification d'existence avant insertion :
 ```php
 // Vérifier que fk_user existe dans users de la TARGET
 $checkUser = $this->targetDb->prepare("SELECT id FROM users WHERE id = ?");
 $checkUser->execute([$row['fk_user']]);
 if (!$checkUser->fetch()) {
    $this->log("  ⚠ Record {$row['rowid']}: user {$row['fk_user']} non trouvé, ignoré", 'WARNING');
    continue;
 }
 ```
 **Appliqué sur** :
 - `migrateOpeUsers()` - ligne 1008
 - `migrateOpeUsersSectors()` - ligne 1117
 - `migrateOpePass()` - ligne 1257
 **Résultat** : Les enregistrements avec FK invalides sont ignorés avec un WARNING au lieu de provoquer une erreur fatale.
 ### 11. **countTargetRows() - Requêtes SQL spécifiques** (lignes 303-355)
 **Problème** : Erreurs SQL car toutes les tables n'ont pas les mêmes colonnes/relations :
 - `Unknown column 'fk_entite' in 'WHERE'` pour `entites`
 - `Unknown column 't.fk_operation' in 'ON'` pour `operations`, `ope_pass_histo`, `medias`
 **Solution** : Requêtes SQL personnalisées par table :
 ```php
 // Pour entites : pas de FK, juste l'ID
 if ($tableName === 'entites') {
    $sql = "SELECT COUNT(*) as count FROM $tableName WHERE id = :entity_id";
 }
 // Pour operations : FK directe vers entites
 else if ($tableName === 'operations') {
    $sql = "SELECT COUNT(*) as count FROM $tableName WHERE fk_entite = :entity_id";
 }
 // Pour sectors_adresses : JOIN via ope_sectors -> operations
 else if ($tableName === 'sectors_adresses') {
    $sql = "SELECT COUNT(*) as count FROM $tableName sa
           INNER JOIN ope_sectors s ON sa.fk_sector = s.id
           INNER JOIN operations o ON s.fk_operation = o.id
           WHERE o.fk_entite = :entity_id";
 }
 // Pour tables avec fk_operation directe
 else if (in_array($tableName, ['ope_sectors', 'ope_users', 'ope_users_sectors', 'ope_pass', 'ope_pass_histo', 'medias'])) {
    $sql = "SELECT COUNT(*) as count FROM $tableName t
           INNER JOIN operations o ON t.fk_operation = o.id
           WHERE o.fk_entite = :entity_id";
 }
 ```
 **Résultat** : Comptages TARGET précis et sans erreurs SQL pour toutes les tables.
 ### 12. **fk_type_reglement validation** (lignes 1237-1241)
 **Problème** : FK violations car certains `fk_type_reglement` référencent des IDs inexistants dans `x_types_reglements` (IDs valides : 1, 2, 3).
 **Solution** : Forcer à 4 ("-") si valeur invalide (comme dans `migrate_ope_pass.php`) :
 ```php
 // Vérification et correction du type de règlement
 $fkTypeReglement = $row['fk_type_reglement'] ?? 1;
 if (!in_array($fkTypeReglement, [1, 2, 3])) {
    $fkTypeReglement = 4; // Forcer à 4 ("-") si différent de 1, 2 ou 3
 }
 ```
 **Résultat** : Tous les `ope_pass` sont migrés sans violation de FK sur `fk_type_reglement`.
 ### 13. **Limitation aux 3 dernières opérations** (lignes 646-647) ⚠️ IMPORTANT
 **Problème** : Migration de TOUTES les opérations au lieu des 3 dernières uniquement.
 **Solution** : Ajout de `ORDER BY rowid DESC LIMIT 3` dans la requête :
 ```php
 // Ne migrer que les 3 dernières opérations (plus récentes)
 $sql .= " ORDER BY rowid DESC LIMIT 3";
 ```
 **Résultat** : Seules les 3 opérations les plus récentes (par rowid DESC) sont migrées par entité.
 **Impact** : Réduit considérablement le volume de données migrées et toutes les tables liées (ope_sectors, ope_users, ope_users_sectors, ope_pass, medias, sectors_adresses).
 ### 14. **Option de suppression avant migration** (lignes 127-200, 1692, 1722, 1776) ⭐ NOUVELLE FONCTIONNALITÉ
 **Besoin** : Permettre de supprimer les données existantes d'une entité dans TARGET avant migration pour repartir à zéro.
 **Solution** : Ajout du paramètre `--delete-before` :
 **Script bash** (lignes 174-183) :
 ```bash
 # Demander si suppression des données de l'entité avant migration
 echo -ne "${YELLOW}3️⃣  Supprimer les données existantes de cette entité dans la TARGET avant migration ? (y/N): ${NC}"
 read -r DELETE_BEFORE
 DELETE_FLAG=""
 if [[ $DELETE_BEFORE =~ ^[Yy]$ ]]; then
    echo -e "${GREEN}✓${NC} Les données seront supprimées avant migration"
    DELETE_FLAG="--delete-before"
 fi
 ```
 **Script PHP** - Méthode `deleteEntityData()` (lignes 127-200) :
 ```php
 private function deleteEntityData($entityId) {
    // Ordre de suppression inverse pour respecter les FK
    $deletionOrder = [
        'medias', 'ope_pass_histo', 'ope_pass', 'ope_users_sectors',
        'ope_users', 'sectors_adresses', 'ope_sectors', 'operations', 'users'
    ];
    foreach ($deletionOrder as $table) {
        // Suppression via JOIN avec operations pour respecter FK
        DELETE t FROM $table t
        INNER JOIN operations o ON t.fk_operation = o.id
        WHERE o.fk_entite = ?
    }
 }
 ```
 **Résultat** :
 - En mode interactif, l'utilisateur peut choisir de supprimer les données existantes avant migration
 - Suppression propre dans l'ordre inverse des FK (pas d'erreur de contrainte)
 - L'entité elle-même n'est PAS supprimée (car peut avoir d'autres données liées)
 - Transaction avec rollback en cas d'erreur
 **Usage** :
 ```bash
 # Interactif
 ./scripts/migrate_batch.sh
 # Choisir option d) puis répondre 'y' à la question de suppression
 # Direct
 php migrate_from_backup.php --source-db=geosector_20251008 --mode=entity --entity-id=5 --delete-before
 ```
 ---
 ## 📊 RÉSULTATS MIGRATION TEST (Entité #5)
 Dernière exécution avec toutes les corrections :
 - ✅ **Entités** : 1 SOURCE → 1 TARGET
 - ✅ **Users** : 21 SOURCE → 21 TARGET (100%)
 - ✅ **Operations** : 4 SOURCE → 4 TARGET (100%)
 - ✅ **Ope_sectors** : 64 SOURCE → 64 TARGET (100%)
 - ⚠️ **Sectors_adresses** : 1975 SOURCE → 1040 TARGET (différence de -935, à investiguer)
 - ✅ **Ope_users** : 20 migrés (0 erreurs après vérification FK)
 - ✅ **Ope_users_sectors** : 20 migrés (0 erreurs après vérification FK)
 - ⚠️ **Ope_pass** : 466 erreurs (users manquants - comportement attendu avec validation FK)
 - ✅ **Medias** : Migration réussie
 ### 15. **Ajout de contraintes UNIQUE pour éviter les doublons** (10/10/2025) ⭐ CONTRAINTES MANQUANTES
 **Problème** : Les tables `ope_users` et `ope_users_sectors` n'avaient PAS de contrainte UNIQUE sur leurs combinaisons de FK, permettant des doublons massifs.
 **Diagnostic** :
 - Table `ope_users` : 186+ doublons pour la même paire (fk_operation, fk_user)
 - Table `ope_users_sectors` : Risque de doublons sur (fk_operation, fk_user, fk_sector)
 - Le `ON DUPLICATE KEY UPDATE` ne fonctionnait pas car aucune contrainte UNIQUE n'existait
 **Solution** : Création du script `scripts/sql/add_unique_constraints_ope_tables.sql` qui :
 1. Supprime les doublons existants (garde la première occurrence, supprime les duplicatas)
 2. Ajoute `UNIQUE KEY idx_operation_user (fk_operation, fk_user)` sur `ope_users`
 3. Ajoute `UNIQUE KEY idx_operation_user_sector (fk_operation, fk_user, fk_sector)` sur `ope_users_sectors`
 4. Vérifie les contraintes et compte les doublons restants
 **Fichiers modifiés** :
 - `scripts/sql/add_unique_constraints_ope_tables.sql` - Script SQL d'ajout des contraintes
 - `scripts/php/geo_app_structure.sql` - Documentation de la structure cible avec contraintes
 **À exécuter AVANT la prochaine migration** :
 ```bash
 mysql -u root -p pra_geo < scripts/sql/add_unique_constraints_ope_tables.sql
 ```
 **Puis re-migrer l'entité** :
 ```bash
 php migrate_from_backup.php --source-db=geosector_20251008 --mode=entity --entity-id=5 --delete-before
 ```
 ---
 **Prochaines étapes** :
 1. ✅ Exécuter le script SQL pour ajouter les contraintes UNIQUE
 2. ✅ Re-migrer l'entité #5 avec `--delete-before` pour vérifier l'absence de doublons
 3. Investiguer la différence de -935 sur `sectors_adresses`
 4. Analyser les 466 erreurs sur `ope_pass` (probablement des références à des users d'autres entités)
 5. Tester sur une autre entité pour valider la stabilité des corrections
--- a/api/scripts/MIGRATION_PATCH_INSTRUCTIONS.md
+++ b/api/scripts/MIGRATION_PATCH_INSTRUCTIONS.md
@@ -0,0 +1,350 @@
 # Instructions de modification des scripts de migration
 ## Modifications à effectuer
 ### 1. migrate_from_backup.php
 #### A. Remplacer les lignes 31-50 (configuration DB)
 **ANCIEN** :
 ```php
    private $sourceDbName;
    private $targetDbName;
    private $sourceDb;
    private $targetDb;
    private $mode;
    private $entityId;
    private $logFile;
    private $deleteBefore;
    // Configuration MariaDB (maria4 sur IN4)
    // pra-geo se connecte à maria4 via l'IP du container
    private const DB_HOST = '13.23.33.4';  // maria4 sur IN4
    private const DB_PORT = 3306;
    private const DB_USER = 'pra_geo_user';
    private const DB_PASS = 'd2jAAGGWi8fxFrWgXjOA';
    // Pour la base source (backup), on utilise pra_geo_user (avec SELECT sur geosector_*)
    // L'utilisateur root n'est pas accessible depuis pra-geo (13.23.33.22)
    private const DB_USER_ROOT = 'pra_geo_user';
    private const DB_PASS_ROOT = 'd2jAAGGWi8fxFrWgXjOA';
 ```
 **NOUVEAU** :
 ```php
    private $sourceDbName;
    private $targetDbName;
    private $sourceDb;
    private $targetDb;
    private $mode;
    private $entityId;
    private $logFile;
    private $deleteBefore;
    private $env;
    // Configuration multi-environnement
    private const ENVIRONMENTS = [
        'rca' => [
            'host' => '13.23.33.3',       // maria3 sur IN3
            'port' => 3306,
            'user' => 'rca_geo_user',
            'pass' => 'UPf3C0cQ805LypyM71iW',
            'target_db' => 'rca_geo',
            'source_db' => 'geosector'    // Base synchronisée par PM7
        ],
        'pra' => [
            'host' => '13.23.33.4',       // maria4 sur IN4
            'port' => 3306,
            'user' => 'pra_geo_user',
            'pass' => 'd2jAAGGWi8fxFrWgXjOA',
            'target_db' => 'pra_geo',
            'source_db' => 'geosector'    // Base synchronisée par PM7
        ]
    ];
 ```
 #### B. Modifier le constructeur (ligne 67)
 **ANCIEN** :
 ```php
    public function __construct($sourceDbName, $targetDbName, $mode = 'global', $entityId = null, $logFile = null, $deleteBefore = false) {
        $this->sourceDbName = $sourceDbName;
        $this->targetDbName = $targetDbName;
        $this->mode = $mode;
        $this->entityId = $entityId;
        $this->logFile = $logFile ?? '/var/back/migration_' . date('Ymd_His') . '.log';
        $this->deleteBefore = $deleteBefore;
        $this->log("=== Migration depuis backup PM7 ===");
        $this->log("Source: {$sourceDbName}");
        $this->log("Cible: {$targetDbName}");
        $this->log("Mode: {$mode}");
 ```
 **NOUVEAU** :
 ```php
    public function __construct($env, $mode = 'global', $entityId = null, $logFile = null, $deleteBefore = false) {
        // Validation de l'environnement
        if (!isset(self::ENVIRONMENTS[$env])) {
            throw new Exception("Invalid environment: $env. Use 'rca' or 'pra'");
        }
        $this->env = $env;
        $config = self::ENVIRONMENTS[$env];
        $this->sourceDbName = $config['source_db'];
        $this->targetDbName = $config['target_db'];
        $this->mode = $mode;
        $this->entityId = $entityId;
        $this->logFile = $logFile ?? '/var/back/migration_' . date('Ymd_His') . '.log';
        $this->deleteBefore = $deleteBefore;
        $this->log("=== Migration depuis backup PM7 ===");
        $this->log("Environment: {$env}");
        $this->log("Source: {$this->sourceDbName} → Cible: {$this->targetDbName}");
        $this->log("Mode: {$mode}");
 ```
 #### C. Modifier connect() (lignes 90-112)
 **Remplacer toutes les constantes** :
 - `self::DB_HOST` → `self::ENVIRONMENTS[$this->env]['host']`
 - `self::DB_PORT` → `self::ENVIRONMENTS[$this->env]['port']`
 - `self::DB_USER_ROOT` → `self::ENVIRONMENTS[$this->env]['user']`
 - `self::DB_PASS_ROOT` → `self::ENVIRONMENTS[$this->env]['pass']`
 - `self::DB_USER` → `self::ENVIRONMENTS[$this->env]['user']`
 - `self::DB_PASS` → `self::ENVIRONMENTS[$this->env]['pass']`
 #### D. Modifier parseArguments() (vers la fin du fichier)
 **ANCIEN** :
 ```php
    $args = [
        'source-db' => null,
        'target-db' => 'pra_geo',
        'mode' => 'global',
        'entity-id' => null,
        'log' => null,
        'delete-before' => true,
        'help' => false
    ];
 ```
 **NOUVEAU** :
 ```php
    $args = [
        'env' => 'rca',  // Défaut: recette
        'mode' => 'global',
        'entity-id' => null,
        'log' => null,
        'delete-before' => true,
        'help' => false
    ];
 ```
 #### E. Modifier showHelp()
 **ANCIEN** :
 ```php
  --source-db=NAME      Nom de la base source (backup restauré, ex: geosector_20251007) [REQUIS]
  --target-db=NAME      Nom de la base cible (défaut: pra_geo)
 ```
 **NOUVEAU** :
 ```php
  --env=ENV             Environment: 'rca' (recette) ou 'pra' (production) [défaut: rca]
 ```
 **ANCIEN** (exemples) :
 ```php
  php migrate_from_backup.php --source-db=geosector_20251007 --target-db=pra_geo --mode=global
 ```
 **NOUVEAU** :
 ```php
  php migrate_from_backup.php --env=pra --mode=global
  php migrate_from_backup.php --env=rca --mode=entity --entity-id=45
 ```
 #### F. Modifier validation des arguments
 **ANCIEN** :
 ```php
 if (!$args['source-db']) {
    echo "Erreur: --source-db est requis\n\n";
    showHelp();
    exit(1);
 }
 ```
 **NOUVEAU** :
 ```php
 if (!in_array($args['env'], ['rca', 'pra'])) {
    echo "Erreur: --env doit être 'rca' ou 'pra'\n\n";
    showHelp();
    exit(1);
 }
 ```
 #### G. Modifier instanciation BackupMigration
 **ANCIEN** :
 ```php
 $migration = new BackupMigration(
    $args['source-db'],
    $args['target-db'],
    $args['mode'],
    $args['entity-id'],
    $args['log'],
    (bool)$args['delete-before']
 );
 ```
 **NOUVEAU** :
 ```php
 $migration = new BackupMigration(
    $args['env'],
    $args['mode'],
    $args['entity-id'],
    $args['log'],
    (bool)$args['delete-before']
 );
 ```
 ---
 ### 2. migrate_batch.sh
 #### A. Ajouter détection automatique de l'environnement (après ligne 22)
 **AJOUTER** :
 ```bash
 # Détection automatique de l'environnement
 if [ -f "/etc/hostname" ]; then
    CONTAINER_NAME=$(cat /etc/hostname)
    case $CONTAINER_NAME in
        rca-geo)
            ENV="rca"
            ;;
        pra-geo)
            ENV="pra"
            ;;
        *)
            ENV="rca"  # Défaut
            ;;
    esac
 else
    ENV="rca"  # Défaut
 fi
 ```
 #### B. Remplacer lignes 26-27
 **ANCIEN** :
 ```bash
 SOURCE_DB="geosector_20251013_13"
 TARGET_DB="pra_geo"
 ```
 **NOUVEAU** :
 ```bash
 # SOURCE_DB et TARGET_DB ne sont plus utilisés
 # Ils sont déduits de --env dans migrate_from_backup.php
 ```
 #### C. Ajouter option --env dans le parsing (ligne 68)
 **AJOUTER avant `--interactive|-i)` ** :
 ```bash
        --env)
            ENV="$2"
            shift 2
            ;;
 ```
 #### D. Modifier les appels PHP - ligne 200-206
 **ANCIEN** :
 ```bash
            php "$MIGRATION_SCRIPT" \
                --source-db="$SOURCE_DB" \
                --target-db="$TARGET_DB" \
                --mode=entity \
                --entity-id="$SPECIFIC_ENTITY_ID" \
                --log="$ENTITY_LOG" \
                $DELETE_FLAG
 ```
 **NOUVEAU** :
 ```bash
            php "$MIGRATION_SCRIPT" \
                --env="$ENV" \
                --mode=entity \
                --entity-id="$SPECIFIC_ENTITY_ID" \
                --log="$ENTITY_LOG" \
                $DELETE_FLAG
 ```
 #### E. Modifier les appels PHP - ligne 374-379
 **ANCIEN** :
 ```bash
    php "$MIGRATION_SCRIPT" \
        --source-db="$SOURCE_DB" \
        --target-db="$TARGET_DB" \
        --mode=entity \
        --entity-id="$ENTITY_ID" \
        --log="$ENTITY_LOG" > /tmp/migration_output_$$.txt 2>&1
 ```
 **NOUVEAU** :
 ```bash
    php "$MIGRATION_SCRIPT" \
        --env="$ENV" \
        --mode=entity \
        --entity-id="$ENTITY_ID" \
        --log="$ENTITY_LOG" > /tmp/migration_output_$$.txt 2>&1
 ```
 #### F. Modifier les messages de log (lignes 289-291)
 **ANCIEN** :
 ```bash
 log "📅 Date: $(date '+%Y-%m-%d %H:%M:%S')"
 log "📁 Source: $SOURCE_DB"
 log "📁 Cible: $TARGET_DB"
 ```
 **NOUVEAU** :
 ```bash
 log "📅 Date: $(date '+%Y-%m-%d %H:%M:%S')"
 log "🌍 Environment: $ENV"
 log "📁 Source: geosector → Target: (déduit de \$ENV)"
 ```
 ---
 ## Nouveaux usages
 ### Sur rca-geo (IN3)
 ```bash
 # Détection automatique
 ./migrate_batch.sh
 # Ou explicite
 ./migrate_batch.sh --env=rca
 # Migration PHP directe
 php php/migrate_from_backup.php --env=rca --mode=entity --entity-id=45
 ```
 ### Sur pra-geo (IN4)
 ```bash
 # Détection automatique
 ./migrate_batch.sh
 # Ou explicite
 ./migrate_batch.sh --env=pra
 # Migration PHP directe
 php php/migrate_from_backup.php --env=pra --mode=entity --entity-id=45
 ```
--- a/api/scripts/README-migration.md
+++ b/api/scripts/README-migration.md
--- a/api/scripts/README.md
+++ b/api/scripts/README.md
--- a/api/scripts/check_geometry_validity.sql
+++ b/api/scripts/check_geometry_validity.sql
@@ -0,0 +1,33 @@
 -- Script de diagnostic pour vérifier les problèmes de géométrie dans x_departements_contours
 -- 1. Vérifier les contours NULL
 SELECT 'Contours NULL:' as diagnostic;
 SELECT code_dept, nom_dept 
 FROM x_departements_contours 
 WHERE contour IS NULL;
 -- 2. Vérifier les types de géométrie et si elles sont vides
 SELECT 'Types de géométrie:' as diagnostic;
 SELECT 
    code_dept, 
    nom_dept,
    ST_GeometryType(contour) as geometry_type,
    ST_IsEmpty(contour) as is_empty
 FROM x_departements_contours 
 WHERE contour IS NOT NULL;
 -- 3. Statistiques générales
 SELECT 'Statistiques:' as diagnostic;
 SELECT 
    COUNT(*) as total,
    SUM(CASE WHEN contour IS NULL THEN 1 ELSE 0 END) as contours_null,
    SUM(CASE WHEN contour IS NOT NULL THEN 1 ELSE 0 END) as contours_non_null
 FROM x_departements_contours;
 -- 4. Lister spécifiquement les DOM-TOM et Corse
 SELECT 'DOM-TOM et Corse:' as diagnostic;
 SELECT code_dept, nom_dept, 
       CASE WHEN contour IS NULL THEN 'NULL' ELSE 'OK' END as contour_status
 FROM x_departements_contours 
 WHERE code_dept IN ('20', '2A', '2B', '971', '972', '973', '974', '975', '976')
 ORDER BY code_dept;
--- a/api/scripts/config.php
+++ b/api/scripts/config.php
--- a/api/scripts/config/update_php_fpm_settings.sh
+++ b/api/scripts/config/update_php_fpm_settings.sh
@@ -0,0 +1,165 @@
 #!/bin/bash
 ##############################################################################
 # Script de mise à jour des paramètres PHP-FPM pour GeoSector
 #
 # Usage:
 #   ./update_php_fpm_settings.sh dev   # Pour DVA
 #   ./update_php_fpm_settings.sh rec   # Pour RCA
 #   ./update_php_fpm_settings.sh prod  # Pour PRA
 ##############################################################################
 set -e
 # Couleurs
 RED='\033[0;31m'
 GREEN='\033[0;32m'
 YELLOW='\033[1;33m'
 NC='\033[0m' # No Color
 # Déterminer l'environnement
 ENV=${1:-dev}
 case $ENV in
    dev)
        CONTAINER="dva-geo"
        TIMEOUT=180
        MAX_REQUESTS=1000
        MEMORY_LIMIT=512M
        ;;
    rec)
        CONTAINER="rca-geo"
        TIMEOUT=120
        MAX_REQUESTS=2000
        MEMORY_LIMIT=256M
        ;;
    prod)
        CONTAINER="pra-geo"
        TIMEOUT=120
        MAX_REQUESTS=2000
        MEMORY_LIMIT=256M
        ;;
    *)
        echo -e "${RED}Erreur: Environnement invalide '$ENV'${NC}"
        echo "Usage: $0 [dev|rec|prod]"
        exit 1
        ;;
 esac
 echo -e "${GREEN}=== Mise à jour PHP-FPM pour $ENV ($CONTAINER) ===${NC}"
 echo ""
 # Vérifier que le container existe
 if ! incus list | grep -q "$CONTAINER"; then
    echo -e "${RED}Erreur: Container $CONTAINER non trouvé${NC}"
    exit 1
 fi
 # Trouver le fichier de configuration
 echo "Recherche du fichier de configuration PHP-FPM..."
 POOL_FILE=$(incus exec $CONTAINER -- find /etc/php* -name "www.conf" 2>/dev/null | grep fpm/pool | head -1)
 if [ -z "$POOL_FILE" ]; then
    echo -e "${RED}Erreur: Fichier pool PHP-FPM non trouvé${NC}"
    exit 1
 fi
 echo -e "${GREEN}✓ Fichier trouvé: $POOL_FILE${NC}"
 echo ""
 # Sauvegarder le fichier original
 BACKUP_FILE="${POOL_FILE}.backup.$(date +%Y%m%d_%H%M%S)"
 echo "Création d'une sauvegarde..."
 incus exec $CONTAINER -- cp "$POOL_FILE" "$BACKUP_FILE"
 echo -e "${GREEN}✓ Sauvegarde créée: $BACKUP_FILE${NC}"
 echo ""
 # Afficher les valeurs actuelles
 echo "Valeurs actuelles:"
 incus exec $CONTAINER -- grep -E "^(request_terminate_timeout|pm.max_requests|memory_limit)" "$POOL_FILE" || echo "  (non définies)"
 echo ""
 # Créer un fichier temporaire avec les nouvelles valeurs
 TMP_FILE="/tmp/php_fpm_update_$$.conf"
 cat > $TMP_FILE << EOF
 ; === Configuration GeoSector - Modifié le $(date +%Y-%m-%d) ===
 ; Timeout des requêtes
 request_terminate_timeout = ${TIMEOUT}s
 ; Nombre max de requêtes avant recyclage du worker
 pm.max_requests = ${MAX_REQUESTS}
 ; Limite mémoire PHP
 php_admin_value[memory_limit] = ${MEMORY_LIMIT}
 ; Log des requêtes lentes
 slowlog = /var/log/php8.3-fpm-slow.log
 request_slowlog_timeout = 10s
 EOF
 echo "Nouvelles valeurs à appliquer:"
 cat $TMP_FILE
 echo ""
 # Demander confirmation
 read -p "Appliquer ces modifications ? (y/N) " -n 1 -r
 echo ""
 if [[ ! $REPLY =~ ^[Yy]$ ]]; then
    echo "Annulé."
    rm $TMP_FILE
    exit 0
 fi
 # Supprimer les anciennes valeurs si présentes
 echo "Suppression des anciennes valeurs..."
 incus exec $CONTAINER -- sed -i '/^request_terminate_timeout/d' "$POOL_FILE"
 incus exec $CONTAINER -- sed -i '/^pm.max_requests/d' "$POOL_FILE"
 incus exec $CONTAINER -- sed -i '/^php_admin_value\[memory_limit\]/d' "$POOL_FILE"
 incus exec $CONTAINER -- sed -i '/^slowlog/d' "$POOL_FILE"
 incus exec $CONTAINER -- sed -i '/^request_slowlog_timeout/d' "$POOL_FILE"
 # Ajouter les nouvelles valeurs à la fin du fichier
 echo "Ajout des nouvelles valeurs..."
 incus file push $TMP_FILE $CONTAINER/tmp/php_fpm_settings.conf
 incus exec $CONTAINER -- bash -c "cat /tmp/php_fpm_settings.conf >> $POOL_FILE"
 incus exec $CONTAINER -- rm /tmp/php_fpm_settings.conf
 rm $TMP_FILE
 echo -e "${GREEN}✓ Configuration mise à jour${NC}"
 echo ""
 # Tester la configuration
 echo "Test de la configuration PHP-FPM..."
 if incus exec $CONTAINER -- php-fpm8.3 -t; then
    echo -e "${GREEN}✓ Configuration valide${NC}"
 else
    echo -e "${RED}✗ Configuration invalide !${NC}"
    echo "Restauration de la sauvegarde..."
    incus exec $CONTAINER -- cp "$BACKUP_FILE" "$POOL_FILE"
    exit 1
 fi
 echo ""
 echo "Redémarrage de PHP-FPM..."
 incus exec $CONTAINER -- rc-service php-fpm8.3 restart
 if [ $? -eq 0 ]; then
    echo -e "${GREEN}✓ PHP-FPM redémarré avec succès${NC}"
 else
    echo -e "${RED}✗ Erreur lors du redémarrage${NC}"
    echo "Restauration de la sauvegarde..."
    incus exec $CONTAINER -- cp "$BACKUP_FILE" "$POOL_FILE"
    incus exec $CONTAINER -- rc-service php-fpm8.3 restart
    exit 1
 fi
 echo ""
 echo -e "${GREEN}=== Mise à jour terminée avec succès ===${NC}"
 echo ""
 echo "Vérification des nouvelles valeurs:"
 incus exec $CONTAINER -- grep -E "^(request_terminate_timeout|pm.max_requests|php_admin_value\[memory_limit\])" "$POOL_FILE"
 echo ""
 echo "Sauvegarde disponible: $BACKUP_FILE"
--- a/api/scripts/create_addresses_users.sql
+++ b/api/scripts/create_addresses_users.sql
@@ -0,0 +1,32 @@
 -- Script de création des utilisateurs pour la base de données des adresses
 -- À exécuter sur chaque serveur MariaDB (dva-maria, rca-maria, pra-maria)
 -- Créer l'utilisateur avec accès depuis l'IP du container API correspondant
 -- IMPORTANT: Remplacer 'API_CONTAINER_IP' par l'IP réelle du container API
 -- Pour l'environnement DEV (dva-maria)
 -- Si l'API est dans le container dva-api avec l'IP 13.23.33.45 par exemple :
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.45' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.45';
 -- Pour l'environnement RECETTE (rca-maria)
 -- Si l'API est dans le container rca-api avec l'IP 13.23.33.35 par exemple :
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.35' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.35';
 -- Pour l'environnement PROD (pra-maria)
 -- Si l'API est dans le container pra-api avec l'IP 13.23.33.25 par exemple :
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.25' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.25';
 -- Alternative : Créer un utilisateur accessible depuis tout le sous-réseau
 -- ATTENTION : Moins sécurisé, à utiliser uniquement si les containers sont dans un réseau privé isolé
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.%' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.%';
 -- Appliquer les privilèges
 FLUSH PRIVILEGES;
 -- Vérifier la création
 SELECT user, host FROM mysql.user WHERE user = 'adresses_user';
 SHOW GRANTS FOR 'adresses_user'@'13.23.33.%';
--- a/api/scripts/create_addresses_users_by_env.sql
+++ b/api/scripts/create_addresses_users_by_env.sql
@@ -0,0 +1,41 @@
 -- Script de création des utilisateurs pour la base de données des adresses
 -- Avec segmentation par environnement basée sur les plages d'IPs
 -- ===================================
 -- DÉVELOPPEMENT (dva-maria)
 -- IPs autorisées : 13.23.33.40-49
 -- ===================================
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.4%' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.4%';
 -- Aussi créer un accès localhost pour les tests directs
 CREATE USER IF NOT EXISTS 'adresses_user'@'localhost' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'localhost';
 -- ===================================
 -- RECETTE (rca-maria) 
 -- IPs autorisées : 13.23.33.30-39
 -- ===================================
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.3%' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.3%';
 -- Aussi créer un accès localhost pour les tests directs
 CREATE USER IF NOT EXISTS 'adresses_user'@'localhost' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'localhost';
 -- ===================================
 -- PRODUCTION (pra-maria)
 -- IPs autorisées : 13.23.33.20-29
 -- ===================================
 CREATE USER IF NOT EXISTS 'adresses_user'@'13.23.33.2%' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'13.23.33.2%';
 -- Aussi créer un accès localhost pour les tests directs
 CREATE USER IF NOT EXISTS 'adresses_user'@'localhost' IDENTIFIED BY 'd66,AdrGeo.User';
 GRANT SELECT ON adresses.* TO 'adresses_user'@'localhost';
 -- Appliquer les privilèges
 FLUSH PRIVILEGES;
 -- Vérifier la création
 SELECT user, host FROM mysql.user WHERE user = 'adresses_user' ORDER BY host;
--- a/api/scripts/cron/CRON.md
+++ b/api/scripts/cron/CRON.md
@@ -0,0 +1,243 @@
 # Documentation des tâches CRON - API Geosector
 Ce dossier contient les scripts automatisés de maintenance et de traitement pour l'API Geosector.
 ## Scripts disponibles
 ### 1. `process_email_queue.php`
 **Fonction** : Traite la queue d'emails en attente (reçus fiscaux, notifications)
 **Caractéristiques** :
 - Traite 50 emails maximum par exécution
 - 3 tentatives maximum par email
 - Lock file pour éviter l'exécution simultanée
 - Nettoyage automatique des emails envoyés de plus de 30 jours
 **Fréquence recommandée** : Toutes les 5 minutes
 **Ligne crontab** :
 ```bash
 */5 * * * * /usr/bin/php /var/www/geosector/api/scripts/cron/process_email_queue.php >> /var/www/geosector/api/logs/email_queue.log 2>&1
 ```
 ---
 ### 2. `cleanup_security_data.php`
 **Fonction** : Purge les données de sécurité obsolètes selon la politique de rétention
 **Données nettoyées** :
 - Métriques de performance : 30 jours
 - Tentatives de login échouées : 7 jours
 - Alertes résolues : 90 jours
 - IPs expirées : Déblocage immédiat
 **Fréquence recommandée** : Quotidien à 2h du matin
 **Ligne crontab** :
 ```bash
 0 2 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_security_data.php >> /var/www/geosector/api/logs/cleanup_security.log 2>&1
 ```
 ---
 ### 3. `cleanup_logs.php`
 **Fonction** : Supprime les fichiers de logs de plus de 10 jours
 **Caractéristiques** :
 - Cible tous les fichiers `*.log` dans `/api/logs/`
 - Exclut le dossier `/logs/events/` (rétention 15 mois)
 - Rétention : 10 jours
 - Logs détaillés des fichiers supprimés et taille libérée
 - Lock file pour éviter l'exécution simultanée
 **Fréquence recommandée** : Quotidien à 3h du matin
 **Ligne crontab** :
 ```bash
 0 3 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_logs.php >> /var/www/geosector/api/logs/cleanup_logs.log 2>&1
 ```
 ---
 ### 4. `rotate_event_logs.php`
 **Fonction** : Rotation des logs d'événements JSONL (système EventLogService)
 **Politique de rétention (15 mois)** :
 - 0-15 mois : fichiers `.jsonl` conservés (non compressés pour accès API)
 - > 15 mois : suppression automatique
 **Caractéristiques** :
 - Suppression des fichiers > 15 mois
 - Pas de compression (fichiers accessibles par l'API)
 - Logs détaillés des suppressions
 - Lock file pour éviter l'exécution simultanée
 **Fréquence recommandée** : Mensuel le 1er à 3h du matin
 **Ligne crontab** :
 ```bash
 0 3 1 * * /usr/bin/php /var/www/geosector/api/scripts/cron/rotate_event_logs.php >> /var/www/geosector/api/logs/rotation_events.log 2>&1
 ```
 ---
 ### 5. `sync_databases.php`
 **Fonction** : Synchronise les bases de données entre environnements
 **Note** : Ce script est spécifique à un cas d'usage particulier. Vérifier son utilité avant activation.
 **Fréquence recommandée** : À définir selon les besoins
 **Ligne crontab** :
 ```bash
 # À configurer selon les besoins
 # 0 4 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/sync_databases.php >> /var/www/geosector/api/logs/sync_databases.log 2>&1
 ```
 ---
 ## Installation sur les containers Incus
 ### 1. Déployer les scripts sur les environnements
 ```bash
 # DEV (dva-geo sur IN3)
 ./deploy-api.sh
 # RECETTE (rca-geo sur IN3)
 ./deploy-api.sh rca
 # PRODUCTION (pra-geo sur IN4)
 ./deploy-api.sh pra
 ```
 ### 2. Configurer le crontab sur chaque container
 ```bash
 # Se connecter au container
 incus exec dva-geo -- sh    # ou rca-geo, pra-geo
 # Éditer le crontab
 crontab -e
 # Ajouter les lignes ci-dessous (adapter les chemins si nécessaire)
 ```
 ### 3. Configuration complète recommandée
 ```bash
 # Traitement de la queue d'emails (toutes les 5 minutes)
 */5 * * * * /usr/bin/php /var/www/geosector/api/scripts/cron/process_email_queue.php >> /var/www/geosector/api/logs/email_queue.log 2>&1
 # Nettoyage des données de sécurité (quotidien à 2h)
 0 2 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_security_data.php >> /var/www/geosector/api/logs/cleanup_security.log 2>&1
 # Nettoyage des anciens logs (quotidien à 3h)
 0 3 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_logs.php >> /var/www/geosector/api/logs/cleanup_logs.log 2>&1
 # Rotation des logs événements (mensuel le 1er à 3h)
 0 3 1 * * /usr/bin/php /var/www/geosector/api/scripts/cron/rotate_event_logs.php >> /var/www/geosector/api/logs/rotation_events.log 2>&1
 ```
 ### 4. Vérifier que les CRONs sont actifs
 ```bash
 # Lister les CRONs configurés
 crontab -l
 # Vérifier les logs pour s'assurer qu'ils s'exécutent
 tail -f /var/www/geosector/api/logs/email_queue.log
 tail -f /var/www/geosector/api/logs/cleanup_logs.log
 ```
 ---
 ## Surveillance et monitoring
 ### Emplacement des logs
 Tous les logs CRON sont stockés dans `/var/www/geosector/api/logs/` :
 - `email_queue.log` : Traitement de la queue d'emails
 - `cleanup_security.log` : Nettoyage des données de sécurité
 - `cleanup_logs.log` : Nettoyage des anciens fichiers logs
 - `rotation_events.log` : Rotation des logs événements JSONL
 ### Vérification de l'exécution
 ```bash
 # Voir les dernières exécutions du processeur d'emails
 tail -n 50 /var/www/geosector/api/logs/email_queue.log
 # Voir les derniers nettoyages de logs
 tail -n 50 /var/www/geosector/api/logs/cleanup_logs.log
 # Voir les dernières rotations des logs événements
 tail -n 50 /var/www/geosector/api/logs/rotation_events.log
 ```
 ---
 ## Notes importantes
 1. **Détection d'environnement** : Tous les scripts détectent automatiquement l'environnement via `gethostname()` :
   - `pra-geo` → Production (app3.geosector.fr)
   - `rca-geo` → Recette (rapp.geosector.fr)
   - `dva-geo` → Développement (dapp.geosector.fr)
 2. **Lock files** : Les scripts critiques utilisent des fichiers de lock dans `/tmp/` pour éviter l'exécution simultanée
 3. **Permissions** : Les scripts doivent être exécutables (`chmod +x script.php`)
 4. **Logs** : Tous les scripts loggent via `LogService` pour traçabilité complète
 ---
 ## Dépannage
 ### Le CRON ne s'exécute pas
 ```bash
 # Vérifier que le service cron est actif
 rc-service crond status    # Alpine Linux
 # Relancer le service si nécessaire
 rc-service crond restart
 ```
 ### Erreur de permissions
 ```bash
 # Vérifier les permissions du script
 ls -l /var/www/geosector/api/scripts/cron/
 # Rendre exécutable si nécessaire
 chmod +x /var/www/geosector/api/scripts/cron/*.php
 # Vérifier les permissions du dossier logs
 ls -ld /var/www/geosector/api/logs/
 ```
 ### Lock file bloqué
 ```bash
 # Si un script semble bloqué, supprimer le lock file
 rm /tmp/process_email_queue.lock
 rm /tmp/cleanup_logs.lock
 ```
--- a/api/scripts/cron/aggregate_event_stats.php
+++ b/api/scripts/cron/aggregate_event_stats.php
@@ -0,0 +1,456 @@
 #!/usr/bin/env php
 <?php
 /**
 * Script CRON pour agrégation des statistiques d'événements
 *
 * Parse les fichiers JSONL et agrège les données dans event_stats_daily
 *
 * Usage:
 *   php aggregate_event_stats.php                    # Agrège J-1
 *   php aggregate_event_stats.php --date=2025-12-20 # Agrège une date spécifique
 *   php aggregate_event_stats.php --from=2025-12-01 --to=2025-12-21  # Rattrapage plage
 *
 * À exécuter quotidiennement via crontab (1h du matin) :
 * 0 1 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/aggregate_event_stats.php >> /var/www/geosector/api/logs/aggregate_stats.log 2>&1
 */
 declare(strict_types=1);
 // Configuration
 define('LOCK_FILE', '/tmp/aggregate_event_stats.lock');
 define('EVENT_LOG_DIR', __DIR__ . '/../../logs/events');
 // Empêcher l'exécution multiple simultanée
 if (file_exists(LOCK_FILE)) {
    $lockTime = filemtime(LOCK_FILE);
    if (time() - $lockTime > 3600) {
        unlink(LOCK_FILE);
    } else {
        die("[" . date('Y-m-d H:i:s') . "] Le processus est déjà en cours d'exécution\n");
    }
 }
 file_put_contents(LOCK_FILE, (string) getmypid());
 register_shutdown_function(function () {
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
 });
 // Simuler l'environnement web pour AppConfig en CLI
 if (php_sapi_name() === 'cli') {
    $hostname = gethostname();
    if (strpos($hostname, 'pra') !== false) {
        $_SERVER['SERVER_NAME'] = 'app3.geosector.fr';
    } elseif (strpos($hostname, 'rca') !== false) {
        $_SERVER['SERVER_NAME'] = 'rapp.geosector.fr';
    } else {
        $_SERVER['SERVER_NAME'] = 'dapp.geosector.fr';
    }
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'];
    $_SERVER['REMOTE_ADDR'] = $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1';
    if (!function_exists('getallheaders')) {
        function getallheaders()
        {
            return [];
        }
    }
 }
 // Chargement de l'environnement
 require_once __DIR__ . '/../../vendor/autoload.php';
 require_once __DIR__ . '/../../src/Config/AppConfig.php';
 require_once __DIR__ . '/../../src/Core/Database.php';
 require_once __DIR__ . '/../../src/Services/LogService.php';
 use App\Services\LogService;
 /**
 * Parse les arguments CLI
 */
 function parseArgs(array $argv): array
 {
    $args = [
        'date' => null,
        'from' => null,
        'to' => null,
    ];
    foreach ($argv as $arg) {
        if (strpos($arg, '--date=') === 0) {
            $args['date'] = substr($arg, 7);
        } elseif (strpos($arg, '--from=') === 0) {
            $args['from'] = substr($arg, 7);
        } elseif (strpos($arg, '--to=') === 0) {
            $args['to'] = substr($arg, 5);
        }
    }
    return $args;
 }
 /**
 * Génère la liste des dates à traiter
 */
 function getDatesToProcess(array $args): array
 {
    $dates = [];
    if ($args['date']) {
        $dates[] = $args['date'];
    } elseif ($args['from'] && $args['to']) {
        $current = new DateTime($args['from']);
        $end = new DateTime($args['to']);
        while ($current <= $end) {
            $dates[] = $current->format('Y-m-d');
            $current->modify('+1 day');
        }
    } else {
        // Par défaut : J-1
        $dates[] = date('Y-m-d', strtotime('-1 day'));
    }
    return $dates;
 }
 /**
 * Parse un fichier JSONL et retourne les événements
 */
 function parseJsonlFile(string $filePath): array
 {
    $events = [];
    if (!file_exists($filePath)) {
        return $events;
    }
    $handle = fopen($filePath, 'r');
    if (!$handle) {
        return $events;
    }
    while (($line = fgets($handle)) !== false) {
        $line = trim($line);
        if (empty($line)) {
            continue;
        }
        $event = json_decode($line, true);
        if ($event && isset($event['event'])) {
            $events[] = $event;
        }
    }
    fclose($handle);
    return $events;
 }
 /**
 * Agrège les événements par entity_id et event_type
 */
 function aggregateEvents(array $events): array
 {
    $stats = [];
    foreach ($events as $event) {
        $entityId = $event['entity_id'] ?? null;
        $eventType = $event['event'] ?? 'unknown';
        $userId = $event['user_id'] ?? null;
        // Clé d'agrégation : entity_id peut être NULL (stats globales)
        $key = ($entityId ?? 'NULL') . '|' . $eventType;
        if (!isset($stats[$key])) {
            $stats[$key] = [
                'entity_id' => $entityId,
                'event_type' => $eventType,
                'count' => 0,
                'sum_amount' => 0.0,
                'user_ids' => [],
                'metadata' => [],
            ];
        }
        $stats[$key]['count']++;
        // Collecter les user_ids pour unique_users
        if ($userId !== null) {
            $stats[$key]['user_ids'][$userId] = true;
        }
        // Somme des montants pour les passages et paiements Stripe
        if (in_array($eventType, ['passage_created', 'passage_updated'])) {
            $amount = $event['amount'] ?? 0;
            $stats[$key]['sum_amount'] += (float) $amount;
        } elseif (in_array($eventType, ['stripe_payment_success', 'stripe_payment_created'])) {
            // Montant en centimes -> euros
            $amount = ($event['amount'] ?? 0) / 100;
            $stats[$key]['sum_amount'] += (float) $amount;
        }
        // Collecter metadata spécifiques
        collectMetadata($stats[$key], $event);
    }
    // Convertir user_ids en count
    foreach ($stats as &$stat) {
        $stat['unique_users'] = count($stat['user_ids']);
        unset($stat['user_ids']);
        // Finaliser les metadata
        $stat['metadata'] = finalizeMetadata($stat['metadata'], $stat['event_type']);
    }
    return $stats;
 }
 /**
 * Collecte les métadonnées spécifiques par type d'événement
 */
 function collectMetadata(array &$stat, array $event): void
 {
    $eventType = $event['event'] ?? '';
    switch ($eventType) {
        case 'login_failed':
            $reason = $event['reason'] ?? 'unknown';
            $stat['metadata']['reasons'][$reason] = ($stat['metadata']['reasons'][$reason] ?? 0) + 1;
            break;
        case 'passage_created':
            $sectorId = $event['sector_id'] ?? null;
            if ($sectorId) {
                $stat['metadata']['sectors'][$sectorId] = ($stat['metadata']['sectors'][$sectorId] ?? 0) + 1;
            }
            $paymentType = $event['payment_type'] ?? 'unknown';
            $stat['metadata']['payment_types'][$paymentType] = ($stat['metadata']['payment_types'][$paymentType] ?? 0) + 1;
            break;
        case 'stripe_payment_failed':
            $errorCode = $event['error_code'] ?? 'unknown';
            $stat['metadata']['error_codes'][$errorCode] = ($stat['metadata']['error_codes'][$errorCode] ?? 0) + 1;
            break;
        case 'stripe_terminal_error':
            $errorCode = $event['error_code'] ?? 'unknown';
            $stat['metadata']['error_codes'][$errorCode] = ($stat['metadata']['error_codes'][$errorCode] ?? 0) + 1;
            break;
    }
 }
 /**
 * Finalise les métadonnées (top 5, tri, etc.)
 */
 function finalizeMetadata(array $metadata, string $eventType): ?array
 {
    if (empty($metadata)) {
        return null;
    }
    $result = [];
    // Top 5 secteurs
    if (isset($metadata['sectors'])) {
        arsort($metadata['sectors']);
        $result['top_sectors'] = array_slice($metadata['sectors'], 0, 5, true);
    }
    // Raisons d'échec login
    if (isset($metadata['reasons'])) {
        arsort($metadata['reasons']);
        $result['failure_reasons'] = $metadata['reasons'];
    }
    // Types de paiement
    if (isset($metadata['payment_types'])) {
        arsort($metadata['payment_types']);
        $result['payment_types'] = $metadata['payment_types'];
    }
    // Codes d'erreur
    if (isset($metadata['error_codes'])) {
        arsort($metadata['error_codes']);
        $result['error_codes'] = $metadata['error_codes'];
    }
    return empty($result) ? null : $result;
 }
 /**
 * Insère ou met à jour les stats dans la base de données
 */
 function upsertStats(PDO $db, string $date, array $stats): int
 {
    $upsertedCount = 0;
    $sql = "
        INSERT INTO event_stats_daily
            (stat_date, entity_id, event_type, count, sum_amount, unique_users, metadata)
        VALUES
            (:stat_date, :entity_id, :event_type, :count, :sum_amount, :unique_users, :metadata)
        ON DUPLICATE KEY UPDATE
            count = VALUES(count),
            sum_amount = VALUES(sum_amount),
            unique_users = VALUES(unique_users),
            metadata = VALUES(metadata),
            updated_at = CURRENT_TIMESTAMP
    ";
    $stmt = $db->prepare($sql);
    foreach ($stats as $stat) {
        try {
            $stmt->execute([
                'stat_date' => $date,
                'entity_id' => $stat['entity_id'],
                'event_type' => $stat['event_type'],
                'count' => $stat['count'],
                'sum_amount' => $stat['sum_amount'],
                'unique_users' => $stat['unique_users'],
                'metadata' => $stat['metadata'] ? json_encode($stat['metadata'], JSON_UNESCAPED_UNICODE) : null,
            ]);
            $upsertedCount++;
        } catch (PDOException $e) {
            echo "  ERREUR insertion {$stat['event_type']}: " . $e->getMessage() . "\n";
        }
    }
    return $upsertedCount;
 }
 /**
 * Génère également les stats globales (entity_id = NULL)
 */
 function generateGlobalStats(array $statsByEntity): array
 {
    $globalStats = [];
    foreach ($statsByEntity as $stat) {
        $eventType = $stat['event_type'];
        if (!isset($globalStats[$eventType])) {
            $globalStats[$eventType] = [
                'entity_id' => null,
                'event_type' => $eventType,
                'count' => 0,
                'sum_amount' => 0.0,
                'unique_users' => 0,
                'metadata' => null,
            ];
        }
        $globalStats[$eventType]['count'] += $stat['count'];
        $globalStats[$eventType]['sum_amount'] += $stat['sum_amount'];
        $globalStats[$eventType]['unique_users'] += $stat['unique_users'];
    }
    return array_values($globalStats);
 }
 // ============================================================
 // MAIN
 // ============================================================
 try {
    echo "[" . date('Y-m-d H:i:s') . "] Démarrage de l'agrégation des statistiques\n";
    // Initialisation
    $appConfig = AppConfig::getInstance();
    $config = $appConfig->getFullConfig();
    $environment = $appConfig->getEnvironment();
    echo "Environnement: {$environment}\n";
    Database::init($config['database']);
    $db = Database::getInstance();
    // Parser les arguments
    $args = parseArgs($argv);
    $dates = getDatesToProcess($args);
    echo "Dates à traiter: " . implode(', ', $dates) . "\n\n";
    $totalStats = 0;
    $totalEvents = 0;
    foreach ($dates as $date) {
        $jsonlFile = EVENT_LOG_DIR . '/' . $date . '.jsonl';
        echo "--- Traitement de {$date} ---\n";
        if (!file_exists($jsonlFile)) {
            echo "  Fichier non trouvé: {$jsonlFile}\n";
            continue;
        }
        $fileSize = filesize($jsonlFile);
        echo "  Fichier: " . basename($jsonlFile) . " (" . number_format($fileSize / 1024, 2) . " KB)\n";
        // Parser le fichier
        $events = parseJsonlFile($jsonlFile);
        $eventCount = count($events);
        echo "  Événements parsés: {$eventCount}\n";
        if ($eventCount === 0) {
            echo "  Aucun événement à agréger\n";
            continue;
        }
        $totalEvents += $eventCount;
        // Agréger par entity/event_type
        $stats = aggregateEvents($events);
        echo "  Agrégations par entité: " . count($stats) . "\n";
        // Générer les stats globales
        $globalStats = generateGlobalStats($stats);
        echo "  Agrégations globales: " . count($globalStats) . "\n";
        // Fusionner stats entités + globales
        $allStats = array_merge(array_values($stats), $globalStats);
        // Insérer en base
        $upserted = upsertStats($db, $date, $allStats);
        echo "  Stats insérées/mises à jour: {$upserted}\n";
        $totalStats += $upserted;
    }
    // Résumé
    echo "\n=== RÉSUMÉ ===\n";
    echo "Dates traitées: " . count($dates) . "\n";
    echo "Événements traités: {$totalEvents}\n";
    echo "Stats agrégées: {$totalStats}\n";
    // Log
    LogService::log('Agrégation des statistiques terminée', [
        'level' => 'info',
        'script' => 'aggregate_event_stats.php',
        'environment' => $environment,
        'dates_count' => count($dates),
        'events_count' => $totalEvents,
        'stats_count' => $totalStats,
    ]);
    echo "\n[" . date('Y-m-d H:i:s') . "] Agrégation terminée avec succès\n";
 } catch (Exception $e) {
    $errorMsg = 'Erreur lors de l\'agrégation: ' . $e->getMessage();
    LogService::log($errorMsg, [
        'level' => 'error',
        'script' => 'aggregate_event_stats.php',
        'trace' => $e->getTraceAsString(),
    ]);
    echo "\n❌ ERREUR: {$errorMsg}\n";
    echo "Stack trace:\n" . $e->getTraceAsString() . "\n";
    exit(1);
 }
 exit(0);
--- a/api/scripts/cron/cleanup_logs.php
+++ b/api/scripts/cron/cleanup_logs.php
@@ -0,0 +1,165 @@
 #!/usr/bin/env php
 <?php
 /**
 * Script CRON pour nettoyer les anciens fichiers de logs
 * Supprime les fichiers .log de plus de 10 jours dans le dossier /logs/
 *
 * À exécuter quotidiennement via crontab :
 * 0 3 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_logs.php >> /var/www/geosector/api/logs/cleanup_logs.log 2>&1
 */
 declare(strict_types=1);
 // Configuration
 define('LOG_RETENTION_DAYS', 10);
 define('LOCK_FILE', '/tmp/cleanup_logs.lock');
 // Empêcher l'exécution multiple simultanée
 if (file_exists(LOCK_FILE)) {
    $lockTime = filemtime(LOCK_FILE);
    // Si le lock a plus de 30 minutes, on le supprime (processus probablement bloqué)
    if (time() - $lockTime > 1800) {
        unlink(LOCK_FILE);
    } else {
        die("Le processus est déjà en cours d'exécution\n");
    }
 }
 // Créer le fichier de lock
 file_put_contents(LOCK_FILE, getmypid());
 // Enregistrer un handler pour supprimer le lock en cas d'arrêt
 register_shutdown_function(function() {
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
 });
 // Simuler l'environnement web pour AppConfig en CLI
 if (php_sapi_name() === 'cli') {
    // Détecter l'environnement basé sur le hostname
    $hostname = gethostname();
    if (strpos($hostname, 'pra') !== false) {
        $_SERVER['SERVER_NAME'] = 'app3.geosector.fr';
    } elseif (strpos($hostname, 'rca') !== false) {
        $_SERVER['SERVER_NAME'] = 'rapp.geosector.fr';
    } else {
        $_SERVER['SERVER_NAME'] = 'dapp.geosector.fr'; // DVA par défaut
    }
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'];
    $_SERVER['REMOTE_ADDR'] = $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1';
    // Définir getallheaders si elle n'existe pas (CLI)
    if (!function_exists('getallheaders')) {
        function getallheaders() {
            return [];
        }
    }
 }
 // Chargement de l'environnement
 require_once __DIR__ . '/../../vendor/autoload.php';
 require_once __DIR__ . '/../../src/Config/AppConfig.php';
 require_once __DIR__ . '/../../src/Services/LogService.php';
 try {
    // Initialisation de la configuration
    $appConfig = AppConfig::getInstance();
    $environment = $appConfig->getEnvironment();
    // Définir le chemin du dossier logs
    $logDir = __DIR__ . '/../../logs';
    if (!is_dir($logDir)) {
        echo "Le dossier de logs n'existe pas : {$logDir}\n";
        exit(0);
    }
    // Date limite (10 jours en arrière)
    $cutoffDate = time() - (LOG_RETENTION_DAYS * 24 * 60 * 60);
    // Lister tous les fichiers .log (exclure le dossier events/)
    $logFiles = glob($logDir . '/*.log');
    // Exclure explicitement les logs du sous-dossier events/
    $logFiles = array_filter($logFiles, function($file) {
        return strpos($file, '/events/') === false;
    });
    if (empty($logFiles)) {
        echo "Aucun fichier .log trouvé dans {$logDir}\n";
        exit(0);
    }
    $deletedCount = 0;
    $deletedSize = 0;
    $deletedFiles = [];
    foreach ($logFiles as $file) {
        $fileTime = filemtime($file);
        // Vérifier si le fichier est plus vieux que la date limite
        if ($fileTime < $cutoffDate) {
            $fileSize = filesize($file);
            $fileName = basename($file);
            if (unlink($file)) {
                $deletedCount++;
                $deletedSize += $fileSize;
                $deletedFiles[] = $fileName;
                echo "Supprimé : {$fileName} (" . number_format($fileSize / 1024, 2) . " KB)\n";
            } else {
                echo "ERREUR : Impossible de supprimer {$fileName}\n";
            }
        }
    }
    // Logger le résumé
    if ($deletedCount > 0) {
        $message = sprintf(
            "Nettoyage des logs terminé - %d fichier(s) supprimé(s) - %.2f MB libérés",
            $deletedCount,
            $deletedSize / (1024 * 1024)
        );
        LogService::log($message, [
            'level' => 'info',
            'script' => 'cleanup_logs.php',
            'environment' => $environment,
            'deleted_count' => $deletedCount,
            'deleted_size_mb' => round($deletedSize / (1024 * 1024), 2),
            'deleted_files' => $deletedFiles
        ]);
        echo "\n" . $message . "\n";
    } else {
        echo "Aucun fichier à supprimer (tous les logs ont moins de " . LOG_RETENTION_DAYS . " jours)\n";
    }
 } catch (Exception $e) {
    $errorMsg = 'Erreur lors du nettoyage des logs : ' . $e->getMessage();
    LogService::log($errorMsg, [
        'level' => 'error',
        'script' => 'cleanup_logs.php',
        'trace' => $e->getTraceAsString()
    ]);
    echo $errorMsg . "\n";
    // Supprimer le lock en cas d'erreur
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
    exit(1);
 }
 // Supprimer le lock
 if (file_exists(LOCK_FILE)) {
    unlink(LOCK_FILE);
 }
 exit(0);
--- a/api/scripts/cron/cleanup_security_data.php
+++ b/api/scripts/cron/cleanup_security_data.php
@@ -0,0 +1,150 @@
 #!/usr/bin/env php
 <?php
 /**
 * Script de nettoyage des données de sécurité
 * À exécuter via cron quotidiennement
 * Exemple crontab: 0 2 * * * /usr/bin/php /var/www/geosector/api/scripts/cron/cleanup_security_data.php
 */
 declare(strict_types=1);
 // Configuration
 require_once __DIR__ . '/../../bootstrap.php';
 require_once __DIR__ . '/../../src/Config/AppConfig.php';
 require_once __DIR__ . '/../../src/Core/Database.php';
 // Initialiser la configuration
 $appConfig = AppConfig::getInstance();
 $config = $appConfig->getFullConfig();
 // Initialiser la base de données
 Database::init($config['database']);
 $db = Database::getInstance();
 // Configuration de rétention (en jours)
 $RETENTION_DAYS = [
    'performance_metrics' => 30,  // Garder 30 jours de métriques
    'failed_login_attempts' => 7, // Garder 7 jours de tentatives
    'resolved_alerts' => 90,      // Garder 90 jours d'alertes résolues
    'expired_blocks' => 0          // Débloquer immédiatement les IPs expirées
 ];
 echo "[" . date('Y-m-d H:i:s') . "] Début du nettoyage des données de sécurité\n";
 try {
    $totalDeleted = 0;
    // 1. Nettoyer les métriques de performance
    echo "- Nettoyage des métriques de performance (>" . $RETENTION_DAYS['performance_metrics'] . " jours)...\n";
    $stmt = $db->prepare('
        DELETE FROM sec_performance_metrics 
        WHERE created_at < DATE_SUB(NOW(), INTERVAL :days DAY)
    ');
    $stmt->execute(['days' => $RETENTION_DAYS['performance_metrics']]);
    $deleted = $stmt->rowCount();
    echo "  → $deleted lignes supprimées\n";
    $totalDeleted += $deleted;
    // 2. Nettoyer les tentatives de login échouées
    echo "- Nettoyage des tentatives de login (>" . $RETENTION_DAYS['failed_login_attempts'] . " jours)...\n";
    $stmt = $db->prepare('
        DELETE FROM sec_failed_login_attempts 
        WHERE attempt_time < DATE_SUB(NOW(), INTERVAL :days DAY)
    ');
    $stmt->execute(['days' => $RETENTION_DAYS['failed_login_attempts']]);
    $deleted = $stmt->rowCount();
    echo "  → $deleted lignes supprimées\n";
    $totalDeleted += $deleted;
    // 3. Nettoyer les alertes résolues
    echo "- Nettoyage des alertes résolues (>" . $RETENTION_DAYS['resolved_alerts'] . " jours)...\n";
    $stmt = $db->prepare('
        DELETE FROM sec_alerts 
        WHERE resolved = 1 
          AND resolved_at < DATE_SUB(NOW(), INTERVAL :days DAY)
    ');
    $stmt->execute(['days' => $RETENTION_DAYS['resolved_alerts']]);
    $deleted = $stmt->rowCount();
    echo "  → $deleted lignes supprimées\n";
    $totalDeleted += $deleted;
    // 4. Débloquer les IPs expirées
    echo "- Déblocage des IPs expirées...\n";
    $stmt = $db->prepare('
        UPDATE sec_blocked_ips 
        SET unblocked_at = NOW()
        WHERE blocked_until <= NOW() 
          AND unblocked_at IS NULL
          AND permanent = 0
    ');
    $stmt->execute();
    $unblocked = $stmt->rowCount();
    echo "  → $unblocked IPs débloquées\n";
    // 5. Supprimer les anciennes IPs débloquées (optionnel, garder 180 jours d'historique)
    echo "- Suppression des anciennes IPs débloquées (>180 jours)...\n";
    $stmt = $db->prepare('
        DELETE FROM sec_blocked_ips 
        WHERE unblocked_at IS NOT NULL 
          AND unblocked_at < DATE_SUB(NOW(), INTERVAL 180 DAY)
    ');
    $stmt->execute();
    $deleted = $stmt->rowCount();
    echo "  → $deleted lignes supprimées\n";
    $totalDeleted += $deleted;
    // 6. Optimiser les tables (optionnel, peut être long sur de grosses tables)
    if ($totalDeleted > 1000) {
        echo "- Optimisation des tables...\n";
        $tables = [
            'sec_performance_metrics',
            'sec_failed_login_attempts',
            'sec_alerts',
            'sec_blocked_ips'
        ];
        foreach ($tables as $table) {
            try {
                $db->exec("OPTIMIZE TABLE $table");
                echo "  → Table $table optimisée\n";
            } catch (Exception $e) {
                echo "  ⚠ Impossible d'optimiser $table: " . $e->getMessage() . "\n";
            }
        }
    }
    // 7. Statistiques finales
    echo "\n=== RÉSUMÉ ===\n";
    echo "Total supprimé: $totalDeleted lignes\n";
    echo "IPs débloquées: $unblocked\n";
    // Obtenir les statistiques actuelles
    $stats = [];
    $tables = [
        'sec_alerts' => "SELECT COUNT(*) as total, SUM(resolved = 0) as active FROM sec_alerts",
        'sec_performance_metrics' => "SELECT COUNT(*) as total FROM sec_performance_metrics",
        'sec_failed_login_attempts' => "SELECT COUNT(*) as total FROM sec_failed_login_attempts",
        'sec_blocked_ips' => "SELECT COUNT(*) as total, SUM(permanent = 1) as permanent FROM sec_blocked_ips WHERE unblocked_at IS NULL"
    ];
    echo "\nÉtat actuel des tables:\n";
    foreach ($tables as $table => $query) {
        $result = $db->query($query)->fetch(PDO::FETCH_ASSOC);
        if ($table === 'sec_alerts') {
            echo "- $table: {$result['total']} total, {$result['active']} actives\n";
        } elseif ($table === 'sec_blocked_ips') {
            $permanent = $result['permanent'] ?? 0;
            echo "- $table: {$result['total']} bloquées, $permanent permanentes\n";
        } else {
            echo "- $table: {$result['total']} enregistrements\n";
        }
    }
    echo "\n[" . date('Y-m-d H:i:s') . "] Nettoyage terminé avec succès\n";
 } catch (Exception $e) {
    echo "\n❌ ERREUR: " . $e->getMessage() . "\n";
    echo "Stack trace:\n" . $e->getTraceAsString() . "\n";
    exit(1);
 }
--- a/api/scripts/cron/process_email_queue.php
+++ b/api/scripts/cron/process_email_queue.php
@@ -0,0 +1,323 @@
 #!/usr/bin/env php
 <?php
 /**
 * Script CRON pour traiter la queue d'emails
 * Envoie les emails en attente dans la table email_queue
 * 
 * À exécuter toutes les 5 minutes via crontab :
 * Exemple: [asterisk]/5 [asterisk] [asterisk] [asterisk] [asterisk] /usr/bin/php /path/to/api/scripts/cron/process_email_queue.php
 */
 declare(strict_types=1);
 // Configuration
 define('MAX_ATTEMPTS', 3);
 define('BATCH_SIZE', 50);
 define('LOCK_FILE', '/tmp/process_email_queue.lock');
 // Empêcher l'exécution multiple simultanée
 if (file_exists(LOCK_FILE)) {
    $lockTime = filemtime(LOCK_FILE);
    // Si le lock a plus de 30 minutes, on le supprime (processus probablement bloqué)
    if (time() - $lockTime > 1800) {
        unlink(LOCK_FILE);
    } else {
        die("Le processus est déjà en cours d'exécution\n");
    }
 }
 // Créer le fichier de lock
 file_put_contents(LOCK_FILE, getmypid());
 // Enregistrer un handler pour supprimer le lock en cas d'arrêt
 register_shutdown_function(function() {
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
 });
 // Simuler l'environnement web pour AppConfig en CLI
 if (php_sapi_name() === 'cli') {
    // Détecter l'environnement basé sur le hostname ou un paramètre
    $hostname = gethostname();
    if (strpos($hostname, 'pra') !== false) {
        $_SERVER['SERVER_NAME'] = 'app3.geosector.fr';
    } elseif (strpos($hostname, 'rca') !== false) {
        $_SERVER['SERVER_NAME'] = 'rapp.geosector.fr';
    } else {
        $_SERVER['SERVER_NAME'] = 'dapp.geosector.fr'; // DVA par défaut
    }
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'];
    $_SERVER['REMOTE_ADDR'] = $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1';
    // Définir getallheaders si elle n'existe pas (CLI)
    if (!function_exists('getallheaders')) {
        function getallheaders() {
            return [];
        }
    }
 }
 // Chargement de l'environnement
 require_once __DIR__ . '/../../vendor/autoload.php';
 require_once __DIR__ . '/../../src/Config/AppConfig.php';
 require_once __DIR__ . '/../../src/Core/Database.php';
 require_once __DIR__ . '/../../src/Services/LogService.php';
 use PHPMailer\PHPMailer\PHPMailer;
 use PHPMailer\PHPMailer\SMTP;
 use PHPMailer\PHPMailer\Exception;
 use App\Services\LogService;
 try {
    // Initialisation de la configuration
    $appConfig = AppConfig::getInstance();
    $dbConfig = $appConfig->getDatabaseConfig();
    // Initialiser la base de données avec la configuration
    Database::init($dbConfig);
    $db = Database::getInstance();
    // Log uniquement si mode debug activé
    // LogService::log('Démarrage du processeur de queue d\'emails', [
    //     'level' => 'info',
    //     'script' => 'process_email_queue.php'
    // ]);
    // Récupérer les emails en attente
    $stmt = $db->prepare('
        SELECT id, fk_pass, to_email, subject, body, headers, attempts
        FROM email_queue
        WHERE status = ? AND attempts < ?
        ORDER BY created_at ASC
        LIMIT ?
    ');
    $stmt->execute(['pending', MAX_ATTEMPTS, BATCH_SIZE]);
    $emails = $stmt->fetchAll(PDO::FETCH_ASSOC);
    if (empty($emails)) {
        // Ne pas logger quand il n'y a rien à faire (toutes les 5 minutes)
        // LogService::log('Aucun email en attente dans la queue', [
        //     'level' => 'debug'
        // ]);
        exit(0);
    }
    LogService::log('Emails à traiter', [
        'level' => 'info',
        'count' => count($emails)
    ]);
    // Configuration SMTP
    $smtpConfig = $appConfig->getSmtpConfig();
    $emailConfig = $appConfig->getEmailConfig();
    $successCount = 0;
    $failureCount = 0;
    // Traiter chaque email
    foreach ($emails as $emailData) {
        $emailId = $emailData['id'];
        $passageId = $emailData['fk_pass'];
        try {
            // Incrémenter le compteur de tentatives
            $stmt = $db->prepare('UPDATE email_queue SET attempts = attempts + 1 WHERE id = ?');
            $stmt->execute([$emailId]);
            // Créer l'instance PHPMailer
            $mail = new PHPMailer(true);
            // Configuration du serveur SMTP
            $mail->isSMTP();
            $mail->Host = $smtpConfig['host'];
            $mail->SMTPAuth = $smtpConfig['auth'] ?? true;
            $mail->Username = $smtpConfig['user'];
            $mail->Password = $smtpConfig['pass'];
            $mail->SMTPSecure = $smtpConfig['secure'];
            $mail->Port = $smtpConfig['port'];
            $mail->CharSet = 'UTF-8';
            // Configuration de l'expéditeur
            $fromName = 'Amicale Sapeurs-Pompiers'; // Nom par défaut
            $mail->setFrom($emailConfig['from'], $fromName);
            // Destinataire
            $mail->addAddress($emailData['to_email']);
            // Sujet
            $mail->Subject = $emailData['subject'];
            // Headers personnalisés si présents
            if (!empty($emailData['headers'])) {
                // Les headers contiennent déjà les informations MIME pour la pièce jointe
                // On doit extraire le boundary et reconstruire le message
                if (preg_match('/boundary="([^"]+)"/', $emailData['headers'], $matches)) {
                    $boundary = $matches[1];
                    // Le body contient déjà le message complet avec pièce jointe
                    $mail->isHTML(false);
                    $mail->Body = $emailData['body'];
                    // Extraire le contenu HTML et la pièce jointe
                    $parts = explode("--$boundary", $emailData['body']);
                    foreach ($parts as $part) {
                        if (strpos($part, 'Content-Type: text/html') !== false) {
                            // Extraire le contenu HTML
                            $htmlContent = trim(substr($part, strpos($part, "\r\n\r\n") + 4));
                            $mail->isHTML(true);
                            $mail->Body = $htmlContent;
                        } elseif (strpos($part, 'Content-Type: application/pdf') !== false) {
                            // Extraire le PDF encodé en base64
                            if (preg_match('/filename="([^"]+)"/', $part, $fileMatches)) {
                                $filename = $fileMatches[1];
                                $pdfContent = trim(substr($part, strpos($part, "\r\n\r\n") + 4));
                                // Supprimer les retours à la ligne du base64
                                $pdfContent = str_replace(["\r", "\n"], '', $pdfContent);
                                // Ajouter la pièce jointe
                                $mail->addStringAttachment(
                                    base64_decode($pdfContent),
                                    $filename,
                                    'base64',
                                    'application/pdf'
                                );
                            }
                        }
                    }
                }
            } else {
                // Email simple sans pièce jointe
                $mail->isHTML(true);
                $mail->Body = $emailData['body'];
            }
            // Ajouter une copie si configuré
            if (!empty($emailConfig['contact'])) {
                $mail->addBCC($emailConfig['contact']);
            }
            // Envoyer l'email
            if ($mail->send()) {
                // Marquer comme envoyé
                $stmt = $db->prepare('
                    UPDATE email_queue 
                    SET status = ?, sent_at = NOW() 
                    WHERE id = ?
                ');
                $stmt->execute(['sent', $emailId]);
                // Mettre à jour le passage si nécessaire
                if ($passageId > 0) {
                    $stmt = $db->prepare('
                        UPDATE ope_pass 
                        SET date_sent_recu = NOW(), chk_email_sent = 1 
                        WHERE id = ?
                    ');
                    $stmt->execute([$passageId]);
                }
                $successCount++;
                LogService::log('Email envoyé avec succès', [
                    'level' => 'info',
                    'emailId' => $emailId,
                    'passageId' => $passageId,
                    'to' => $emailData['to_email']
                ]);
            } else {
                throw new Exception('Échec de l\'envoi');
            }
        } catch (Exception $e) {
            $failureCount++;
            LogService::log('Erreur lors de l\'envoi de l\'email', [
                'level' => 'error',
                'emailId' => $emailId,
                'passageId' => $passageId,
                'error' => $e->getMessage(),
                'attempts' => $emailData['attempts'] + 1
            ]);
            // Si on a atteint le nombre max de tentatives, marquer comme échoué
            if ($emailData['attempts'] + 1 >= MAX_ATTEMPTS) {
                $stmt = $db->prepare('
                    UPDATE email_queue 
                    SET status = ?, error_message = ?
                    WHERE id = ?
                ');
                $stmt->execute(['failed', $e->getMessage(), $emailId]);
                LogService::log('Email marqué comme échoué après ' . MAX_ATTEMPTS . ' tentatives', [
                    'level' => 'warning',
                    'emailId' => $emailId,
                    'passageId' => $passageId
                ]);
            }
        }
        // Pause courte entre chaque email pour éviter la surcharge
        usleep(500000); // 0.5 seconde
    }
    // Logger uniquement s'il y avait des emails à traiter
    if (count($emails) > 0) {
        LogService::log('Traitement de la queue terminé', [
            'level' => 'info',
            'success' => $successCount,
            'failures' => $failureCount,
            'total' => count($emails)
        ]);
    }
 } catch (Exception $e) {
    LogService::log('Erreur fatale dans le processeur de queue', [
        'level' => 'critical',
        'error' => $e->getMessage(),
        'trace' => $e->getTraceAsString()
    ]);
    // Supprimer le lock en cas d'erreur
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
    exit(1);
 }
 // Nettoyer les vieux emails traités (optionnel)
 try {
    // Supprimer les emails envoyés de plus de 30 jours
    $stmt = $db->prepare('
        DELETE FROM email_queue 
        WHERE status = ? AND sent_at < DATE_SUB(NOW(), INTERVAL 30 DAY)
    ');
    $stmt->execute(['sent']);
    $deleted = $stmt->rowCount();
    if ($deleted > 0) {
        LogService::log('Nettoyage des anciens emails', [
            'level' => 'info',
            'deleted' => $deleted
        ]);
    }
 } catch (Exception $e) {
    LogService::log('Erreur lors du nettoyage des anciens emails', [
        'level' => 'warning',
        'error' => $e->getMessage()
    ]);
 }
 // Supprimer le lock
 if (file_exists(LOCK_FILE)) {
    unlink(LOCK_FILE);
 }
 echo "Traitement terminé : $successCount envoyés, $failureCount échecs\n";
 exit(0);
--- a/api/scripts/cron/process_email_queue_with_daily_log.sh
+++ b/api/scripts/cron/process_email_queue_with_daily_log.sh
@@ -0,0 +1,31 @@
 #!/bin/bash
 # Script wrapper pour process_email_queue avec logs journaliers
 # Crée automatiquement un nouveau fichier log chaque jour
 # Configuration
 LOG_DIR="/var/www/geosector/api/logs"
 LOG_FILE="$LOG_DIR/email_queue_$(date +%Y%m%d).log"
 PHP_SCRIPT="/var/www/geosector/api/scripts/cron/process_email_queue.php"
 # Créer le répertoire de logs s'il n'existe pas
 mkdir -p "$LOG_DIR"
 # Ajouter un timestamp au début de l'exécution
 echo "[$(date '+%Y-%m-%d %H:%M:%S')] Démarrage du processeur de queue d'emails" >> "$LOG_FILE"
 # Exécuter le script PHP
 /usr/bin/php "$PHP_SCRIPT" >> "$LOG_FILE" 2>&1
 # Ajouter le statut de sortie
 EXIT_CODE=$?
 if [ $EXIT_CODE -eq 0 ]; then
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] Fin du traitement (succès)" >> "$LOG_FILE"
 else
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] Fin du traitement (erreur: $EXIT_CODE)" >> "$LOG_FILE"
 fi
 # Nettoyer les logs de plus de 30 jours
 find "$LOG_DIR" -name "email_queue_*.log" -type f -mtime +30 -delete 2>/dev/null
 exit $EXIT_CODE
--- a/api/scripts/cron/rotate_event_logs.php
+++ b/api/scripts/cron/rotate_event_logs.php
@@ -0,0 +1,169 @@
 #!/usr/bin/env php
 <?php
 /**
 * Script CRON pour rotation des logs d'événements JSONL
 *
 * Politique de rétention : 15 mois
 * - 0-15 mois : fichiers .jsonl conservés (non compressés pour accès API)
 * - > 15 mois : suppression
 *
 * À exécuter mensuellement via crontab (1er du mois à 3h) :
 * 0 3 1 * * /usr/bin/php /var/www/geosector/api/scripts/cron/rotate_event_logs.php >> /var/www/geosector/api/logs/rotation_events.log 2>&1
 */
 declare(strict_types=1);
 // Configuration
 define('RETENTION_MONTHS', 15);     // Conserver 15 mois
 define('LOCK_FILE', '/tmp/rotate_event_logs.lock');
 // Empêcher l'exécution multiple simultanée
 if (file_exists(LOCK_FILE)) {
    $lockTime = filemtime(LOCK_FILE);
    // Si le lock a plus de 2 heures, on le supprime (processus probablement bloqué)
    if (time() - $lockTime > 7200) {
        unlink(LOCK_FILE);
    } else {
        die("Le processus est déjà en cours d'exécution\n");
    }
 }
 // Créer le fichier de lock
 file_put_contents(LOCK_FILE, getmypid());
 // Enregistrer un handler pour supprimer le lock en cas d'arrêt
 register_shutdown_function(function() {
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
 });
 // Simuler l'environnement web pour AppConfig en CLI
 if (php_sapi_name() === 'cli') {
    // Détecter l'environnement basé sur le hostname
    $hostname = gethostname();
    if (strpos($hostname, 'pra') !== false) {
        $_SERVER['SERVER_NAME'] = 'app3.geosector.fr';
    } elseif (strpos($hostname, 'rca') !== false) {
        $_SERVER['SERVER_NAME'] = 'rapp.geosector.fr';
    } else {
        $_SERVER['SERVER_NAME'] = 'dapp.geosector.fr'; // DVA par défaut
    }
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'];
    $_SERVER['REMOTE_ADDR'] = $_SERVER['REMOTE_ADDR'] ?? '127.0.0.1';
    // Définir getallheaders si elle n'existe pas (CLI)
    if (!function_exists('getallheaders')) {
        function getallheaders() {
            return [];
        }
    }
 }
 // Chargement de l'environnement
 require_once __DIR__ . '/../../vendor/autoload.php';
 require_once __DIR__ . '/../../src/Config/AppConfig.php';
 require_once __DIR__ . '/../../src/Services/LogService.php';
 try {
    // Initialisation de la configuration
    $appConfig = AppConfig::getInstance();
    $environment = $appConfig->getEnvironment();
    // Définir le chemin du dossier des logs événements
    $eventLogDir = __DIR__ . '/../../logs/events';
    if (!is_dir($eventLogDir)) {
        echo "Le dossier de logs événements n'existe pas : {$eventLogDir}\n";
        exit(0);
    }
    // Date limite de suppression
    $deletionDate = strtotime('-' . RETENTION_MONTHS . ' months');
    // Lister tous les fichiers .jsonl
    $jsonlFiles = glob($eventLogDir . '/*.jsonl');
    if (empty($jsonlFiles)) {
        echo "Aucun fichier .jsonl trouvé dans {$eventLogDir}\n";
        exit(0);
    }
    $deletedCount = 0;
    $deletedSize = 0;
    $deletedFiles = [];
    // ========================================
    // Suppression des fichiers > 15 mois
    // ========================================
    foreach ($jsonlFiles as $file) {
        $fileTime = filemtime($file);
        // Vérifier si le fichier est plus vieux que la date de rétention
        if ($fileTime < $deletionDate) {
            $fileSize = filesize($file);
            $fileName = basename($file);
            if (unlink($file)) {
                $deletedCount++;
                $deletedSize += $fileSize;
                $deletedFiles[] = $fileName;
                echo "Supprimé : {$fileName} (> " . RETENTION_MONTHS . " mois, " .
                     number_format($fileSize / 1024, 2) . " KB)\n";
            } else {
                echo "ERREUR : Impossible de supprimer {$fileName}\n";
            }
        }
    }
    // ========================================
    // RÉSUMÉ ET LOGGING
    // ========================================
    if ($deletedCount > 0) {
        $message = sprintf(
            "Rotation des logs événements terminée - %d fichier(s) supprimé(s) - %.2f MB libérés",
            $deletedCount,
            $deletedSize / (1024 * 1024)
        );
        LogService::log($message, [
            'level' => 'info',
            'script' => 'rotate_event_logs.php',
            'environment' => $environment,
            'deleted_count' => $deletedCount,
            'deleted_size_mb' => round($deletedSize / (1024 * 1024), 2),
            'deleted_files' => $deletedFiles
        ]);
        echo "\n" . $message . "\n";
    } else {
        echo "Aucune rotation nécessaire - Tous les fichiers .jsonl ont moins de " . RETENTION_MONTHS . " mois\n";
    }
 } catch (Exception $e) {
    $errorMsg = 'Erreur lors de la rotation des logs événements : ' . $e->getMessage();
    LogService::log($errorMsg, [
        'level' => 'error',
        'script' => 'rotate_event_logs.php',
        'trace' => $e->getTraceAsString()
    ]);
    echo $errorMsg . "\n";
    // Supprimer le lock en cas d'erreur
    if (file_exists(LOCK_FILE)) {
        unlink(LOCK_FILE);
    }
    exit(1);
 }
 // Supprimer le lock
 if (file_exists(LOCK_FILE)) {
    unlink(LOCK_FILE);
 }
 exit(0);
--- a/api/scripts/cron/sync_databases.php
+++ b/api/scripts/cron/sync_databases.php
--- a/api/scripts/fix_geometry_for_spatial_index.sql
+++ b/api/scripts/fix_geometry_for_spatial_index.sql
@@ -0,0 +1,37 @@
 -- Script pour diagnostiquer et corriger les problèmes d'index spatial
 -- 1. Vérifier s'il y a des géométries vides
 SELECT 'Géométries vides:' as diagnostic;
 SELECT code, libelle
 FROM x_departements
 WHERE contour IS NOT NULL AND ST_IsEmpty(contour) = 1;
 -- 2. Essayer de créer un index spatial sur une copie de la table pour tester
 CREATE TABLE x_departements_test LIKE x_departements;
 -- 3. Copier uniquement les départements métropolitains avec contours
 INSERT INTO x_departements_test 
 SELECT * FROM x_departements 
 WHERE contour IS NOT NULL 
  AND code NOT IN ('20', '971', '972', '973', '974', '975', '976');
 -- 4. Tenter de créer l'index spatial sur la table de test
 ALTER TABLE x_departements_test ADD SPATIAL INDEX idx_contour_test (contour);
 -- Si ça fonctionne, le problème vient des départements spécifiques
 -- Si ça ne fonctionne pas, il y a un problème avec les données géométriques
 -- 5. Alternative : recréer les géométries à partir du texte WKT
 -- Cela peut corriger certains problèmes de format
 UPDATE x_departements d
 INNER JOIN x_departements_contours dc ON d.code = dc.code_dept
 SET d.contour = ST_GeomFromText(ST_AsText(dc.contour))
 WHERE dc.contour IS NOT NULL 
  AND d.code IN (SELECT code FROM x_departements WHERE contour IS NOT NULL LIMIT 1);
 -- 6. Nettoyer
 DROP TABLE IF EXISTS x_departements_test;
 -- Note : Pour l'instant, l'index normal créé avec contour(32) permettra 
 -- le fonctionnement de l'API, même si les performances seront moindres 
 -- qu'avec un vrai index spatial.
--- a/api/scripts/geosector.sql
+++ b/api/scripts/geosector.sql
--- a/api/scripts/geosector_app.sql
+++ b/api/scripts/geosector_app.sql
--- a/api/scripts/import_departements_from_file.php
+++ b/api/scripts/import_departements_from_file.php
@@ -0,0 +1,263 @@
 <?php
 /**
 * Script d'import des contours départementaux depuis un fichier GeoJSON local
 */
 class DepartementContoursFileImporter {
    private PDO $db;
    private array $log = [];
    public function __construct(PDO $db) {
        $this->db = $db;
    }
    /**
     * Vérifie si la table existe
     */
    public function tableExists(): bool {
        try {
            $sql = "SHOW TABLES LIKE 'x_departements_contours'";
            $stmt = $this->db->query($sql);
            return $stmt->rowCount() > 0;
        } catch (Exception $e) {
            return false;
        }
    }
    /**
     * Vérifie si la table est vide
     */
    private function isTableEmpty(): bool {
        try {
            $sql = "SELECT COUNT(*) as count FROM x_departements_contours";
            $stmt = $this->db->query($sql);
            $result = $stmt->fetch();
            return $result['count'] == 0;
        } catch (Exception $e) {
            return true;
        }
    }
    /**
     * Importe les départements depuis un fichier GeoJSON
     */
    public function importFromFile(string $filePath): array {
        $this->log[] = "Début de l'import depuis le fichier : $filePath";
        $this->log[] = "";
        // Vérifier que le fichier existe
        if (!file_exists($filePath)) {
            $this->log[] = "✗ Fichier non trouvé : $filePath";
            return $this->log;
        }
        // Vérifier que la table existe
        if (!$this->tableExists()) {
            $this->log[] = "✗ La table x_departements_contours n'existe pas";
            return $this->log;
        }
        // Vérifier que la table est vide
        if (!$this->isTableEmpty()) {
            $this->log[] = "✗ La table x_departements_contours contient déjà des données";
            return $this->log;
        }
        // Lire le fichier GeoJSON
        $this->log[] = "Lecture du fichier GeoJSON...";
        $jsonContent = file_get_contents($filePath);
        if ($jsonContent === false) {
            $this->log[] = "✗ Impossible de lire le fichier";
            return $this->log;
        }
        // Parser le JSON
        $geojson = json_decode($jsonContent, true);
        if (json_last_error() !== JSON_ERROR_NONE) {
            $this->log[] = "✗ Erreur JSON : " . json_last_error_msg();
            return $this->log;
        }
        if (!isset($geojson['features']) || !is_array($geojson['features'])) {
            $this->log[] = "✗ Format GeoJSON invalide : pas de features";
            return $this->log;
        }
        $this->log[] = "✓ Fichier chargé : " . count($geojson['features']) . " départements trouvés";
        $this->log[] = "";
        // Préparer la requête d'insertion
        $sql = "INSERT INTO x_departements_contours 
                (code_dept, nom_dept, contour, bbox_min_lat, bbox_max_lat, bbox_min_lng, bbox_max_lng) 
                VALUES 
                (:code, :nom, ST_GeomFromText(:polygon, 4326), :min_lat, :max_lat, :min_lng, :max_lng)";
        $stmt = $this->db->prepare($sql);
        $success = 0;
        $errors = 0;
        // Démarrer une transaction
        $this->db->beginTransaction();
        try {
            foreach ($geojson['features'] as $feature) {
                // Extraire les informations
                $code = $feature['properties']['code'] ?? null;
                $nom = $feature['properties']['nom'] ?? null;
                $geometry = $feature['geometry'] ?? null;
                if (!$code || !$nom || !$geometry) {
                    $this->log[] = "✗ Données manquantes pour un département";
                    $errors++;
                    continue;
                }
                // Convertir la géométrie en WKT
                $wktData = $this->geometryToWkt($geometry);
                if (!$wktData) {
                    $this->log[] = "✗ Conversion échouée pour $code ($nom)";
                    $errors++;
                    continue;
                }
                try {
                    $stmt->execute([
                        'code' => $code,
                        'nom' => $nom,
                        'polygon' => $wktData['wkt'],
                        'min_lat' => $wktData['bbox']['min_lat'],
                        'max_lat' => $wktData['bbox']['max_lat'],
                        'min_lng' => $wktData['bbox']['min_lng'],
                        'max_lng' => $wktData['bbox']['max_lng']
                    ]);
                    $this->log[] = "✓ $code - $nom importé";
                    $success++;
                } catch (Exception $e) {
                    $this->log[] = "✗ Erreur SQL pour $code ($nom) : " . $e->getMessage();
                    $errors++;
                }
            }
            // Valider ou annuler la transaction
            if ($success > 0) {
                $this->db->commit();
                $this->log[] = "";
                $this->log[] = "✓ Transaction validée";
            } else {
                $this->db->rollBack();
                $this->log[] = "";
                $this->log[] = "✗ Transaction annulée (aucun import réussi)";
            }
        } catch (Exception $e) {
            $this->db->rollBack();
            $this->log[] = "";
            $this->log[] = "✗ Erreur fatale : " . $e->getMessage();
            $this->log[] = "✗ Transaction annulée";
        }
        $this->log[] = "";
        $this->log[] = "Import terminé : $success réussis, $errors erreurs";
        return $this->log;
    }
    /**
     * Convertit une géométrie GeoJSON en WKT
     */
    private function geometryToWkt(array $geometry): ?array {
        $type = $geometry['type'] ?? null;
        $coordinates = $geometry['coordinates'] ?? null;
        if (!$type || !$coordinates) {
            return null;
        }
        $wkt = null;
        $allPoints = [];
        switch ($type) {
            case 'Polygon':
                // Un seul polygone
                $ring = $coordinates[0]; // Anneau extérieur
                $points = [];
                foreach ($ring as $point) {
                    $points[] = $point[0] . ' ' . $point[1];
                    $allPoints[] = $point;
                }
                $wkt = 'POLYGON((' . implode(',', $points) . '))';
                break;
            case 'MultiPolygon':
                // Plusieurs polygones
                $polygons = [];
                foreach ($coordinates as $polygon) {
                    $ring = $polygon[0]; // Anneau extérieur du polygone
                    $points = [];
                    foreach ($ring as $point) {
                        $points[] = $point[0] . ' ' . $point[1];
                        $allPoints[] = $point;
                    }
                    $polygons[] = '((' . implode(',', $points) . '))';
                }
                $wkt = 'MULTIPOLYGON(' . implode(',', $polygons) . ')';
                break;
            default:
                return null;
        }
        if (!$wkt || empty($allPoints)) {
            return null;
        }
        // Calculer la bounding box
        $lats = array_map(function($p) { return $p[1]; }, $allPoints);
        $lngs = array_map(function($p) { return $p[0]; }, $allPoints);
        return [
            'wkt' => $wkt,
            'bbox' => [
                'min_lat' => min($lats),
                'max_lat' => max($lats),
                'min_lng' => min($lngs),
                'max_lng' => max($lngs)
            ]
        ];
    }
 }
 // Si le script est exécuté directement
 if (php_sapi_name() === 'cli' && basename(__FILE__) === basename($_SERVER['PHP_SELF'] ?? __FILE__)) {
    require_once __DIR__ . '/../src/Config/AppConfig.php';
    require_once __DIR__ . '/../src/Core/Database.php';
    // Chemin vers le fichier GeoJSON
    $filePath = __DIR__ . '/../docs/contour-des-departements.geojson';
    // Vérifier les arguments
    if ($argc > 1) {
        $filePath = $argv[1];
    }
    echo "Import des contours départementaux depuis un fichier\n";
    echo "==================================================\n\n";
    echo "Fichier : $filePath\n\n";
    $appConfig = AppConfig::getInstance();
    Database::init($appConfig->getDatabaseConfig());
    $db = Database::getInstance();
    $importer = new DepartementContoursFileImporter($db);
    $log = $importer->importFromFile($filePath);
    foreach ($log as $line) {
        echo $line . "\n";
    }
 }
--- a/api/scripts/import_department_boundaries.php
+++ b/api/scripts/import_department_boundaries.php
@@ -0,0 +1,175 @@
 <?php
 /**
 * Script d'import des contours des départements français
 * 
 * Les données peuvent provenir de :
 * - IGN Admin Express : https://geoservices.ign.fr/adminexpress
 * - data.gouv.fr : https://www.data.gouv.fr/fr/datasets/contours-des-departements-francais-issus-d-openstreetmap/
 * - OpenStreetMap via Overpass API
 * 
 * Format attendu : GeoJSON ou Shapefile converti en SQL
 */
 require_once __DIR__ . '/../src/Config/AppConfig.php';
 require_once __DIR__ . '/../src/Core/Database.php';
 echo "Import des contours des départements\n";
 echo "===================================\n\n";
 // Initialiser la base de données
 $appConfig = AppConfig::getInstance();
 Database::init($appConfig->getDatabaseConfig());
 $db = Database::getInstance();
 // Exemple de données pour quelques départements bretons
 // En production, ces données viendraient d'un fichier GeoJSON ou d'une API
 $departements = [
    [
        'code' => '22',
        'nom' => 'Côtes-d\'Armor',
        // Contour simplifié - en réalité il faudrait des centaines de points
        'points' => [
            [-3.6546, 48.9012], [-3.3856, 48.8756], [-3.1234, 48.8234],
            [-2.7856, 48.7845], [-2.4567, 48.7234], [-2.1234, 48.6456],
            [-2.0123, 48.5234], [-2.0456, 48.3456], [-2.1567, 48.1234],
            [-2.3456, 48.0567], [-2.6789, 48.0789], [-3.0123, 48.1234],
            [-3.3456, 48.2345], [-3.5678, 48.4567], [-3.6234, 48.6789],
            [-3.6546, 48.9012]  // Fermer le polygone
        ]
    ],
    [
        'code' => '29',
        'nom' => 'Finistère',
        'points' => [
            [-5.1423, 48.7523], [-4.8234, 48.6845], [-4.5123, 48.6234],
            [-4.2345, 48.5678], [-3.9876, 48.4567], [-3.7234, 48.3456],
            [-3.4567, 48.2345], [-3.3876, 48.0123], [-3.4234, 47.8234],
            [-3.5678, 47.6456], [-3.8765, 47.6789], [-4.2345, 47.7234],
            [-4.5678, 47.8234], [-4.8765, 47.9345], [-5.0876, 48.1234],
            [-5.1234, 48.3456], [-5.1345, 48.5678], [-5.1423, 48.7523]
        ]
    ],
    [
        'code' => '35',
        'nom' => 'Ille-et-Vilaine',
        'points' => [
            [-2.0123, 48.6456], [-1.7234, 48.5678], [-1.4567, 48.4567],
            [-1.2345, 48.3456], [-1.0234, 48.2345], [-1.0567, 48.0123],
            [-1.1234, 47.8234], [-1.2567, 47.6456], [-1.4678, 47.6789],
            [-1.7234, 47.7234], [-1.9876, 47.8234], [-2.1234, 47.9345],
            [-2.2345, 48.1234], [-2.1567, 48.3456], [-2.0678, 48.5234],
            [-2.0123, 48.6456]
        ]
    ],
    [
        'code' => '56',
        'nom' => 'Morbihan',
        'points' => [
            [-3.4567, 48.2345], [-3.2345, 48.1234], [-2.9876, 48.0123],
            [-2.7234, 47.9234], [-2.4567, 47.8345], [-2.2345, 47.7456],
            [-2.1234, 47.6234], [-2.2567, 47.4567], [-2.4678, 47.3456],
            [-2.7234, 47.3789], [-3.0123, 47.4234], [-3.2876, 47.5234],
            [-3.5234, 47.6345], [-3.6789, 47.7456], [-3.7234, 47.9234],
            [-3.6567, 48.0789], [-3.4567, 48.2345]
        ]
    ]
 ];
 try {
    $db->beginTransaction();
    // Préparer la requête d'insertion
    $sql = "INSERT INTO departements_contours 
            (code_dept, nom_dept, contour, bbox_min_lat, bbox_max_lat, bbox_min_lng, bbox_max_lng) 
            VALUES 
            (:code, :nom, ST_GeomFromText(:polygon, 4326), :min_lat, :max_lat, :min_lng, :max_lng)
            ON DUPLICATE KEY UPDATE
            nom_dept = VALUES(nom_dept),
            contour = VALUES(contour),
            bbox_min_lat = VALUES(bbox_min_lat),
            bbox_max_lat = VALUES(bbox_max_lat),
            bbox_min_lng = VALUES(bbox_min_lng),
            bbox_max_lng = VALUES(bbox_max_lng),
            updated_at = CURRENT_TIMESTAMP";
    $stmt = $db->prepare($sql);
    foreach ($departements as $dept) {
        echo "Import du département {$dept['code']} - {$dept['nom']}...\n";
        // Créer le polygone WKT
        $polygonPoints = [];
        $lats = [];
        $lngs = [];
        foreach ($dept['points'] as $point) {
            $lng = $point[0];
            $lat = $point[1];
            $polygonPoints[] = "$lng $lat";
            $lats[] = $lat;
            $lngs[] = $lng;
        }
        $polygon = 'POLYGON((' . implode(',', $polygonPoints) . '))';
        // Calculer la bounding box
        $minLat = min($lats);
        $maxLat = max($lats);
        $minLng = min($lngs);
        $maxLng = max($lngs);
        // Exécuter l'insertion
        $stmt->execute([
            'code' => $dept['code'],
            'nom' => $dept['nom'],
            'polygon' => $polygon,
            'min_lat' => $minLat,
            'max_lat' => $maxLat,
            'min_lng' => $minLng,
            'max_lng' => $maxLng
        ]);
        echo "✓ Département {$dept['code']} importé\n";
    }
    $db->commit();
    echo "\n✓ Import terminé avec succès!\n\n";
    // Vérifier les données importées
    $checkSql = "SELECT code_dept, nom_dept, 
                 ST_Area(contour) as area,
                 ST_NumPoints(ST_ExteriorRing(contour)) as num_points
                 FROM x_departements_contours
                 ORDER BY code_dept";
    $result = $db->query($checkSql);
    echo "Départements importés:\n";
    echo "---------------------\n";
    foreach ($result as $row) {
        echo sprintf("- %s (%s) : %d points, aire: %.4f\n", 
            $row['nom_dept'], 
            $row['code_dept'], 
            $row['num_points'],
            $row['area']
        );
    }
 } catch (Exception $e) {
    $db->rollBack();
    echo "✗ Erreur lors de l'import : " . $e->getMessage() . "\n";
 }
 echo "\n";
 echo "Note importante:\n";
 echo "---------------\n";
 echo "Ce script utilise des données simplifiées pour l'exemple.\n";
 echo "Pour un usage en production, vous devez :\n";
 echo "1. Télécharger les vrais contours depuis l'IGN ou data.gouv.fr\n";
 echo "2. Les convertir en format GeoJSON ou SQL\n";
 echo "3. Adapter ce script pour lire ces fichiers\n";
 echo "\n";
 echo "Sources recommandées:\n";
 echo "- IGN Admin Express: https://geoservices.ign.fr/adminexpress\n";
 echo "- data.gouv.fr: https://www.data.gouv.fr/fr/datasets/contours-des-departements-francais-issus-d-openstreetmap/\n";
--- a/Show More
+++ b/Show More
		`@@ -0,0 +1 @@`
							`{"ip":"169.155.255.55","timestamp":1758618220,"retrieved_at":"2025-09-23 09:03:41"}`