diff --git a/10_backend_patterns_valides.md b/10_backend_patterns_valides.md
index 085f1f1..568f750 100644
--- a/10_backend_patterns_valides.md
+++ b/10_backend_patterns_valides.md
@@ -8,7 +8,7 @@ Ce fichier contient **uniquement** des patterns back-end :
 
 Objectif : éviter de réinventer la roue et réduire le temps de debug.
 
-Dernière mise à jour : 20-03-2026
+Dernière mise à jour : 23-03-2026
 
 ---
 
@@ -30,7 +30,7 @@ Dernière mise à jour : 20-03-2026
 - [RedisHealthService avec cache interne court](#pattern-redis-health-cache-court)
 - [Sémantique explicite `Trial` vs `Paid` dans Subscription](#pattern-subscription-trial-vs-paid)
 - [Restauration d’achats Stripe en 3 étapes](#pattern-restauration-achats-stripe)
-- [Mapping explicite de `P2002` Prisma sur update de champ unique](#pattern-prisma-p2002-update-unique)
+- [Mapping explicite de `P2002` Prisma sur create/update de champ unique](#pattern-prisma-p2002-update-unique)
 - [Autorisation interne minimale sans RBAC complet](#pattern-autorisation-interne-minimale)
 - [Anti-énumération sur endpoints auth liés à un email](#pattern-anti-enumeration-auth-email)
 - [Token à usage unique — génération, hash et invalidation atomique](#pattern-token-usage-unique)
@@ -42,6 +42,15 @@ Dernière mise à jour : 20-03-2026
 - [Opérations auth sensibles — atomiques, idempotentes et cohérentes](#pattern-auth-operations-atomiques)
 - [Réponse HTTP 200 avec payload métier pour les états d'accès](#pattern-http-200-payload-metier)
 - [Quota journalier Redis atomique (INCR + EXPIREAT pipeline)](#pattern-quota-redis-atomique)
+- [Filtrage des règles métier dans le service, pas dans le repository](#pattern-filtrage-metier-service)
+- [Sérialiser les champs `Decimal` Prisma en string au niveau du repository](#pattern-decimal-prisma-serialisation)
+- [Extraire les helpers de résolution tenant dans un module partagé dédié](#pattern-helper-tenant-module-partage)
+- [Helper centralisé d'activation de features tenant-scoped](#pattern-helper-feature-flag-tenant)
+- [Réutiliser un champ existant plutôt que créer un modèle dédié en V1](#pattern-reutiliser-champ-existant-v1)
+- [Valider le protocole d'une URL externe avant de la passer à un lien public](#pattern-validation-url-externe)
+- [Utilitaires purs : extraire dans un module sans `server-only`](#pattern-utilitaires-purs-module-partage)
+- [EN enforcement optionnel par tenant (toggle + publish gate)](#pattern-en-enforcement-tenant)
+- [Prisma — Migration manuelle sans shadow DB (P3014)](#pattern-prisma-migration-manuelle-p3014)
 
 ---
 
@@ -686,11 +695,11 @@ handlePackWebhookEvent(event): PackWebhookResult | null
 
 <a id="pattern-prisma-p2002-update-unique"></a>
 
-## Pattern : mapping explicite de `P2002` Prisma sur update de champ unique
+## Pattern : mapping explicite de `P2002` Prisma sur create/update de champ unique
 
 - Objectif : transformer un conflit d’unicité prévisible en erreur métier exploitable plutôt qu’en 500 opaque.
-- Contexte : `update` Prisma sur un champ `@unique` alimenté par une source externe ou concurrente.
-- Quand l’utiliser : dès qu’un champ unique peut être mis à jour après création.
+- Contexte : `create`, `update` ou `upsert` Prisma sur un champ `@unique` alimenté par une source externe, concurrente, ou après un pre-check.
+- Quand l’utiliser : dès qu’un champ unique peut entrer en collision — à la création ET à la modification.
 - Quand l’éviter : jamais si le champ peut réellement entrer en collision.
 - Avantage :
   - réponse client stable
@@ -708,10 +717,28 @@ handlePackWebhookEvent(event): PackWebhookResult | null
 - Conserver requestId et format d’erreur standardisé
 ```
 
+### Implémentation (exemple complet)
+
+```typescript
+import { Prisma } from "@prisma/client";
+
+try {
+  await prisma.item.create({ data: { ... } });
+  // ou: await prisma.item.update({ where: { id }, data: { ... } });
+} catch (err) {
+  if (err instanceof Prisma.PrismaClientKnownRequestError && err.code === "P2002") {
+    throw new HttpError("Un élément avec ce nom existe déjà.", { status: 409 });
+  }
+  throw err;
+}
+```
+
+**Important :** un pre-check applicatif (`findUnique` avant `create`) ne suffit pas contre les race conditions. Le `try/catch P2002` est le seul garde-fou fiable. S’applique à `create`, `update`, `updateMany`, `upsert`.
+
 ### Checklist
 
-- `P2002` intercepté sur les updates sensibles
-- Code d’erreur métier stable
+- `P2002` intercepté sur les creates ET les updates sensibles
+- Code d’erreur métier stable (409 Conflict)
 - Pas de 500 générique sur conflit prévisible
 
 ---
@@ -1149,3 +1176,260 @@ if (count !== null && count > QUOTA_MAX) {
 - [ ] Mode dégradé permissif si `count === null` (Redis down)
 - [ ] Clé nommée `{app}:quota:{action}:{userId}:{yyyy-mm-dd}` (date UTC)
 - [ ] Anti-pattern évité : `incrBy` + `setEx` séparés (race condition si count === 1 concurrent)
+
+---
+
+<a id="pattern-filtrage-metier-service"></a>
+## Pattern : Filtrage des règles métier dans le service, pas dans le repository
+
+- Objectif : séparer la couche d'accès aux données (repository) des règles de visibilité métier (service).
+- Contexte : entités publiques avec règles de filtrage (`isVisible`, `isActive`), qui varient selon le contexte appelant (public vs admin).
+- Quand l'utiliser : dès qu'une règle de visibilité dépend du contexte d'appel.
+- Quand l'éviter : filtres de performance (pagination, tenant scoping) — ceux-là restent dans le `where`.
+- Avantage :
+  - la règle est testable unitairement sans Prisma (mock de données brutes)
+  - la requête DB reste simple et stable entre contextes
+  - les cas futurs (ex: admin voit les invisibles) ne nécessitent pas de modifier la requête
+- Validé le : 17-03-2026
+- Contexte technique : Prisma / Node.js / Next.js — app-template-resto
+
+### Implémentation (exemple minimal)
+
+```typescript
+// Repository — charge tout ce qui est candidat
+async findCategories(tenantId: string) {
+  return prisma.category.findMany({ where: { tenantId } }); // pas de filtre isVisible
+}
+
+// Service — applique la règle métier et mappe vers DTO
+const raw = await repo.findCategories(tenantId);
+return raw.filter(c => c.isVisible).map(toPublicDto);
+
+// Admin : même repo, filtre différent dans le service admin
+return raw.map(toAdminDto); // retourne tout, visible ou non
+```
+
+---
+
+<a id="pattern-decimal-prisma-serialisation"></a>
+## Pattern : Sérialiser les champs `Decimal` Prisma en string au niveau du repository
+
+- Objectif : éviter que les objets `Decimal` Prisma traversent les couches et causent des erreurs de sérialisation JSON silencieuses.
+- Contexte : tout champ `Decimal` en Prisma (ex: `price`) retourné via API ou Server Action.
+- Quand l'utiliser : systématiquement sur tout champ `Decimal` dans les repositories.
+- Risque si ignoré : `Decimal` n'est pas JSON-sérialisable nativement — comportement varie selon Node vs browser vs test runner.
+- Validé le : 17-03-2026
+- Contexte technique : Prisma / Node.js — app-template-resto
+
+### Implémentation
+
+```typescript
+// Repository — convertir avant de retourner
+return {
+  ...dish,
+  price: dish.price?.toString() ?? null, // Decimal → string
+};
+
+// DTO public
+type DishDto = {
+  price: string | null; // pas Decimal
+};
+```
+
+---
+
+<a id="pattern-helper-tenant-module-partage"></a>
+## Pattern : Extraire les helpers de résolution tenant dans un module partagé dédié
+
+- Objectif : éviter les couplages sémantiques incorrects entre domaines en centralisant les utilitaires transverses tenant.
+- Contexte : toute fonction de résolution de tenant utilisée par plusieurs domaines métier.
+- Quand l'utiliser : dès qu'un helper est importé par plus d'un module métier.
+- Risque si ignoré : un module métier devient dépendance implicite d'un autre domaine distinct.
+- Validé le : 17-03-2026
+- Contexte technique : Next.js / TypeScript — app-template-resto
+
+### Implémentation
+
+```typescript
+// ✅ src/server/tenant/resolvePublicTenant.ts
+export function resolvePublicTenantSelection(env: NodeJS.ProcessEnv) { ... }
+
+// ✅ Rétrocompatibilité depuis l'ancien emplacement si nécessaire
+export { resolvePublicTenantSelection } from "@/server/tenant/resolvePublicTenant";
+```
+
+---
+
+<a id="pattern-helper-feature-flag-tenant"></a>
+## Pattern : Helper centralisé d'activation de features tenant-scoped
+
+- Objectif : centraliser la logique d'activation/désactivation de pages ou modules par tenant dans un helper pur.
+- Contexte : app multi-tenant avec features activables (pages publiques, modules optionnels, intégrations).
+- Quand l'utiliser : dès qu'une feature peut être activée/désactivée par tenant.
+- Avantage :
+  - helper pur et testable sans I/O
+  - comportement par défaut sain (`null`/`undefined` → tout activé)
+  - composants de navigation et pages importent ce helper, jamais Prisma directement
+- Validé le : 17-03-2026
+- Contexte technique : Next.js App Router / TypeScript — app-template-resto
+
+### Implémentation
+
+```typescript
+// src/server/public/publicPagesConfig.ts
+export function isPublicPageEnabled(
+  config: PublicPagesConfigRecord | null | undefined,
+  pageKey: PublicPageKey
+): boolean {
+  if (!config) return true; // config absente = tout activé par défaut
+  return config[PAGE_KEY_TO_CONFIG_FIELD[pageKey]];
+}
+```
+
+**Règle :** `null`/`undefined` → tout activé. Évite les régressions si la config n'a pas été provisionnée.
+
+---
+
+<a id="pattern-reutiliser-champ-existant-v1"></a>
+## Pattern : Réutiliser un champ existant plutôt que créer un modèle dédié en V1
+
+- Objectif : éviter la sur-ingénierie en V1 en réutilisant un champ existant quand le besoin est simple.
+- Contexte : early-stage, besoin de stocker une configuration simple (URL, flag, valeur unique).
+- Quand l'utiliser : quand la donnée a le même cycle de vie qu'un modèle existant et ne nécessite pas de relations.
+- Quand l'éviter : si la configuration a son propre cycle de vie, des cardinalités multiples, ou des relations distinctes.
+- Avantage : zéro migration supplémentaire, zéro scope creep
+- Validé le : 17-03-2026
+- Contexte technique : Prisma / Node.js — app-template-resto
+
+### Règle
+
+```txt
+- Avant de créer un modèle ReservationConfig, vérifier si PublicHomeProfile.reservationUrl suffit
+- Un champ optionnel dans le modèle le plus proche est suffisant en V1
+- Ne créer un modèle dédié que si : cycle de vie distinct, relations, ou cardinalités multiples
+```
+
+---
+
+<a id="pattern-validation-url-externe"></a>
+## Pattern : Valider le protocole d'une URL externe avant de la passer à un lien public
+
+- Objectif : prévenir les injections `javascript:` et URLs malformées dans les `<a href>` ou `<img src>` publics.
+- Contexte : toute URL venant d'une config tenant, DB ou saisie utilisateur, rendue dans le HTML.
+- Quand l'utiliser : systématiquement sur tout champ URL libre stocké en DB et rendu côté HTML.
+- Risque si ignoré : injection `javascript:`, URL malformée, potentiel XSS.
+- Validé le : 17-03-2026
+- Contexte technique : Node.js / Next.js — app-template-resto
+
+### Implémentation
+
+```typescript
+function isSafeUrl(url: string): boolean {
+  try {
+    const { protocol } = new URL(url);
+    return protocol === "https:" || protocol === "http:";
+  } catch {
+    return false;
+  }
+}
+
+// Validation complète en service/repository
+if (mediaUrl) {
+  try { new URL(mediaUrl); } catch { throw new HttpError("URL invalide.", { status: 400 }); }
+  if (!mediaUrl.startsWith("https://") && !mediaUrl.startsWith("http://"))
+    throw new HttpError("URL doit commencer par https://.", { status: 400 });
+  if (mediaUrl.length > 500)
+    throw new HttpError("URL trop longue.", { status: 400 });
+}
+// Retourner null si invalide — le composant gère l'absence d'URL
+```
+
+### Checklist
+
+- [ ] Validation format (`new URL()`) + protocole + longueur max
+- [ ] Retourner `null` si invalide, jamais passer la string brute
+- [ ] Composant UI reçoit `string | null`, jamais une string non vérifiée
+
+---
+
+<a id="pattern-utilitaires-purs-module-partage"></a>
+## Pattern : Utilitaires purs — extraire dans un module sans `server-only`
+
+- Objectif : permettre aux repositories et aux tests d'importer la même implémentation des utilitaires purs sans friction.
+- Contexte : fonctions pures (slugify, formatters, validators) utilisées par des repositories qui ont `server-only`.
+- Quand l'utiliser : dès qu'une fonction pure est utilisée dans un repository ET dans des tests.
+- Risque si ignoré : logique dupliquée dans les tests qui diverge silencieusement de l'implémentation réelle.
+- Validé le : 21-03-2026
+- Contexte technique : Node.js / Next.js — app-template-resto
+
+### Implémentation
+
+```
+src/server/menuAdmin/
+  allergensRepository.ts   ← import { slugify } from "./slugify"
+  slugify.ts               ← export function slugify() {} // pas de "server-only"
+
+tests/
+  allergens-admin.test.ts  ← import { slugify } from "../src/server/menuAdmin/slugify.ts"
+```
+
+---
+
+<a id="pattern-en-enforcement-tenant"></a>
+## Pattern : EN enforcement optionnel par tenant (toggle + publish gate)
+
+- Objectif : permettre à un tenant d'activer l'obligation de remplir les champs traduits EN, avec une gate à la publication.
+- Contexte : app multi-tenant avec internationalisation optionnelle.
+- Quand l'utiliser : dès qu'un tenant peut choisir d'activer/désactiver une exigence de contenu i18n.
+- Validé le : 21-03-2026
+- Contexte technique : Prisma / Next.js App Router — app-template-resto
+
+### Implémentation
+
+```typescript
+// 1. Modèle Tenant
+enableEn Boolean @default(false)
+
+// 2. Vérification dans chaque action mutante (create/update)
+const { enableEn } = await getEnConfig(tenantId);
+if (enableEn && !labelEn) throw new HttpError("Traduction EN requise.", { status: 400 });
+
+// 3. Gate publish — vérification de complétude
+const result = await checkEnCompleteness(tenantId); // 4 requêtes en Promise.all
+// Exclut : isSystem:true, tenantId:null, isVisible:false
+if (!result.complete) throw new HttpError("Contenu EN incomplet.", { status: 422 });
+```
+
+**Règles :**
+- `isVisible: false` n'est pas inclus dans le check (une entité masquée ne bloque pas la publication)
+- `revalidatePath` sur **toutes** les pages menu après toggle du flag (pas seulement `/settings`)
+
+---
+
+<a id="pattern-prisma-migration-manuelle-p3014"></a>
+## Pattern : Prisma — Migration manuelle sans shadow DB (P3014)
+
+- Objectif : créer et appliquer une migration Prisma quand la shadow database est interdite (DB managée, permissions restreintes).
+- Contexte : DB managées — Supabase, PlanetScale, Railway avec rôle limité, RDS sans superuser.
+- Quand l'utiliser : quand `prisma migrate dev` échoue avec `P3014 Prisma Migrate could not create the shadow database`.
+- Risque si ignoré : blocage complet de la migration sur env managé.
+- Validé le : 23-03-2026
+- Contexte technique : Prisma v7+ — app-alexandrie / Supabase
+
+### Implémentation
+
+```bash
+# 1. Écrire le SQL manuellement
+mkdir -p prisma/migrations/<timestamp>_<nom>
+# Créer migration.sql à la main
+
+# 2. Appliquer le SQL directement en DB
+npx prisma db execute --file prisma/migrations/<timestamp>_<nom>/migration.sql
+
+# 3. Marquer la migration comme appliquée dans _prisma_migrations
+npx prisma migrate resolve --applied <timestamp>_<nom>
+
+# Note Prisma v7 : ne pas utiliser --schema= (option supprimée), utiliser prisma.config.ts
+```
+
+**Ne pas utiliser `prisma db push` en production** — il ne versionne pas les migrations.
diff --git a/10_backend_risques_et_vigilance.md b/10_backend_risques_et_vigilance.md
index c29f58e..e9b13db 100644
--- a/10_backend_risques_et_vigilance.md
+++ b/10_backend_risques_et_vigilance.md
@@ -8,7 +8,7 @@ Ce fichier recense des risques back-end susceptibles de provoquer :
 - régressions coûteuses,
 - incohérences de données.
 
-Dernière mise à jour : 20-03-2026
+Dernière mise à jour : 23-03-2026
 
 ---
 
@@ -49,6 +49,20 @@ Dernière mise à jour : 20-03-2026
 - [NestJS 11 — `TooManyRequestsException` inexistante](#risque-nestjs-toomanyrequest)
 - [`ForbiddenException` utilisé pour des erreurs de validation](#risque-forbidden-pour-validation)
 - [PrismaService — getter explicite manquant sur nouveau modèle](#risque-prismaservice-getter-manquant)
+- [Endpoints GET sans contrôle d'accès sur ressource protégée](#risque-get-sans-controle-acces)
+- [Divergence schéma Prisma / spec story (champ déclaré ✅ mais absent)](#risque-schema-divergence-spec-story)
+- [Prisma initialisé au chargement de module — casse le build Next.js](#risque-prisma-init-module-build)
+- [`server-only` dans les repositories — bloque les tests unitaires](#risque-server-only-repositories-tests)
+- [Controller NestJS corrompu par insertions multiples](#risque-controller-corrompu-insertions)
+- [TTL Redis quota calculé en heure locale (dérive jusqu'à ±12h)](#risque-ttl-redis-heure-locale)
+- [Story "completed" avec tâches ❌ auto-déclarées](#risque-story-completed-taches-echec)
+- [Story "done" sans aucun fichier source dans la File List](#risque-story-done-file-list-vide)
+- [Prisma `$transaction` multi-tenant : écriture sans `tenantId` dans le WHERE (TOCTOU)](#risque-prisma-transaction-toctou-tenantid)
+- [Prisma OR multi-tenant : `tenantId: null` manquant sur la branche système](#risque-prisma-or-tenantid-null)
+- [Calcul de `nextOrder` hors transaction (race condition `sortOrder`)](#risque-nextorder-hors-transaction)
+- [Redirect vers la page désactivée elle-même (boucle infinie feature flags)](#risque-redirect-boucle-infinie)
+- [Champ `tenantId` sans FK ni relation Prisma vers `Tenant`](#risque-tenantid-sans-fk-relation)
+- [NestJS `@UseGuards(AdminRoleGuard)` sans `@RequireAdminRole()` — silencieusement ouvert](#risque-adminroleguard-sans-decorateur)
 
 ---
 
@@ -643,3 +657,378 @@ get forum() {
 
 - **Checklist review** : à chaque nouvelle migration Prisma, vérifier que `prisma.service.ts` est mis à jour.
 - Contexte technique : NestJS / PrismaService encapsulé — app-alexandrie 20-03-2026
+
+---
+
+<a id="risque-get-sans-controle-acces"></a>
+## Endpoints GET sans contrôle d'accès sur ressource protégée
+
+### Risques
+
+- Un endpoint de lecture expose des données premium/protégées à tout utilisateur authentifié
+- La règle "seuls les writes vérifient les droits" est un anti-pattern qui cause des fuites silencieuses
+
+### Symptômes
+
+- `getCategories`, `getThreads` ou équivalent accessible sans vérification d'entitlements
+- Endpoint write protégé par `assertForumAccess` mais GET correspondant non protégé
+
+### Bonnes pratiques / mitigations
+
+- Tout endpoint retournant des données liées à une ressource protégée (forum pack, contenu premium) doit appeler `assertForumAccess` ou équivalent, même pour les GET
+- **Checklist review** : pour chaque nouveau GET, vérifier qu'il passe par le guard/helper d'accès si la ressource appartient à un scope protégé
+
+- Contexte technique : NestJS / app-alexandrie — 23-03-2026
+
+---
+
+<a id="risque-schema-divergence-spec-story"></a>
+## Divergence schéma Prisma / spec story (champ déclaré ✅ mais absent)
+
+### Risques
+
+- Une tâche de story cochée ✅ implique un champ (ex: `consumedAt`, `tokenHash`) qui n'existe pas dans `schema.prisma`
+- Le code compile ou passe en review sans que le champ soit réellement présent en DB
+
+### Symptômes
+
+- Erreur à l'exécution sur un champ inexistant malgré une story marquée "done"
+- `schema.prisma` ne contient pas le champ mentionné dans les tâches
+
+### Bonnes pratiques / mitigations
+
+- Avant de marquer une tâche ✅, croiser avec `schema.prisma` pour confirmer que le champ existe réellement
+- Une story peut décrire un champ comme stratégie de conception sans l'avoir intégré — toujours vérifier
+
+- Contexte technique : Prisma / app-template-resto — 16-03-2026
+
+---
+
+<a id="risque-prisma-init-module-build"></a>
+## Prisma initialisé au chargement de module — casse le build Next.js
+
+### Risques
+
+- Un import global qui initialise Prisma immédiatement peut faire échouer la collecte de pages/routes au build si `DATABASE_URL` n'est pas disponible dans l'environnement de build
+
+### Symptômes
+
+- `PrismaClientInitializationError` ou `Error: Environment variable not found: DATABASE_URL` au `next build`
+- L'app tourne en dev mais le build CI échoue
+
+### Bonnes pratiques / mitigations
+
+- Préférer une initialisation lazy-safe : retarder l'accès DB au moment de l'appel métier
+- Retourner un proxy qui lève une erreur claire uniquement lors du premier accès réel à la DB
+- Ne jamais instancier `new PrismaClient()` au top-level d'un module importé par Next.js
+
+- Contexte technique : Next.js App Router / Prisma — app-template-resto 16-03-2026
+
+---
+
+<a id="risque-server-only-repositories-tests"></a>
+## `server-only` dans les repositories — bloque les tests unitaires
+
+### Risques
+
+- `import "server-only"` empêche l'exécution des fichiers hors runtime Next.js
+- Les tests Node.js échouent avec `Error: This module cannot be imported from a Client Component module`
+
+### Symptômes
+
+- Tests qui passent via le dev server mais échouent via `jest` en mode node
+- Erreur au `require()` d'un repository depuis un test unitaire
+
+### Bonnes pratiques / mitigations
+
+- Ne mettre `server-only` que dans les fichiers qui utilisent des APIs Next.js runtime (`cookies()`, `headers()`, `redirect()`)
+- **Ne pas** mettre `server-only` dans les repositories purs (qui n'appellent que Prisma)
+- Alternative de secours : créer un stub `node_modules/server-only/index.js` no-op pour les tests
+
+- Contexte technique : Next.js App Router / Jest — app-template-resto 16-03-2026
+
+---
+
+<a id="risque-controller-corrompu-insertions"></a>
+## Controller NestJS corrompu par insertions multiples
+
+### Risques
+
+- Des méthodes imbriquées, décorateurs orphelins ou routes dupliquées cassent la syntaxe TypeScript sans que le compilateur ne l'attrape toujours
+- La story est marquée "completed" alors que le code ne compile pas
+
+### Symptômes
+
+- `@Get('/route')` apparaît dans le corps d'une autre méthode
+- La même route est déclarée 2-3 fois dans le même controller
+- Erreur NestJS au runtime mais pas à la compilation
+
+### Bonnes pratiques / mitigations
+
+- Quand on ajoute >3 endpoints à un controller existant, réécrire le fichier entier en partant du fichier original
+- Ne jamais insérer par blocs séparés — la concaténation casse la structure AST
+- **Checklist review** : grep `@Get\|@Post\|@Patch\|@Delete` dans le controller et vérifier qu'aucune route n'est dupliquée
+
+- Contexte technique : NestJS / TypeScript — app-alexandrie 20-03-2026
+
+---
+
+<a id="risque-ttl-redis-heure-locale"></a>
+## TTL Redis quota calculé en heure locale (dérive jusqu'à ±12h)
+
+### Risques
+
+- Le reset du quota journalier dérive selon le timezone du serveur, pouvant aller jusqu'à ±12h d'écart par rapport à minuit UTC
+
+### Symptômes
+
+- Quota qui se remet à zéro à des heures inattendues selon l'environnement de déploiement
+- Comportement différent en dev local (TZ machine) et en prod (TZ container)
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ✅ CORRECT — UTC midnight garanti
+const midnight = new Date(
+  Date.UTC(now.getUTCFullYear(), now.getUTCMonth(), now.getUTCDate() + 1),
+);
+const ttlMs = midnight.getTime() - now.getTime();
+
+// ❌ RISQUÉ — heure locale du serveur
+const endOfDay = new Date();
+endOfDay.setHours(23, 59, 59, 999); // dérive selon TZ serveur
+```
+
+- Règle : tout `expireAt` ou `TTL` de quota journalier doit utiliser `Date.UTC()` — vérifier systématiquement en review
+
+- Contexte technique : Redis / NestJS — app-alexandrie 20-03-2026
+
+---
+
+<a id="risque-story-completed-taches-echec"></a>
+## Story "completed" avec tâches ❌ auto-déclarées
+
+### Risques
+
+- Un agent sette `Status: completed` alors que son propre Dev Agent Record liste des items ❌ non implémentés
+- Le store mobile, service ou tests peuvent être déclarés manquants par l'agent lui-même mais la story semble terminée
+
+### Symptômes
+
+- Dev Agent Record contient `❌ store mobile non implémenté` mais `Status: completed`
+- Code review découvre des ACs non satisfaits
+
+### Bonnes pratiques / mitigations
+
+- Avant de setter `Status: completed`, vérifier que le Dev Agent Record ne contient aucun ❌
+- En cas de doute ou d'item manquant, setter `Status: review` pour déclencher la code review
+- **Règle** : `Status: completed` = zéro ❌ auto-déclaré dans le Dev Agent Record
+
+- Contexte technique : BMAD / workflow agent — app-alexandrie 20-03-2026
+
+---
+
+<a id="risque-story-done-file-list-vide"></a>
+## Story "done" sans aucun fichier source dans la File List
+
+### Risques
+
+- Un agent peut halluciner la completion d'une story en produisant une note générique sans écrire de code
+- La File List ne contient que des fichiers `_bmad-output/` mais aucun `src/`, `prisma/`, `tests/`
+
+### Symptômes
+
+- Completion note générique du type "Ultimate context engine analysis completed"
+- File List réduite à 2 fichiers meta (story file, sprint-status)
+- `git log --follow src/` ne montre aucun commit lié à la story
+
+### Bonnes pratiques / mitigations
+
+- Lors d'une code review, si la File List ne contient aucun fichier source : traiter comme non implémentée
+- Vérifier avec `git log --follow src/` avant d'accepter le `Status: done`
+- Ne pas faire confiance au status `done` sans preuve dans le code
+
+- Contexte technique : BMAD / agent Codex — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-prisma-transaction-toctou-tenantid"></a>
+## Prisma `$transaction` multi-tenant : écriture sans `tenantId` dans le WHERE (TOCTOU)
+
+### Risques
+
+- Un pre-check d'appartenance tenant + une `$transaction` avec `update({ where: { id } })` sans `tenantId` crée une fenêtre TOCTOU
+- Un bug upstream qui laisse passer un id cross-tenant peut contourner l'isolation
+
+### Symptômes
+
+- Vérification préalable OK mais écriture sur une ressource d'un autre tenant possible en race condition
+- Le guard applicatif est passé mais la DB n'enforce pas au niveau de l'écriture
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ❌ Anti-pattern — check OK mais écriture sans tenantId
+const existing = await prisma.item.findMany({ where: { id: { in: ids }, tenantId } });
+await prisma.$transaction(
+  ids.map((id, idx) => prisma.item.update({ where: { id }, data: { sortOrder: idx + 1 } }))
+);
+
+// ✅ Défense en profondeur — tenantId dans chaque écriture
+await prisma.$transaction(
+  ids.map((id, idx) => prisma.item.updateMany({ where: { id, tenantId }, data: { sortOrder: idx + 1 } }))
+);
+```
+
+- Règle : toute écriture Prisma sur une ressource tenant-aware doit inclure `tenantId` dans le WHERE, même dans une transaction précédée d'un check
+- Utiliser `updateMany`/`deleteMany` (pas `update`/`delete`) pour inclure `tenantId` sans exception si 0 lignes
+
+- Contexte technique : Prisma / multi-tenant — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-prisma-or-tenantid-null"></a>
+## Prisma OR multi-tenant : `tenantId: null` manquant sur la branche système
+
+### Risques
+
+- Sur un modèle à `tenantId` nullable distinguant ressources "système" et "tenant", un filtre `{ isSystem: true }` sans `tenantId: null` expose des ressources corrompues à tous les tenants
+
+### Symptômes
+
+- Un tag `isSystem: true` avec `tenantId` non-null est exposé à tous les tenants
+- Bug de sécurité difficile à détecter car le comportement nominal semble correct
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ❌ Trop permissif
+OR: [{ isSystem: true }, { tenantId, isSystem: false }]
+
+// ✅ Défense en profondeur — double condition sur la branche système
+OR: [{ isSystem: true, tenantId: null }, { tenantId, isSystem: false }]
+```
+
+- Règle : sur tout modèle `tenantId?` (nullable) + flag `isSystem`/`isGlobal`/`isPublic`, la branche "ressource publique" du filtre OR doit toujours inclure `tenantId: null`
+
+- Contexte technique : Prisma / multi-tenant — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-nextorder-hors-transaction"></a>
+## Calcul de `nextOrder` hors transaction (race condition `sortOrder`)
+
+### Risques
+
+- Deux requêtes concurrentes obtiennent le même `MAX(sortOrder)` et créent deux entités avec le même `sortOrder`
+
+### Symptômes
+
+- Deux items avec le même `sortOrder` dans la même catégorie/scope
+- Bug aléatoire selon la charge — invisible en dev, présent en prod
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ✅ Calcul dans la transaction interactive
+return prisma.$transaction(async (tx) => {
+  const maxOrder = await tx.entity.aggregate({
+    where: { tenantId, scopeId },
+    _max: { sortOrder: true },
+  });
+  const nextOrder = (maxOrder._max.sortOrder ?? 0) + 1;
+  return tx.entity.create({ data: { ..., sortOrder: nextOrder } });
+});
+```
+
+- Règle : ne jamais calculer `maxOrder` hors de la transaction qui crée l'entité
+
+- Contexte technique : Prisma / transactions — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-redirect-boucle-infinie"></a>
+## Redirect vers la page désactivée elle-même (boucle infinie feature flags)
+
+### Risques
+
+- Une page désactivée redirige vers elle-même via le fallback — boucle infinie silencieuse absorbée par Next.js mais UX cassée
+
+### Symptômes
+
+- Page `/` désactivée → redirect vers `buildLocalizedPath("home")` = `/` → boucle
+- Next.js absorbe la boucle mais l'utilisateur voit un écran bloqué ou vide
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// Si la page est sa propre destination de fallback, ne pas rediriger
+if (pageKey === "home") return null; // évite redirect home → home
+return buildLocalizedPath(locale, "home");
+```
+
+- Règle : dans tout mécanisme de redirection sur page désactivée, toujours vérifier que `pageKey !== fallbackKey`
+- Retourner `null` (accès non bloqué) plutôt que de boucler
+
+- Contexte technique : Next.js App Router / feature flags tenant — app-template-resto 17-03-2026
+
+---
+
+<a id="risque-tenantid-sans-fk-relation"></a>
+## Champ `tenantId` sans FK ni relation Prisma vers `Tenant`
+
+### Risques
+
+- Un `tenantId TEXT NOT NULL` sans relation Prisma ne génère aucune FK en DB
+- L'isolation multi-tenant n'est pas enforced au niveau base de données
+
+### Symptômes
+
+- Migration SQL sans `ALTER TABLE ... ADD CONSTRAINT ... REFERENCES "tenants"`
+- Prisma ne génère pas de FK automatiquement sans `@relation` déclarée
+
+### Bonnes pratiques / mitigations
+
+Tout modèle tenant-scoped doit avoir les trois :
+1. `tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)` dans le modèle Prisma
+2. La relation inverse dans `Tenant` (ex: `menuCategories MenuCategory[]`)
+3. La FK correspondante dans la migration SQL
+
+- **Checklist review** : vérifier systématiquement que les nouveaux modèles respectent ce guardrail
+
+- Contexte technique : Prisma / multi-tenant — app-template-resto 17-03-2026
+
+---
+
+<a id="risque-adminroleguard-sans-decorateur"></a>
+## NestJS `@UseGuards(AdminRoleGuard)` sans `@RequireAdminRole()` — silencieusement ouvert
+
+### Risques
+
+- `AdminRoleGuard.canActivate()` lit la metadata `REQUIRE_ADMIN_ROLE_KEY` posée par `@RequireAdminRole()`
+- Si le décorateur est absent, `requiresAdmin = false/undefined` → le guard retourne `true` et laisse passer sans vérification
+
+### Symptômes
+
+- Endpoint admin accessible à tout utilisateur authentifié
+- Zéro erreur de compilation ou de démarrage — le bug est silencieux
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ✅ Correct — les deux décorateurs ensemble
+@Post('admin/ressource')
+@UseGuards(AdminRoleGuard)
+@RequireAdminRole()
+async createRessource(...) {}
+
+// ❌ Silencieusement non protégé — @RequireAdminRole() manquant
+@Post('admin/ressource')
+@UseGuards(AdminRoleGuard)
+async createRessource(...) {}
+```
+
+- Règle : s'applique à tout guard NestJS qui délègue la décision à une metadata de décorateur
+- **Checklist review** : vérifier systématiquement les endpoints admin que `@RequireAdminRole()` est présent
+
+- Contexte technique : NestJS / guards metadata — app-alexandrie 23-03-2026
diff --git a/10_frontend_patterns_valides.md b/10_frontend_patterns_valides.md
index df7823b..c6cda56 100644
--- a/10_frontend_patterns_valides.md
+++ b/10_frontend_patterns_valides.md
@@ -12,7 +12,7 @@ Il sert de **mémoire durable** pour éviter :
 - de redélibérer éternellement sur des sujets déjà tranchés,
 - de propager des “bonnes pratiques” théoriques non éprouvées.
 
-Dernière mise à jour : 20-03-2026
+Dernière mise à jour : 23-03-2026
 
 ---
 
@@ -29,6 +29,11 @@ Dernière mise à jour : 20-03-2026
 - [Tests de styles React Native sans renderer JSX](#pattern-tests-styles-sans-renderer)
 - [Export des styles de composant pour réutilisation partielle](#pattern-export-styles-composant)
 - [Token typography par usage sémantique (React Native)](#pattern-token-typography-semantique)
+- [Click-to-load strict pour les embeds tiers (iframe/widget)](#pattern-click-to-load-embeds-tiers)
+- [Toggle optimiste avec rollback (React Server Action)](#pattern-toggle-optimiste-rollback)
+- [Server Action retournant l'entité — élimination de `router.refresh()` sur create/edit](#pattern-server-action-retourne-entite)
+- [ESLint flat config avec presets Next.js (`eslint.config.mjs`)](#pattern-eslint-flat-config-nextjs)
+- [Grilles 2 colonnes FR/EN — mobile-first](#pattern-grilles-2-colonnes-mobile-first)
 
 ---
 
@@ -634,3 +639,192 @@ mediumText12: { fontSize: 12, fontWeight: ‘500’ },    // ambigu, réutilisé
   - on met à jour la date
   - on précise le nouveau contexte
   - En cas de doute → le pattern n’entre pas encore ici
+
+---
+
+<a id="pattern-click-to-load-embeds-tiers"></a>
+## Pattern : Click-to-load strict pour les embeds tiers (iframe/widget)
+
+### Synthèse
+
+- **Objectif** : ne charger aucun service tiers sans action explicite de l’utilisateur (performance + consentement implicite).
+- **Contexte** : site/webapp avec modules de réservation, map, chat ou tout embed iframe à la demande.
+- **Quand l’utiliser** : dès qu’un embed tiers est chargé à la demande (pas au premier rendu).
+- **Quand l’éviter** : si l’embed est central à la page et doit être visible immédiatement.
+
+### Analyse
+
+- **Avantages** :
+  - LCP non pollué par des tiers (performance-first)
+  - Aucun tiers ne reçoit de données utilisateur sans action volontaire (consentement implicite)
+  - Fallback toujours disponible en cas d’erreur iframe
+- **Limites / vigilance** :
+  - Le fallback (lien externe + `tel:`) doit être actionnable même si l’embed échoue
+
+### Validation
+
+- Validé le : 21-03-2026
+- Contexte technique : React / Next.js — app-template-resto
+
+### Implémentation
+
+```tsx
+const [loaded, setLoaded] = useState(false);
+const [errored, setErrored] = useState(false);
+
+if (errored) return <a href={url}>Ouvrir {label}</a>;
+
+return (
+  <>
+    {!loaded && <button onClick={() => setLoaded(true)}>Charger {label}</button>}
+    {loaded && <iframe src={url} onError={() => setErrored(true)} />}
+  </>
+);
+```
+
+---
+
+<a id="pattern-toggle-optimiste-rollback"></a>
+## Pattern : Toggle optimiste avec rollback (React Server Action)
+
+### Synthèse
+
+- **Objectif** : masquer la latence serveur sur un toggle boolean en mettant à jour l’UI immédiatement, avec rollback en cas d’erreur.
+- **Contexte** : toggles boolean (visibilité, disponibilité, settings) où la latence doit être masquée.
+- **Quand l’utiliser** : toggles sans besoin de re-fetcher l’entité entière après mutation.
+- **Quand l’éviter** : mutations qui retournent des données complexes → préférer le pattern "Server Action retournant l’entité".
+
+### Validation
+
+- Validé le : 21-03-2026
+- Contexte technique : React / Next.js App Router — app-template-resto
+
+### Implémentation
+
+```tsx
+const [optimistic, setOptimistic] = useState(initialValue);
+
+async function handleToggle() {
+  const prev = optimistic;
+  setOptimistic(!prev);          // update immédiat
+  try {
+    await toggleAction(!prev);
+    router.refresh();            // synchronise le Server Component parent
+  } catch {
+    setOptimistic(prev);         // rollback si erreur
+  }
+}
+```
+
+---
+
+<a id="pattern-server-action-retourne-entite"></a>
+## Pattern : Server Action retournant l’entité — élimination de `router.refresh()` sur create/edit
+
+### Synthèse
+
+- **Objectif** : mettre à jour l’état local directement avec les données réelles retournées par le serveur, sans round-trip SSR supplémentaire.
+- **Contexte** : liste d’items managée côté client (`useState`) avec création et modification via Server Actions.
+- **Quand l’utiliser** : create et edit d’entités dans une liste. Plus performant que toggle optimiste + `router.refresh()`.
+- **Quand l’éviter** : simples toggles boolean → le pattern optimiste avec rollback suffit.
+
+### Analyse
+
+- **Avantages vs toggle optimiste + `router.refresh()` :**
+  - Zéro aller-retour SSR supplémentaire (~500ms–2s économisés sur mobile)
+  - État local garanti cohérent avec la DB (données réelles, pas calculées localement)
+  - Pas de flash de rechargement
+- **Limites / vigilance** :
+  - `revalidatePath` reste nécessaire pour invalider le cache des pages publiques
+
+### Validation
+
+- Validé le : 22-03-2026
+- Contexte technique : React / Next.js App Router — app-template-resto story 3.8
+
+### Implémentation
+
+```typescript
+// Repository — retourne l’entité complète
+export async function createItem(tenantId: string, data: Input): Promise<ItemRow> {
+  return prisma.item.create({ data: { tenantId, ...data }, select: { ...fullSelect } });
+}
+
+// Action — retourne la donnée au client
+export async function createItemAction(formData: FormData): Promise<ItemRow> {
+  const actor = await requireOwner();
+  const item = await createItem(actor.tenantId, input);
+  revalidatePath("/dashboard/..."); // invalider cache pages publiques
+  return item; // ← clé : retourner l’entité
+}
+
+// Client — mise à jour locale sans round-trip SSR
+const created = await createItemAction(formData);
+setItems((prev) => [...prev, created]); // pas de router.refresh()
+```
+
+**Pour les entités avec relations :** utiliser un helper `findItemById(tenantId, id)` appelé après la mutation pour retourner la forme complète avec les relations résolues.
+
+---
+
+<a id="pattern-eslint-flat-config-nextjs"></a>
+## Pattern : ESLint flat config avec presets Next.js (`eslint.config.mjs`)
+
+### Synthèse
+
+- **Objectif** : éviter les bugs de compatibilité de l’ancien `.eslintrc` avec Next.js récent.
+- **Contexte** : projet Next.js récent utilisant déjà le flat config ESLint.
+- **Quand l’utiliser** : nouveau projet Next.js ou migration ESLint.
+- **Quand l’éviter** : si le projet doit rester compatible avec des outils legacy ESLint.
+
+### Validation
+
+- Validé le : 16-03-2026
+- Contexte technique : Next.js 16+ / ESLint flat config — app-template-resto
+
+### Implémentation
+
+```javascript
+// eslint.config.mjs
+import nextPlugin from "@next/eslint-plugin-next";
+
+export default [
+  ...nextPlugin.configs["core-web-vitals"],
+  ...nextPlugin.configs["typescript"],
+  {
+    rules: {
+      // overrides ciblés ici
+    },
+  },
+];
+```
+
+---
+
+<a id="pattern-grilles-2-colonnes-mobile-first"></a>
+## Pattern : Grilles 2 colonnes FR/EN — mobile-first
+
+### Synthèse
+
+- **Objectif** : afficher les champs FR + EN côte à côte sur desktop, en colonne unique sur mobile.
+- **Contexte** : formulaires dashboard avec champs bilingues FR/EN côte à côte.
+- **Quand l’utiliser** : tout formulaire avec colonnes parallèles sur un projet mobile-first.
+- **Quand l’éviter** : si les champs sont indépendants et n’ont pas de relation visuelle FR/EN.
+
+### Validation
+
+- Validé le : 22-03-2026
+- Contexte technique : Tailwind CSS / React — app-template-resto
+
+### Implémentation
+
+```html
+<!-- ✅ Mobile-first — colonne unique sur < 640px, 2 colonnes sur ≥ 640px -->
+<div class="grid grid-cols-1 sm:grid-cols-2 gap-4">
+  <input placeholder="Nom (FR)" />
+  <input placeholder="Name (EN)" />
+</div>
+
+<!-- ❌ À éviter — 2 colonnes trop étroites sur mobile -->
+<div class="grid grid-cols-2 gap-4">...</div>
+```
diff --git a/10_frontend_risques_et_vigilance.md b/10_frontend_risques_et_vigilance.md
index 8d14451..37ea2cd 100644
--- a/10_frontend_risques_et_vigilance.md
+++ b/10_frontend_risques_et_vigilance.md
@@ -7,7 +7,7 @@ Ce fichier recense des risques front-end susceptibles de provoquer :
 - dette technique rapide,
 - régressions UX/perf/a11y.
 
-Dernière mise à jour : 20-03-2026
+Dernière mise à jour : 23-03-2026
 
 ---
 
@@ -39,6 +39,26 @@ Dernière mise à jour : 20-03-2026
 - [Dimensions d'image via tokens `spacing` (React Native)](#risque-dimensions-image-via-spacing)
 - [Écran détail Expo Router — store vide en deep link / reload](#risque-store-vide-deep-link)
 - [`useEffect` fetch — guard incomplet sur les états terminaux](#risque-useeffect-guard-incomplet)
+- [Store Zustand : collections sans clé de contexte (navigation inter-contexte)](#risque-zustand-collection-sans-cle-contexte)
+- [`useSearchParams()` sans `Suspense` casse le build Next.js App Router](#risque-usesearchparams-sans-suspense)
+- [Type `ViewData` dupliqué entre couche serveur et composant UI (Next.js)](#risque-type-viewdata-duplique)
+- [Composant React dans un fichier `.ts` — `React.createElement` workaround](#risque-composant-react-fichier-ts)
+- [Double validation de segment dynamique App Router (layout + page)](#risque-double-validation-segment-app-router)
+- [Faux test négatif — tester le helper au lieu de tester l'exclusion](#risque-faux-test-negatif)
+- [État booléen UI dérivé hardcodé au lieu d'être calculé depuis le store](#risque-boolean-ui-hardcode-store)
+- [Flag `isLoading` unique pour des opérations de natures différentes](#risque-flag-isloading-unique-nature-differente)
+- [Consent state : `false` ambigu entre "pas de décision" et "refus explicite"](#risque-consent-state-false-ambigu)
+- [Script inline : interpolation directe au lieu de `JSON.stringify`](#risque-script-inline-interpolation-directe)
+- [Next.js App Router : `window.location.reload()` au lieu de `router.refresh()`](#risque-window-location-reload-nextjs)
+- [`useTransition` + optimistic update : snapshot capturé après `setState`](#risque-usetransition-snapshot-apres-setstate)
+- [`window.confirm()` dans une app React/Next.js](#risque-window-confirm-react)
+- [`import type` depuis `src/server/**` dans un composant client](#risque-import-type-server-composant-client)
+- [Inline styles dans les composants dashboard](#risque-inline-styles-dashboard)
+- [Classes Tailwind invalides courantes (bugs silencieux)](#risque-tailwind-classes-invalides)
+- [Next.js : `<img>` natif interdit dans les composants](#risque-img-natif-nextjs)
+- [`useTransition` global pour des listes d'items interactifs](#risque-usetransition-global-liste-items)
+- [`useCallback` inutile quand le callback est wrappé en inline au render](#risque-usecallback-inutile-inline)
+- [Formulaire React avec `defaultValue` sans `key` prop](#risque-formulaire-defaultvalue-sans-key)
 
 ---
 
@@ -440,3 +460,553 @@ if (forums.length > 0 || isLoading || paywallRequired) return;
 **Règle** : les états "zéro résultat intentionnel" (liste vide + flag métier) doivent être traités comme "données présentes" dans le guard de fetch.
 
 - Contexte technique : React Native / Zustand / Expo Router — app-alexandrie story 4.1, 20-03-2026
+
+---
+
+<a id="risque-zustand-collection-sans-cle-contexte"></a>
+## Store Zustand : collections sans clé de contexte (navigation inter-contexte)
+
+### Risques
+
+- Un store qui stocke des collections dépendant d'un paramètre de navigation (forumSlug, threadId...) sans stocker ce paramètre affiche des données périmées lors d'une navigation inter-contexte
+
+### Symptômes
+
+- Naviguer du forum A vers le forum B affiche encore les catégories/threads du forum A
+- Guard `if (items.length > 0) return` empêche le rechargement lors d'un changement de contexte
+
+### Bonnes pratiques / mitigations
+
+- Stocker la clé de contexte avec les données : `categoriesForumSlug: string | null`
+- Invalider si `categoriesForumSlug !== currentForumSlug` avant de retourner depuis le cache
+- Ou supprimer le guard et dépendre uniquement du changement de paramètre dans le `useEffect`
+
+- Contexte technique : React Native / Zustand / Expo Router — app-alexandrie 23-03-2026
+
+---
+
+<a id="risque-usesearchparams-sans-suspense"></a>
+## `useSearchParams()` sans `Suspense` casse le build Next.js App Router
+
+### Risques
+
+- Un composant client utilisant `useSearchParams()` peut provoquer un échec de prerender/build s'il est rendu sans boundary `Suspense` depuis la page/layout serveur
+
+### Symptômes
+
+- `Error: useSearchParams() should be wrapped in a suspense boundary` au `next build`
+- Fonctionne en dev mais échoue à la CI/CD
+
+### Bonnes pratiques / mitigations
+
+- Isoler le composant client qui utilise `useSearchParams()` et le rendre sous `<Suspense fallback={...}>` au niveau de la page
+- Ne jamais appeler `useSearchParams()` directement dans un composant rendu sans `Suspense` depuis un Server Component
+
+- Contexte technique : Next.js App Router récent / Turbopack — app-template-resto 16-03-2026
+
+---
+
+<a id="risque-type-viewdata-duplique"></a>
+## Type `ViewData` dupliqué entre couche serveur et composant UI (Next.js)
+
+### Risques
+
+- TypeScript accepte deux structures identiques par structural typing — si le type source évolue, la couche UI reste désynchronisée sans erreur de compilation tant que les formes correspondent
+
+### Symptômes
+
+- Deux définitions du même type dans `src/server/` et `src/app/`
+- Champ ajouté côté serveur mais absent dans le composant UI sans warning
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ✅ La couche UI importe et re-exporte
+export type { PublicHomeViewData } from "@/server/public/getPublicHomeData";
+
+// ❌ À éviter — redéfinition locale
+export type PublicHomeViewData = { tenantName: string; ... };
+```
+
+- Règle : le type appartient à la couche qui le produit. La couche UI importe uniquement.
+
+- Contexte technique : Next.js App Router / TypeScript — app-template-resto 16-03-2026
+
+---
+
+<a id="risque-composant-react-fichier-ts"></a>
+## Composant React dans un fichier `.ts` — `React.createElement` workaround
+
+### Risques
+
+- Code illisible vs JSX natif
+- Fausse impression que le fichier est "sans JSX" — peut tromper les outils de linting et les reviewers
+- Empêche l'utilisation de la syntaxe JSX si on doit ajouter des enfants complexes
+
+### Symptômes
+
+- `React.createElement(...)` dans un fichier `.ts`
+
+### Bonnes pratiques / mitigations
+
+- Tout fichier exportant une fonction retournant un `ReactElement` ou utilisant React doit avoir l'extension `.tsx`
+- Sans exception
+
+- Contexte technique : TypeScript / React — app-template-resto 16-03-2026
+
+---
+
+<a id="risque-double-validation-segment-app-router"></a>
+## Double validation de segment dynamique App Router (layout + page)
+
+### Risques
+
+- Si le layout fait `notFound()` sur un segment invalide ET que la page répète la même condition, les deux deviennent désynchronisés silencieusement lors d'une modification
+
+### Symptômes
+
+- Même condition de validation dans `layout.tsx` et `page.tsx` d'un même segment
+- Modification du layout n'est pas reportée dans la page (comportement divergent)
+
+### Bonnes pratiques / mitigations
+
+- Si le layout garde, la page consomme — une seule responsabilité par couche
+- La page doit faire confiance à son layout parent
+- **Règle** : un seul composant est responsable de la garde sur un segment dynamique
+
+- Contexte technique : Next.js App Router — app-template-resto 17-03-2026
+
+---
+
+<a id="risque-faux-test-negatif"></a>
+## Faux test négatif — tester le helper au lieu de tester l'exclusion
+
+### Risques
+
+- Un test nommé "X n'utilise pas Y" qui appelle Y en interne est un test normal mal documenté, pas un test d'exclusion
+- Donne une fausse confiance sur le comportement par défaut du helper
+
+### Symptômes
+
+- Test intitulé "sans fallback, la valeur EN vide n'est pas remplacée" mais qui appelle le helper avec fallback activé
+
+### Bonnes pratiques / mitigations
+
+- Un vrai test négatif vérifie que X n'importe pas Y, ou que le comportement par défaut empêche l'effet indésirable
+- Pour un helper à fallback optionnel : tester explicitement le cas `fallbackToFr=false` (défaut) avec une valeur vide
+
+- Contexte technique : TypeScript / Jest — app-template-resto 17-03-2026
+
+---
+
+<a id="risque-boolean-ui-hardcode-store"></a>
+## État booléen UI dérivé hardcodé au lieu d'être calculé depuis le store
+
+### Risques
+
+- Un état toggle (`isBookmarked`, `isLiked`, `isFollowed`) initialisé à `false` en dur ne reflète jamais l'état réel
+- Le bouton est toujours en mode "ajouter" sans jamais passer en mode "supprimer"
+
+### Symptômes
+
+- `const isBookmarked = false; // état local géré ci-dessous via state`
+- Bouton bookmark/like toujours dans le même état visuel peu importe l'état réel
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ❌ Anti-pattern — état hardcodé
+const isBookmarked = false;
+
+// ✅ Pattern correct — dérivé du store au rendu
+const { bookmarks } = useCommunityStore();
+const isBookmarked = bookmarks.some((b) => b.thread.id === threadId);
+```
+
+- Règle : si le store contient la liste (bookmarks, likes, follows), l'état booléen se dérive avec `.some()` ou `.has()`
+
+- Contexte technique : React Native / Zustand — app-alexandrie story 4.4, 20-03-2026
+
+---
+
+<a id="risque-flag-isloading-unique-nature-differente"></a>
+## Flag `isLoading` unique pour des opérations de natures différentes
+
+### Risques
+
+- Un même flag (ex: `isBookmarking`) utilisé à la fois pour les mutations (add/remove) et le chargement de la liste provoque des bugs visuels — spinner manquant au premier chargement si une mutation est en cours en parallèle
+
+### Symptômes
+
+- Spinner absent au premier chargement de la liste bookmarks
+- Bouton "ajouter" désactivé alors qu'aucune mutation n'est en cours
+
+### Bonnes pratiques / mitigations
+
+```typescript
+// ❌ Anti-pattern — un seul flag pour tout
+isBookmarking: boolean;
+
+// ✅ Pattern correct — séparation claire
+isBookmarking: boolean;        // mutations add/remove
+isLoadingBookmarks: boolean;   // chargement de la liste (GET)
+```
+
+- Contexte technique : React Native / Zustand — app-alexandrie story 4.4, 20-03-2026
+
+---
+
+<a id="risque-consent-state-false-ambigu"></a>
+## Consent state : `false` ambigu entre "pas de décision" et "refus explicite"
+
+### Risques
+
+- Sans champ `decided`, `analytics: false` peut signifier "première visite" ou "refus explicite" — indistinguables
+- Le banner de consentement réapparaît à chaque visite après un refus, violant l'AC de persistance du choix
+
+### Symptômes
+
+- Banner qui réapparaît après rechargement malgré un refus explicite
+
+### Bonnes pratiques / mitigations
+
+```typescript
+type ConsentState = {
+  analytics: boolean;
+  decided: boolean; // true = l'utilisateur a fait un choix (cookie présent)
+};
+
+const DEFAULT: ConsentState = { analytics: false, decided: false };
+
+// À la lecture du cookie :
+if (!cookieValue) return DEFAULT; // decided=false (première visite)
+return { analytics: parsed.analytics, decided: true };
+```
+
+- L'état initial du banner doit être `!decided`, pas `!analytics`
+
+- Contexte technique : Next.js / cookies — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-script-inline-interpolation-directe"></a>
+## Script inline : interpolation directe au lieu de `JSON.stringify`
+
+### Risques
+
+- Injection XSS potentielle via une valeur de configuration interpolée directement dans un `<Script>` inline
+- La regex de validation en amont peut évoluer et laisser passer des valeurs dangereuses
+
+### Symptômes
+
+- `` {`gtag('config', '${measurementId}');`} `` — interpolation directe sans échappement
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// ❌ Anti-pattern — interpolation directe
+{`gtag('config', '${measurementId}');`}
+
+// ✅ Pattern correct — JSON.stringify garantit l'échappement
+{`gtag('config', ${JSON.stringify(measurementId)});`}
+```
+
+- S'applique aussi aux `dangerouslySetInnerHTML` et aux attributs `data-*` injectés en JS
+
+- Contexte technique : Next.js / `<Script>` — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-window-location-reload-nextjs"></a>
+## Next.js App Router : `window.location.reload()` au lieu de `router.refresh()`
+
+### Risques
+
+- Full reload = perd l'état React, navigation complète, plus lent
+- `router.refresh()` est l'outil idoine : retrigger le fetch des Server Components sans détruire l'état client
+
+### Symptômes
+
+- `window.location.reload()` après un Server Action dans un Client Component
+- Flash de rechargement visible, perte de l'état local (scroll, focus, état de formulaire)
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// ❌ Anti-pattern — full reload
+await createCategoryAction(formData);
+window.location.reload();
+
+// ✅ Pattern correct — RSC diff, préserve l'état client
+const router = useRouter();
+await createCategoryAction(formData);
+router.refresh();
+```
+
+- `router.refresh()` refetch uniquement les Server Components affectés (via `revalidatePath`) et applique un diff. L'état des Client Components est préservé.
+
+- Contexte technique : Next.js App Router — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-usetransition-snapshot-apres-setstate"></a>
+## `useTransition` + optimistic update : snapshot capturé après `setState`
+
+### Risques
+
+- Stale closure classique : le snapshot est capturé après `setState`, donc `categories` peut déjà référencer la nouvelle liste au moment du rollback
+
+### Symptômes
+
+- Rollback optimiste qui ne restaure pas l'ancienne valeur
+- Après une erreur serveur, l'état reste sur la nouvelle liste au lieu de revenir à l'état précédent
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// ❌ Anti-pattern — snapshot capturé après setState
+const newList = [...categories];
+setCategories(newList);
+startTransition(async () => {
+  try { await action(); }
+  catch { setCategories(categories); } // peut être newList
+});
+
+// ✅ Pattern correct — snapshot AVANT toute mutation d'état
+const snapshot = categories; // capturer AVANT setCategories
+setCategories(newList);
+startTransition(async () => {
+  try { await action(); }
+  catch { setCategories(snapshot); } // rollback garanti
+});
+```
+
+- **Règle** : toujours assigner le snapshot dans un `const` **avant** le premier `setState`
+
+- Contexte technique : React / Next.js App Router — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-window-confirm-react"></a>
+## `window.confirm()` dans une app React/Next.js
+
+### Risques
+
+- Bloque le thread principal
+- Ne fonctionne pas en SSR
+- Non stylable, UX mobile mauvaise
+
+### Symptômes
+
+- `if (!confirm("Supprimer ?")) return;` dans un Client Component
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// ❌ Anti-pattern
+if (!confirm("Supprimer ?")) return;
+
+// ✅ Pattern correct — confirmation inline via état React
+const [deletingId, setDeletingId] = useState<string | null>(null);
+
+{deletingId === item.id && (
+  <div>
+    <span>Supprimer « {item.label} » ?</span>
+    <button onClick={() => { setDeletingId(null); doDelete(item.id); }}>Confirmer</button>
+    <button onClick={() => setDeletingId(null)}>Annuler</button>
+  </div>
+)}
+```
+
+- S'applique aussi à `window.alert()` et `window.prompt()`
+
+- Contexte technique : React / Next.js — app-template-resto 21-03-2026
+
+---
+
+<a id="risque-import-type-server-composant-client"></a>
+## `import type` depuis `src/server/**` dans un composant client
+
+### Risques
+
+- Violation de boundary même si l'import est type-only (effacé à la compilation)
+- Ouvre la porte à des imports runtime si le code est refactoré rapidement
+- La règle ESLint `no-restricted-imports` doit couvrir les `import type` aussi
+
+### Symptômes
+
+- `import type { Foo } from "@/server/..."` dans un fichier `"use client"`
+- Passe en review car le compilateur ne bloque pas les type-only imports
+
+### Bonnes pratiques / mitigations
+
+- Types partagés entre server et client doivent vivre dans `src/types/` ou `src/lib/`
+- Configurer `no-restricted-imports` avec `allowTypeImports: false` pour les paths serveur
+
+- Contexte technique : Next.js App Router / TypeScript — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-inline-styles-dashboard"></a>
+## Inline styles dans les composants dashboard
+
+### Risques
+
+- Contourne le système Tailwind + tokens CSS
+- Crée des incohérences visuelles non détectées par le linter
+
+### Symptômes
+
+- `style={{ color: '#123456', marginTop: 8 }}` dans un composant dashboard
+
+### Bonnes pratiques / mitigations
+
+- Bloquer en code review systématiquement tout `style={{...}}` dans les composants dashboard
+- Exception acceptable uniquement : animations CSS dynamiques (valeurs calculées au runtime)
+
+- Contexte technique : React / Tailwind — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-tailwind-classes-invalides"></a>
+## Classes Tailwind invalides courantes (bugs silencieux)
+
+### Risques
+
+- Classes Tailwind invalides sont silencieusement ignorées — aucun warning, comportement visuellement cassé
+
+### Symptômes
+
+- Item masqué affiché à pleine opacité (`opacity-55` → invalide)
+- Largeur incorrecte (`w-35` → invalide)
+
+### Bonnes pratiques / mitigations
+
+Erreurs courantes :
+- `opacity-55` → invalide. Scale : 0/5/10/20/25/30/40/50/60/70/75/80/90/95/100 → utiliser `opacity-50` ou `opacity-60`
+- `w-35` → invalide. Scale saute de `w-32` à `w-36` → utiliser `w-36`
+- `box-border` → redondant. Tailwind Preflight applique déjà `box-sizing: border-box` globalement
+
+- Toujours vérifier les classes custom/non-standard avec l'extension Tailwind IntelliSense
+
+- Contexte technique : Tailwind CSS — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-img-natif-nextjs"></a>
+## Next.js : `<img>` natif interdit dans les composants
+
+### Risques
+
+- Warning ESLint `@next/next/no-img-element` → avec `--max-warnings=0` : erreur CI
+- Pas de lazy loading, pas d'optimisation WebP, risque de layout shift (CLS)
+
+### Symptômes
+
+- `<img src="..." />` dans un composant Next.js
+
+### Bonnes pratiques / mitigations
+
+- Toujours utiliser `<Image>` de `next/image` à la place
+- Exception acceptable : composants de test ou storybook uniquement
+
+- Contexte technique : Next.js / ESLint — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-usetransition-global-liste-items"></a>
+## `useTransition` global pour des listes d'items interactifs
+
+### Risques
+
+- `isPending` global désactive **tous** les boutons de tous les items pendant qu'une opération est en cours sur un seul item
+- Sur mobile : UX bloquée, impossible d'agir pendant qu'une autre opération tourne
+
+### Symptômes
+
+- Clic sur "Masquer" pour l'item A → boutons des items B et C grisés
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// ❌ Avant — bloque tout
+const [isPending, startTransition] = useTransition();
+// render : disabled={isPending}
+
+// ✅ Après — per-item
+const [pendingId, setPendingId] = useState<string | null>(null);
+
+function handleToggle(id: string) {
+  setPendingId(id);
+  (async () => {
+    try { await toggleAction(id); }
+    catch (err) { handleError(err); }
+    finally { setPendingId(null); }
+  })();
+}
+// render : disabled={pendingId === item.id}
+```
+
+**Règles :**
+- `pendingId === item.id` pour les boutons d'item (désactive uniquement l'item en cours)
+- `pendingId !== null` pour les boutons globaux (ex: "Ajouter")
+- `finally` garantit la réinitialisation même en cas d'erreur
+
+- Contexte technique : React / Next.js — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-usecallback-inutile-inline"></a>
+## `useCallback` inutile quand le callback est wrappé en inline au render
+
+### Risques
+
+- Le handler stable est re-wrappé dans une arrow inline lors du passage en prop → nouvelle référence à chaque render → `React.memo` ne peut pas éviter le re-render
+
+### Symptômes
+
+```tsx
+const handleToggle = useCallback((id: string) => { ... }, []); // stable ✓
+
+// Mais au render :
+<ItemCard onToggle={() => handleToggle(item.id)} />
+//                 ↑ nouvelle closure à chaque render → memo inutile
+```
+
+### Bonnes pratiques / mitigations
+
+- `useCallback` n'a de valeur que si le callback est passé **directement** en prop, sans re-wrapping
+- Si la signature doit capturer des variables de boucle, deux options :
+  1. Passer les données en props et laisser l'enfant appeler le handler avec ses propres props
+  2. Accepter que `memo` ne soit pas protégé et supprimer le `useCallback` inutile
+- Ne pas laisser un `useCallback` "pour faire bien" si son effet réel est nul
+
+- Contexte technique : React — app-template-resto 22-03-2026
+
+---
+
+<a id="risque-formulaire-defaultvalue-sans-key"></a>
+## Formulaire React avec `defaultValue` sans `key` prop
+
+### Risques
+
+- `defaultValue`, `defaultChecked`, `defaultSelected` ne s'appliquent qu'au montage
+- Si le composant est réutilisé (même nœud DOM, nouvelle prop) sans être démonté, les valeurs ne se mettent pas à jour
+
+### Symptômes
+
+- L'utilisateur édite l'entité A, clique sur "Modifier" pour l'entité B → le formulaire affiche encore les données de A
+
+### Bonnes pratiques / mitigations
+
+```tsx
+// Fix obligatoire : key unique basée sur l'ID de l'entité éditée
+<EntityForm
+  key={formState.mode === "edit" ? formState.entity.id : `create-${formState.contextId}`}
+  ...
+/>
+```
+
+- **Règle** : tout formulaire d'édition réutilisé pour plusieurs entités doit avoir une `key` distincte par entité
+
+- Contexte technique : React / Next.js — app-template-resto 21-03-2026
diff --git a/90_debug_et_postmortem.md b/90_debug_et_postmortem.md
index 7a881cf..bd8e6da 100644
--- a/90_debug_et_postmortem.md
+++ b/90_debug_et_postmortem.md
@@ -138,3 +138,39 @@ constructor() {
 ### Alternative écartée
 
 `nest start --watch` a été testé mais a introduit des conflits ESM/CJS dans ce contexte (`exports is not defined`).
+
+---
+
+## `export { fn }` ne constitue pas un import local — détecté uniquement au build
+
+### Contexte
+
+Projet `app-template-resto`, story 2-4, le 17-03-2026.
+Dans `getPublicHomeData.ts`, la fonction `resolvePublicTenantSelection` avait été déplacée dans `src/server/tenant/resolvePublicTenant.ts` et re-exportée depuis l'ancien emplacement.
+
+### Symptômes
+
+- `Cannot find name 'resolvePublicTenantSelection'` au `next build` uniquement
+- ESLint et `tsc` (hors build) ne signalaient rien
+- La fonction était utilisée localement dans le même fichier qui la re-exportait
+
+### Cause
+
+```typescript
+// getPublicHomeData.ts
+export { resolvePublicTenantSelection } from "@/server/tenant/resolvePublicTenant";
+
+// puis, plus bas dans le même fichier :
+const result = resolvePublicTenantSelection(env); // ← NameError au build
+```
+
+Un re-export (`export { fn } from "..."`) ne crée pas de binding local dans le fichier. La fonction est exportée vers l'extérieur mais n'est pas disponible comme variable locale.
+
+### Correctif / règle à retenir
+
+Si une fonction est utilisée dans le même fichier qui la re-exporte, ajouter un `import` séparé en plus du `export` :
+
+```typescript
+import { resolvePublicTenantSelection } from "@/server/tenant/resolvePublicTenant";
+export { resolvePublicTenantSelection }; // pour les appelants externes
+```
diff --git a/95_a_capitaliser.md b/95_a_capitaliser.md
index a80fcce..289be25 100644
--- a/95_a_capitaliser.md
+++ b/95_a_capitaliser.md
@@ -3,7 +3,7 @@
 Ce fichier sert de **zone tampon de capitalisation**.
 
 Les agents et les projets peuvent y déposer des propositions
-d’amélioration de la base de connaissance globale (`Lead_tech`).
+d'amélioration de la base de connaissance globale (`Lead_tech`).
 
 Le contenu de ce fichier **n'est pas encore validé**.
 
@@ -27,1282 +27,10 @@ Ce fichier ne doit donc **jamais devenir une documentation permanente**.
 
 ---
 
-2026-03-23 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Pattern récurrent : les endpoints GET de lecture ne vérifient pas les droits d'accès au forum, alors que les endpoints d'écriture le font. Trouvé sur `getCategories` (4.5) — l'endpoint était exposé à tout utilisateur authentifié sans contrôle d'entitlements.
-
-Proposition :
-**VIGILANCE — Endpoints lecture sans contrôle d'accès (forum/ressource restreinte)**
-Tout endpoint retournant des données liées à une ressource protégée (forum pack, contenu premium) doit appeler `assertForumAccess` ou équivalent, même pour les opérations GET. La règle "seuls les writes vérifient les droits" est un anti-pattern qui expose des données à des utilisateurs non autorisés. Checklist de review : pour chaque nouveau GET, vérifier qu'il passe bien par le guard/helper d'accès si la ressource appartient à un scope protégé.
+_Aucune entrée pour le moment_
 
 ---
 
-2026-03-23 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Vérification d'unicité Prisma + race condition : une vérification `findUnique` avant `create` ne suffit pas en cas de requêtes concurrentes. Le catch sur `P2002` est le seul garde-fou fiable.
-
-Proposition :
-**PATTERN — Gestion de contrainte unique Prisma : toujours catch P2002**
-Ne pas se fier uniquement à un `findUnique` pré-insertion pour garantir l'unicité. Toujours encapsuler le `create` dans un `try/catch` ciblant `err.code === 'P2002'` et relancer l'erreur métier appropriée. Cela couvre les race conditions entre requêtes concurrentes. Exemple validé : `createCategory` (4.5), `createThread` (4.2 aurait dû l'avoir aussi).
-
----
-
-2026-03-23 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Store Zustand partagé entre plusieurs écrans d'un même type (ex: plusieurs forums) : les collections sans clé de contexte (ex: `categories: Category[]` sans `categoriesForumSlug`) causent des affichages de données périmées lors d'une navigation inter-forum.
-
-Proposition :
-**VIGILANCE — Store Zustand : collections sans clé de contexte**
-Quand un store stocke des données qui dépendent d'un paramètre de navigation (forumSlug, threadId...), ne pas se contenter d'un guard `if (items.length > 0) return` — cela empêche le rechargement lors d'un changement de contexte. Soit stocker la clé de contexte avec les données (`categoriesForumSlug: string | null`), soit supprimer le guard et dépendre uniquement du changement de paramètre dans le useEffect.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Code review story 1.9 a révélé un anti-pattern : les tâches de story peuvent déclarer [x] consumedAt sans que le champ existe réellement dans le schéma Prisma.
-
-Proposition :
-**Anti-pattern : Divergence schéma / spec story**
-Lors d'une implémentation, valider que chaque champ mentionné dans les tâches (consumedAt, tokenHash, etc.) existe réellement dans le schéma Prisma avant de marquer la tâche [x]. Une story peut décrire consumedAt comme stratégie de conception sans que le champ soit présent — toujours croiser avec schema.prisma.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Le module sendPasswordResetEmail utilise `server-only` ce qui le rend non-importable dans le runner de tests Node. Résolution : tester la logique pure (safeHttpUrl) dans un fichier séparé sans dépendances Next.js.
-
-Proposition :
-**Pattern : Isolation des guards purs des modules server-only**
-Extraire la logique pure (validation URL, sanitisation) dans des fonctions utilitaires sans import `server-only` ou `nodemailer`. Le module email orchestre uniquement. Cela permet de tester les guards en isolation sans les contraintes du runtime Next.js.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 1.10 — la règle `server-only` vs testabilité est implicite dans le projet mais mérite d'être explicitée pour les agents futurs.
-
-Proposition :
-**Pattern : `server-only` réservé aux modules avec APIs Next.js exclusivement serveur**
-Ne pas mettre `import "server-only"` sur les modules de logique pure injectés via dépendances (ex: `deleteSession({ prisma, sessionToken })`). Réserver `server-only` aux modules qui appellent des APIs Next.js runtime-only (`cookies()`, `headers()`, `redirect()`). Les modules purs sans ces imports peuvent être importés par le test runner Node et testés unitairement sans friction.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 1.10 — suppression de session avec gestion idempotente, réutilisable pour toute opération de révocation.
-
-Proposition :
-**Pattern : Suppression de session idempotente (P2025)**
-Lors d'une déconnexion ou révocation de session, entourer le `prisma.session.delete()` d'un try/catch qui absorbe silencieusement le code Prisma `P2025` (record not found). Une session peut déjà avoir été supprimée (expiration, logout concurrent) — ce n'est pas une erreur, ne pas la propager.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 1.10 — Server Action Next.js qui orchestre des dépendances Next.js runtime non-testables : isoler la logique pure dans un module injectable.
-
-Proposition :
-**Pattern : Server Action Next.js — isoler la logique pure dans un module injectable**
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Problème rencontré en build réel sur Next 16/Turbopack. Le pattern `useSearchParams()` côté client casse le prerender si le composant n'est pas protégé par `Suspense`.
-
-Proposition :
-**Risque : `useSearchParams()` sans `Suspense` casse le build Next.js App Router**
-Avec Next.js App Router récent, tout composant client utilisant `useSearchParams()` peut provoquer un échec de prerender/build s'il est rendu sans boundary `Suspense` depuis la page/layout serveur. Quand un écran dépend de `useSearchParams()`, isoler ce composant client et le rendre sous `<Suspense fallback={...}>` au niveau de la page.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Le build Next a échoué sur une initialisation Prisma trop tôt dans le cycle, avant disponibilité effective de `DATABASE_URL`. Le correctif est réutilisable sur d'autres apps App Router.
-
-Proposition :
-**Risque : initialiser Prisma au chargement de module peut casser le build**
-Dans une app Next.js App Router, un import global qui initialise immédiatement Prisma peut faire échouer la collecte de pages/routes au build si `DATABASE_URL` n'est pas disponible dans l'environnement de build. Préférer une initialisation lazy-safe : soit retarder l'accès DB au moment de l'appel métier, soit retourner un proxy qui lève une erreur claire uniquement lors du premier accès réel à la DB.
-
----
-2026-03-16 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_patterns_valides.md
-
-Pourquoi :
-La migration de config ESLint a permis de remettre `lint` au vert avec Next 16 sans dépendre d'un pont de compatibilité cassant.
-
-Proposition :
-**Pattern : utiliser directement les presets flat de `eslint-config-next`**
-Sur un projet Next.js récent, préférer une config `eslint.config.mjs` qui importe directement `eslint-config-next/core-web-vitals` et `eslint-config-next/typescript`, puis ajoute des overrides ciblés. Cela évite les bugs de compatibilité de l'ancien `.eslintrc` et limite la dette de config quand le repo utilise déjà le flat config.
-Une Server Action qui appelle `cookies()`, `headers()` ou `redirect()` ne peut pas être testée unitairement (imports runtime-only). Pattern : extraire la logique pure (suppression DB, validation) dans une fonction avec injection de dépendances (`performSignOut({ prismaClient, sessionToken, redirectFn })`). La Server Action reste fine et orchestre uniquement les dépendances Next.js. Le module extrait est testable sans friction avec le runner Node natif.
-
----
-2026-03-16 — app-template-resto / code-review story 1.11
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-`import "server-only"` dans les repositories casse les tests Node.js hors Next.js — rencontré lors de cette review.
-
-Proposition :
-## Risque : `server-only` dans les repositories bloque les tests unitaires
-
-`import "server-only"` empêche l'exécution des fichiers hors runtime Next.js.
-Solution : créer un stub `node_modules/server-only/index.js` (no-op) pour les tests.
-Alternativement, ne mettre `server-only` que dans les fichiers qui utilisent des APIs
-Next.js (`cookies()`, `headers()`), pas dans les repositories purs.
-
----
-
-2026-03-16 — app-template-resto / code-review story 2.1
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Deux anti-patterns Next.js App Router détectés en code review : duplication de type entre couche server et couche UI, et usage de React.createElement dans un fichier .ts pour contourner l'exigence JSX.
-
-Proposition :
-## Anti-pattern : type ViewData dupliqué entre server et composant UI (Next.js App Router)
-
-Contexte : quand un service server-only (`src/server/...`) produit un type de données et qu'un composant UI (`src/app/...`) en a besoin, il est tentant de redéfinir le type localement dans le composant.
-
-Risque : divergence silencieuse — TypeScript accepte deux structures identiques par structural typing, mais si le type source évolue (champ ajouté, renommé), la couche UI reste désynchronisée sans erreur de compilation tant que les formes correspondent.
-
-Règle : le type appartient à la couche qui le produit. La couche UI importe et re-exporte uniquement.
-
-```ts
-// ✅ Dans PublicHomeContent.tsx
-export type { PublicHomeViewData } from "@/server/public/getPublicHomeData";
-
-// ❌ À éviter : redéfinir le même type dans le composant
-export type PublicHomeViewData = { tenantName: string; ... };
-```
-
----
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Anti-pattern détecté : composant React écrit en .ts avec React.createElement pour éviter d'avoir à déclarer l'extension .tsx, rendant le code illisible et non extensible.
-
-Proposition :
-## Anti-pattern : composant React dans un fichier .ts (React.createElement workaround)
-
-Tout fichier contenant du JSX ou un composant React doit avoir l'extension `.tsx`. Utiliser `React.createElement` dans un `.ts` fonctionne techniquement mais est un anti-pattern :
-- Rend le code illisible comparé à JSX natif
-- Donne une fausse impression que le fichier est "sans JSX"
-- Empêche l'utilisation de la syntaxe JSX si besoin d'ajouter des enfants complexes
-- Peut tromper les outils de linting et les reviewers
-
-Règle : si un fichier exporte une fonction retournant un ReactElement ou utilise React, l'extension est `.tsx`.
-
----
-
-2026-03-17 — app-template-resto / story 2-2
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Review story 2-2 — anti-pattern "double validation de garde" dans Next.js App Router : un layout enfant rejette déjà les segments invalides via notFound(), mais la page enfant répétait la même condition. Risque de désynchronisation silencieuse si l'une des deux est modifiée sans l'autre.
-
-Proposition :
-**Anti-pattern : double validation de segment dynamique App Router**
-Dans une structure layout → page, si le layout fait `notFound()` sur un segment invalide, la page ne doit PAS répéter la même condition. La page doit faire confiance à son layout parent. Répéter la validation :
-- crée une fausse impression que les deux chemins sont indépendants
-- rend le code difficile à maintenir (si on change la condition dans le layout, il faut penser à changer la page)
-- peut induire en erreur sur quel composant est réellement responsable de la garde
-Règle : une seule responsabilité par couche — le layout garde, la page consomme.
-
----
-
-2026-03-17 — app-template-resto / story 2-2
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Review story 2-2 — faux test d'exclusion : un test nommé "test négatif : une page X n'utilise pas helper Y" appelait Y et vérifiait un résultat null — ce n'est pas un test d'exclusion, c'est juste un test normal mal documenté.
-
-Proposition :
-**Anti-pattern : faux test négatif — tester le helper au lieu de tester l'exclusion**
-Un test intitulé "X n'utilise pas Y" doit vérifier que X n'importe pas Y, ou que le comportement par défaut de Y empêche l'effet indésirable. Si on appelle Y dans le test, on teste Y, pas l'exclusion de X. Pour les helpers à fallback optionnel, le vrai test négatif est : "avec fallbackToFr=false (défaut), une valeur EN vide n'est PAS remplacée silencieusement" — ce qui force l'appelant à choisir explicitement le fallback.
-
----
-
-2026-03-17 — app-template-resto / story 2-3
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 2.3 — séparation nette entre le repository (requête Prisma brute) et le service (mapping DTO + règles métier). La règle isVisible est appliquée dans le service, pas dans la requête DB, ce qui la rend testable sans Prisma.
-
-Proposition :
-**Pattern : filtrage des règles métier dans le service, pas dans le repository**
-Pour les données publiques avec des règles de visibilité (ex: `isVisible`, `isActive`), mettre le filtre dans le service et non dans la clause `where` du repository. Le repository charge tout ce qui est candidat (ex: catégories visibles, plats de toutes visibilités) ; le service applique les règles métier et mappe vers des DTOs. Avantages :
-- la règle est testable unitairement sans Prisma (mock de données brutes)
-- la requête DB reste simple et stable entre les contextes (dashboard edit ≠ rendu public)
-- les futurs cas (ex: admin voit les invisibles) ne nécessitent pas de modifier la requête
-
-Exception acceptable : filtres de performance (pagination, tenant scoping) restent dans le `where`.
-
----
-
-2026-03-17 — app-template-resto / story 2-3
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 2.3 — les champs Decimal Prisma doivent être sérialisés explicitement avant de traverser des boundaries (service, réseau, tests). Sans toString(), le type Decimal Prisma n'est pas JSON-safe et peut provoquer des erreurs silencieuses.
-
-Proposition :
-**Pattern : sérialiser les Decimal Prisma en string au niveau du repository**
-Tout champ `Decimal` Prisma (ex: `price`) doit être converti en `string` (`decimal.toString()`) dans le repository avant d'être retourné au service. Ne pas laisser les objets Decimal traverser les couches — ils ne sont pas JSON-sérialisables nativement et leur comportement varie selon le contexte (Node vs browser vs test runner). Le DTO public utilise `string | null` pour le prix, pas `Decimal`.
-
----
-
-2026-03-17 — app-template-resto / code-review story 2-3
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Anti-pattern détecté en code review : les modèles menu (Allergen, Tag, MenuCategory, Dish) avaient chacun un champ `tenantId` sans relation Prisma `@relation` vers `Tenant`. La migration SQL ne créait pas non plus les FK correspondantes. Résultat : isolation multi-tenant non enforced au niveau DB.
-
-Proposition :
-**Anti-pattern : champ tenantId sans FK ni relation Prisma vers Tenant**
-Tout modèle tenant-scoped doit avoir :
-1. `tenant Tenant @relation(fields: [tenantId], references: [id], onDelete: Cascade)` dans le modèle Prisma
-2. La relation inverse dans `Tenant` (ex: `menuCategories MenuCategory[]`)
-3. La FK correspondante dans la migration SQL (`ALTER TABLE ... ADD CONSTRAINT ... REFERENCES "tenants"`)
-
-Un `tenantId TEXT NOT NULL` sans ces trois éléments ne garantit aucune isolation au niveau DB — Prisma ne génère pas de FK automatiquement sans la relation déclarée. Vérifier systématiquement que les nouveaux modèles respectent ce guardrail lors du code review.
-
----
-
-2026-03-17 — app-template-resto / code-review story 2-3
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé en code review 2.3 — une fonction utilitaire de résolution de tenant (`resolvePublicTenantSelection`) était définie dans `getPublicHomeData.ts` et importée par le module menu. Ce couplage crée une dépendance sémantique incorrecte entre deux domaines distincts.
-
-Proposition :
-**Pattern : extraire les helpers de résolution tenant dans un module partagé dédié**
-Toute fonction utilitaire transverse aux domaines (ex: résolution du tenant public depuis les variables d'environnement) doit vivre dans `src/server/tenant/` plutôt que dans un module métier spécifique. Les modules métier importent depuis ce module partagé. L'ancien emplacement peut ré-exporter pour rétrocompatibilité le temps de la migration.
-```ts
-// ✅ src/server/tenant/resolvePublicTenant.ts
-export function resolvePublicTenantSelection(env) { ... }
-
-// ✅ src/server/public/getPublicHomeData.ts (rétrocompatibilité)
-export { resolvePublicTenantSelection } from "@/server/tenant/resolvePublicTenant";
-```
-
----
-
-2026-03-17 — app-template-resto / story 2-4
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 90_debug_et_postmortem.md
-
-Pourquoi :
-Bug discret détecté au build : un `export { fn }` ne rend pas `fn` disponible localement dans le même fichier. TypeScript et ESLint ne le signalent pas, mais le build strict (TypeScript `--noEmit`) le rejette avec "Cannot find name". Piège fréquent lors de refactors de module.
-
-Proposition :
-**Bug : `export { fn }` ne constitue pas un import local — détecté uniquement au build**
-
-Dans `getPublicHomeData.ts`, la fonction `resolvePublicTenantSelection` était re-exportée via :
-```ts
-export { resolvePublicTenantSelection } from "@/server/tenant/resolvePublicTenant";
-```
-…puis utilisée localement dans le même fichier sans `import`. ESLint et `tsc` (hors build) ne l'ont pas signalé, mais `next build` avec TypeScript strict a levé `Cannot find name 'resolvePublicTenantSelection'`.
-
-Règle : un re-export ne crée pas de binding local. Si la fonction est utilisée dans le même fichier, ajouter un `import` séparé en plus du `export`.
-
----
-
-2026-03-17 — app-template-resto / code-review story 2-4
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Code review 2.4 — bug de boucle infinie potentielle : `resolvePublicPageAccess("home", ...)` redirige vers `buildLocalizedPath("home")` = `/`. Si `home` est désactivé, la page `/` redirige vers `/` indéfiniment. Next.js absorbe la boucle silencieusement mais le comportement utilisateur est cassé.
-
-Proposition :
-**Anti-pattern : redirect vers la destination désactivée elle-même**
-
-Dans un mécanisme de redirection sur page désactivée (feature flags, pages publiques), toujours vérifier que la destination de fallback n'est pas la page en cours. Cas typique : `home` désactivé → redirect vers `/` (qui est `home`) → boucle.
-
-Règle : si `pageKey === fallbackKey`, ne pas rediriger. Retourner `null` (accès non bloqué ou comportement non défini en V1) plutôt que de boucler.
-
-```ts
-if (pageKey === "home") return null; // évite redirect home → home
-return buildLocalizedPath(locale, "home");
-```
-
----
-
-2026-03-17 — app-template-resto / code-review story 2-4
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 2.4 — mécanisme centralisé d'activation de pages/features par tenant, reutilisable sans duplication dans chaque page ou composant.
-
-Proposition :
-**Pattern : helper centralisé d'activation de features tenant-scoped**
-
-Pour les features activables par tenant (ex: pages publiques, modules optionnels), centraliser la logique dans un helper pur distinct :
-
-```ts
-// src/server/public/publicPagesConfig.ts
-export function isPublicPageEnabled(
-  config: PublicPagesConfigRecord | null | undefined,
-  pageKey: PublicPageKey
-): boolean {
-  if (!config) return true; // config absente = tout activé par défaut
-  return config[PAGE_KEY_TO_CONFIG_FIELD[pageKey]];
-}
-```
-
-Principes :
-- Le helper est pur (pas d'I/O, testable sans Prisma).
-- La config est chargée une seule fois par le module d'entrée (`getPublicPagesConfigFromEnv`).
-- Les composants de navigation et les pages importent `isPublicPageEnabled` depuis ce module — jamais depuis Prisma directement.
-- Comportement par défaut sain : `null`/`undefined` → tout activé (évite les régressions si la config n'a pas été provisionnée).
-
-Ce pattern s'applique à tous les feature flags tenant-scoped : pages, modules, intégrations tierces.
-
----
-
-2026-03-17 — app-template-resto / story 2-5
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Story 2.5 — l'URL de réservation était déjà dans `PublicHomeProfile.reservationUrl`. Créer un modèle ou un champ dédié aurait introduit une duplication de donnée sans bénéfice en V1.
-
-Proposition :
-**Pattern : réutiliser un champ existant plutôt que créer un modèle dédié pour un besoin V1**
-
-Avant d'ajouter un nouveau modèle ou une nouvelle table pour stocker une configuration simple, vérifier si le schéma existant ne contient pas déjà le champ. Une URL de réservation externe est une donnée de profil tenant — elle appartient naturellement à `PublicHomeProfile`, pas à un modèle `ReservationConfig` séparé.
-
-Règle : ne créer un modèle dédié que si la configuration a un cycle de vie, des relations, ou des cardinalités qui ne correspondent pas à un champ simple dans un modèle existant. En V1, un champ optionnel dans le modèle le plus proche est suffisant.
-
----
-
-2026-03-17 — app-template-resto / story 2-5
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Story 2.5 — l'URL de réservation vient d'une config tenant et est rendue dans un lien public. Sans validation côté serveur, une URL mal formée ou avec un protocole non-https pourrait être injectée dans le HTML.
-
-Proposition :
-**Pattern : valider le protocole d'une URL externe avant de la passer à un lien public**
-
-Toute URL provenant d'une config tenant et rendue dans un `<a href>` public doit être validée côté serveur avant d'être transmise au composant :
-
-```ts
-function isSafeUrl(url: string): boolean {
-  try {
-    const { protocol } = new URL(url);
-    return protocol === "https:" || protocol === "http:";
-  } catch {
-    return false;
-  }
-}
-// Retourner null si invalide — le composant gère l'absence d'URL
-if (!url || !isSafeUrl(url)) return null;
-```
-
-Règle : ne jamais passer directement une URL de base de données dans un `<a href>` sans validation. Le composant UI reçoit soit une URL valide soit `null` — jamais une chaîne non vérifiée. Cela prévient les injections `javascript:` ou les URLs malformées.
-
----
-
-2026-03-20 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Un agent dev a livré un NestJS controller syntaxiquement cassé (méthodes imbriquées, route dupliquée 3x) sans que TypeScript ne l'ait bloqué avant commit. Le code ne pouvait pas compiler mais le statut story était "completed".
-
-Proposition :
-## Risque : Controller NestJS corrompu par insertions multiples
-
-Un agent qui insère des endpoints dans un controller existant peut briser la syntaxe TypeScript (méthodes imbriquées, décorateurs orphelins, routes dupliquées) si les modifications sont faites par concaténation plutôt que par réécriture structurée.
-
-Symptômes typiques :
-- `@Get('/route')` apparaît dans le corps d'une autre méthode
-- La même route est déclarée 2-3 fois dans le même controller
-- Le compilateur TypeScript ne catch pas toujours cela (dépend de la position dans l'AST)
-
-Règle : Quand on ajoute >3 endpoints à un controller existant, réécrire le fichier entier en partant du fichier original — ne jamais insérer par blocs séparés.
-
----
-
-2026-03-20 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Quota TTL calculé avec heure locale serveur au lieu d'UTC — crée une dérive du reset de quota pouvant aller jusqu'à +/-12h selon le timezone serveur. Découvert en review adversariale story 4.3.
-
-Proposition :
-## Risque : TTL Redis quota calculé en heure locale
-
-Toujours calculer le TTL des quotas journaliers en UTC :
-
-```typescript
-// ✅ CORRECT — UTC midnight garanti
-const midnight = new Date(
-  Date.UTC(now.getUTCFullYear(), now.getUTCMonth(), now.getUTCDate() + 1),
-);
-const ttlMs = midnight.getTime();
-
-// ❌ RISQUÉ — heure locale du serveur
-const endOfDay = new Date();
-endOfDay.setHours(23, 59, 59, 999); // dérive selon TZ serveur
-```
-
-Règle : tout `expireAt` ou `TTL` de quota journalier doit utiliser `Date.UTC()` pour le calcul. Vérifier systématiquement en review.
-
----
-
-2026-03-20 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Un agent a marqué une story "completed" alors que le store mobile, le service mobile et les tests e2e étaient déclarés ❌ non implémentés dans son propre Dev Agent Record. La story Status ne doit jamais être "completed" si des ACs ou tâches sont marquées ❌.
-
-Proposition :
-## Anti-pattern : Story "completed" avec tâches ❌ auto-déclarées
-
-Si le Dev Agent Record liste explicitement des items ❌ (non implémentés), le Status de la story doit être `in-progress` ou `review` — jamais `completed`.
-
-Règle : avant de setter `Status: completed`, vérifier que le Dev Agent Record ne contient aucun ❌. En cas de doute, setter `Status: review` pour déclencher la code review.
-
----
-
-2026-03-20 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Code review Story 4.4 — l'état "isBookmarked" était hardcodé à `false` dans l'écran thread detail, ce qui rendait le bouton bookmark toujours en mode "ajouter" sans jamais réfléchir l'état réel. Anti-pattern récurrent quand l'état vient du store mais n'est pas dérivé correctement.
-
-Proposition :
-## Anti-pattern : état booléen UI dérivé hardcodé au lieu d'être calculé depuis le store
-
-Dans un écran qui affiche un état toggle (bookmarké, liké, suivi), ne jamais initialiser l'état via `const isX = false` avec un commentaire "géré ci-dessous". L'état doit toujours être dérivé du store au moment du rendu :
-
-```typescript
-// ❌ Anti-pattern — state hardcodé, jamais mis à jour
-const isBookmarked = false; // état local géré ci-dessous via state
-
-// ✅ Pattern correct — dérivé du store au rendu
-const { bookmarks } = useCommunityStore();
-const isBookmarked = bookmarks.some((b) => b.thread.id === threadId);
-```
-
-Règle : si le store contient la liste (bookmarks, likes, follows), l'état booléen se dérive avec `.some()` ou `.has()` — pas de state local redondant. Cela garantit la cohérence entre les écrans sans synchronisation manuelle.
-
----
-
-2026-03-21 — app-template-resto / code-review story 2.8
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Un agent (GPT-5 Codex) a marqué une story done avec une File List réduite à 2 fichiers meta, une completion note générique ("Ultimate context engine analysis completed"), et aucun code écrit. Le contexte d'exécution de cet agent était probablement dégradé (timeout, quota).
-
-Proposition :
-## Anti-pattern : Story "done" avec File List vide de fichiers source
-
-Un agent peut halluciner la completion d'une story en produisant une note générique sans écrire de code. Signal d'alerte : la File List ne contient que des fichiers `_bmad-output/` (story file, sprint-status) mais aucun fichier `src/`, `prisma/`, `tests/`.
-
-Règle : lors d'une code review, si la File List ne contient aucun fichier source, traiter la story comme non implémentée. Vérifier avec `git log --follow src/` pour confirmer l'absence de commits. Ne pas faire confiance au status `done` sans preuve dans le code.
-
----
-
-2026-03-21 — app-template-resto / story 2.8
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur story 2.8 — le mode embed click-to-load est une décision de performance et de consentement implicite : aucun tiers ne se charge sans action explicite utilisateur.
-
-Proposition :
-**Pattern : click-to-load strict pour les embeds tiers (iframe/widget)**
-
-Pour tout embed tiers chargé à la demande (module de réservation, map, chat) :
-- La page se rend initialement sans l'iframe (état `loaded=false`)
-- Un bouton explicite déclenche le chargement (`onClick={() => setLoaded(true)}`)
-- L'iframe est conditionnellement rendu : `{loaded && <iframe src={url} />}`
-- Un fallback actionnable (lien externe + `tel:`) est toujours disponible en cas d'erreur iframe (`onError={() => setErrored(true)}`)
-
-Ce pattern respecte les principes de performance-first (LCP non pollué par des tiers) et de consentement implicite (aucun tiers ne reçoit de données utilisateur sans action volontaire).
-
----
-
-2026-03-20 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Code review Story 4.4 — `isBookmarking` servait à la fois de flag pour les opérations add/remove ET comme indicateur de chargement de la liste. Dans l'écran bookmarks, cela provoquait un spinner manquant au premier chargement si un add/remove était en cours en parallèle depuis un autre écran.
-
-Proposition :
-## Anti-pattern : réutiliser un seul flag `isLoading` pour des opérations de natures différentes
-
-Quand un store gère plusieurs types d'opérations asynchrones sur la même ressource (chargement de liste ET mutations), utiliser des flags distincts :
-
-```typescript
-// ❌ Anti-pattern — un seul flag pour tout
-isBookmarking: boolean; // add/remove ET chargement liste
-
-// ✅ Pattern correct — séparation claire
-isBookmarking: boolean;        // opérations add/remove (mutation)
-isLoadingBookmarks: boolean;   // chargement de la liste (requête GET)
-```
-
-L'écran de liste utilise `isLoadingBookmarks` pour le spinner initial. L'écran de détail utilise `isBookmarking` pour désactiver le bouton pendant une mutation. Les deux états sont indépendants et peuvent être vrais simultanément sans conflit visuel.
-
----
-
-2026-03-21 — app-template-resto / story 2.7
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Anti-pattern détecté : un flag `decided` manquant dans un état de consentement cookies cause un bug UX silencieux — le banner réapparaît à chaque visite après un refus explicite, car `!analytics` et "pas de cookie" sont indistinguables.
-
-Proposition :
-## Consent state : toujours distinguer "pas de décision" de "refus explicite"
-
-Un état de consentement booléen `analytics: boolean` est insuffisant. `false` peut signifier deux choses distinctes : pas encore de cookie (première visite) ou refus explicite (cookie présent). Sans champ `decided`, le banner de consentement réapparaît à chaque visite après un refus, violant l'AC de persistance du choix.
-
-Pattern validé :
-```typescript
-type ConsentState = {
-  analytics: boolean;
-  decided: boolean; // true = cookie présent, l'utilisateur a fait un choix
-};
-
-const DEFAULT: ConsentState = { analytics: false, decided: false };
-
-// À la lecture du cookie :
-if (!cookieValue) return DEFAULT; // decided=false
-return { analytics: parsed.analytics, decided: true }; // decided=true
-```
-
-L'état initial du banner doit être `!decided`, pas `!analytics`.
-
----
-
-2026-03-21 — app-template-resto / story 2.7
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Anti-pattern sécurité : injection d'une valeur de configuration dans un `<Script>` inline via interpolation de template string au lieu de JSON.stringify. Même avec une regex de validation en amont, l'interpolation directe est fragile si le validateur évolue.
-
-Proposition :
-## Script inline : toujours passer les valeurs via JSON.stringify
-
-Lors de l'injection de valeurs dans des scripts Next.js inline (`<Script id="...">`) :
-
-```tsx
-// ❌ Anti-pattern — interpolation directe
-{`gtag('config', '${measurementId}');`}
-
-// ✅ Pattern correct — JSON.stringify garantit l'échappement
-{`gtag('config', ${JSON.stringify(measurementId)});`}
-```
-
-S'applique aussi aux `dangerouslySetInnerHTML` et aux attributs `data-*` injectés en JS.
-
----
-
-2026-03-21 — app-template-resto / story 3.1
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-En Prisma, une vérification préalable d'appartenance tenant + un `$transaction` avec `update({ where: { id } })` crée une fenêtre TOCTOU : entre le check et l'écriture, un autre tenant pourrait théoriquement s'intercaler si un bug upstream laisse passer un id cross-tenant. Détecté en code review sur la story 3.1.
-
-Proposition :
-## Prisma $transaction multi-tenant : toujours inclure tenantId dans chaque WHERE
-
-Même après un check préalable d'isolation, les `update`/`delete` individuels dans une `$transaction` doivent inclure `tenantId` dans le WHERE. Utiliser `updateMany`/`deleteMany` (pas `update`/`delete`) pour pouvoir inclure tenantId sans lever d'exception si 0 lignes trouvées.
-
-```typescript
-// ❌ Anti-pattern — check OK mais écriture sans tenantId (fenêtre TOCTOU)
-const existing = await prisma.item.findMany({ where: { id: { in: ids }, tenantId } });
-if (existing.length !== ids.length) throw new HttpError("...", { status: 404 });
-await prisma.$transaction(
-  ids.map((id, idx) => prisma.item.update({ where: { id }, data: { sortOrder: idx + 1 } }))
-);
-
-// ✅ Pattern correct — tenantId dans chaque écriture (défense en profondeur)
-await prisma.$transaction(
-  ids.map((id, idx) => prisma.item.updateMany({ where: { id, tenantId }, data: { sortOrder: idx + 1 } }))
-);
-```
-
-Règle : toute écriture Prisma sur une ressource tenant-aware doit inclure `tenantId` dans le WHERE, même dans une transaction précédée d'un check.
-
----
-
-2026-03-21 — app-template-resto / story 3.1
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-`window.location.reload()` utilisé après un server action dans un client component Next.js App Router. C'est un full reload (perd l'état React, navigation complète, plus lent). `router.refresh()` est le bon outil : il retrigger le fetch des server components sans détruire l'état client.
-
-Proposition :
-## Next.js App Router : router.refresh() et non window.location.reload() après un Server Action
-
-```tsx
-// ❌ Anti-pattern — full reload, perd l'état client, navigation complète
-await createCategoryAction(formData);
-window.location.reload();
-
-// ✅ Pattern correct — RSC diff, préserve l'état client
-const router = useRouter();
-await createCategoryAction(formData);
-router.refresh();
-```
-
-`router.refresh()` : Next.js refetch uniquement les server components affectés (ceux dont le segment est invalidé par `revalidatePath`), et applique un diff. L'état des client components (`useState`, scroll, focus) est préservé.
-
-S'applique systématiquement après tout Server Action qui mute des données et doit mettre à jour l'UI.
-
----
-
-2026-03-21 — app-template-resto / story 3.1
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Stale closure classique dans un rollback optimiste avec `useTransition`. Le snapshot est capturé après `setCategories(newList)`, donc `categories` peut déjà référencer la nouvelle liste au moment du rollback.
-
-Proposition :
-## useTransition + optimistic update : capturer le snapshot AVANT setState
-
-```tsx
-// ❌ Anti-pattern — snapshot capturé après setCategories (closure sur la nouvelle valeur)
-const newList = [...categories];
-setCategories(newList); // batching async, categories peut déjà pointer vers newList
-startTransition(async () => {
-  try { await action(); }
-  catch { setCategories(categories); } // ← peut être newList, pas l'ancienne liste
-});
-
-// ✅ Pattern correct — snapshot explicite avant toute mutation d'état
-const snapshot = categories; // capturer avant setCategories
-setCategories(newList);
-startTransition(async () => {
-  try { await action(); }
-  catch { setCategories(snapshot); } // rollback garanti vers l'ancienne liste
-});
-```
-
-Règle : dans tout optimistic update avec rollback, toujours assigner le snapshot dans une variable `const` **avant** le premier `setState`.
-
----
-
-2026-03-21 — app-template-resto / story 3.1
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-`window.confirm()` utilisé dans un client component Next.js pour confirmer une suppression. Bloque le thread JS principal, incompatible SSR, pauvre sur mobile, et non stylable. À remplacer systématiquement par un état de confirmation inline.
-
-Proposition :
-## window.confirm() : ne jamais utiliser dans une app React/Next.js
-
-`window.confirm()` bloque le thread principal, ne fonctionne pas en SSR, est non stylable et l'UX mobile est mauvaise.
-
-Pattern de remplacement : état de confirmation inline.
-
-```tsx
-// ❌ Anti-pattern
-if (!confirm("Supprimer ?")) return;
-await deleteAction(id);
-
-// ✅ Pattern correct — confirmation inline via état React
-const [deletingId, setDeletingId] = useState<string | null>(null);
-
-// Bouton "Supprimer" → setDeletingId(id)
-// Inline dans la liste :
-{deletingId === item.id && (
-  <div>
-    <span>Supprimer « {item.label} » ?</span>
-    <button onClick={() => { setDeletingId(null); doDelete(item.id); }}>Confirmer</button>
-    <button onClick={() => setDeletingId(null)}>Annuler</button>
-  </div>
-)}
-```
-
-S'applique aussi à `window.alert()` et `window.prompt()`.
-
----
-
-2026-03-21 — app-template-resto / story 3.2 code review
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Filtre Prisma `{ isSystem: true }` sans `tenantId: null` sur un modèle à tenantId nullable : si un bug crée un tag `isSystem: true` avec un tenantId non-null, il sera exposé à tous les tenants. Pattern détecté en review — défense en profondeur sur les filtres OR multi-tenant.
-
-Proposition :
-## Prisma OR multi-tenant : toujours être explicite sur tenantId: null pour les ressources système
-
-Quand un modèle a un `tenantId` nullable pour distinguer ressources "système" (globales) et ressources "tenant" (privées), le filtre OR doit inclure `tenantId: null` explicitement sur la branche système.
-
-```typescript
-// ❌ Trop permissif — un tag isSystem:true avec un tenantId non-null serait exposé à tous
-OR: [{ isSystem: true }, { tenantId, isSystem: false }]
-
-// ✅ Défense en profondeur — double condition sur la branche système
-OR: [{ isSystem: true, tenantId: null }, { tenantId, isSystem: false }]
-```
-
-Règle : sur tout modèle `tenantId?` (nullable) + flag de type `isSystem`/`isGlobal`/`isPublic`, la branche "ressource publique" du filtre OR doit toujours inclure `tenantId: null`.
-
----
-
-2026-03-21 — app-template-resto / story 3.3 code review
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern détecté : extraire les fonctions utilitaires pures (slugify, formatters) dans un module dédié sans "server-only" permet de les partager entre le repository serveur et les tests unitaires purs. Sans ça, on duplique la logique et les tests peuvent diverger silencieusement.
-
-Proposition :
-## Utilitaires purs : extraire dans un module partagé sans "server-only"
-
-Les fonctions pures (slugify, formatters, validators) utilisées par les repositories doivent être extraites dans un module sans `import "server-only"`, afin d'être importables directement par les tests unitaires.
-
-```
-src/server/menuAdmin/
-  allergensRepository.ts   ← import { slugify } from "./slugify"
-  slugify.ts               ← export function slugify() {} (pas de "server-only")
-tests/
-  allergens-admin.test.ts  ← import { slugify } from "../src/server/menuAdmin/slugify.ts"
-```
-
-Avantage : si la logique slugify change, les tests le détectent immédiatement (même implémentation). Sans ça, la copie dans les tests diverge silencieusement = faux positifs.
-
----
-
-2026-03-21 — app-template-resto / story 3.3 code review
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Pattern TOCTOU : même avec un pre-check applicatif (findFirst/findUnique), une race condition peut déclencher une violation de contrainte unique Prisma (P2002). Sans catch, l'erreur Prisma brute remonte au client. Toujours catcher P2002 et la convertir en 409 propre.
-
-Proposition :
-## Prisma unique constraint violation (P2002) : toujours catcher après pre-check
-
-Un pre-check applicatif ne suffit pas contre les race conditions. Toujours ajouter un try/catch sur les writes qui ont une contrainte unique :
-
-```typescript
-import { Prisma } from "@prisma/client";
-
-try {
-  await prisma.item.updateMany({ where: { id, tenantId }, data: { ... } });
-} catch (err) {
-  if (err instanceof Prisma.PrismaClientKnownRequestError && err.code === "P2002") {
-    throw new HttpError("Un élément avec ce nom existe déjà.", { status: 409 });
-  }
-  throw err;
-}
-```
-
-S'applique à `create`, `update`, `updateMany`, `upsert` sur des modèles avec contraintes uniques.
-
----
-
-2026-03-21 — app-template-resto / story 3.4
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Bug réel découvert en review : `DishForm` utilisait `defaultValue`/`defaultChecked` (props de montage uniquement) sans `key` prop. Changer la cible d'édition (dish A → dish B) re-rendait le composant sans le démonter, laissant les anciens champs affichés.
-
-Proposition :
-## Anti-pattern : formulaire React avec defaultValue sans key
-
-**Contexte :** Formulaire d'édition réutilisé pour plusieurs entités (ex: liste de plats avec bouton "Modifier").
-
-**Risque :** `defaultValue`, `defaultChecked`, `defaultSelected` ne s'appliquent qu'au montage. Si le composant est réutilisé (même nœud DOM, nouvelle prop) sans être démonté, les valeurs ne se mettent pas à jour.
-
-**Symptôme :** l'utilisateur édite l'entité A, clique sur "Modifier" pour l'entité B → le formulaire affiche toujours les données de A.
-
-**Fix obligatoire :** ajouter une `key` unique sur le composant formulaire, basée sur l'ID de l'entité éditée (ou sur un discriminant de mode pour create/edit) :
-```tsx
-<EntityForm
-  key={formState.mode === "edit" ? formState.entity.id : `create-${formState.contextId}`}
-  ...
-/>
-```
-
----
-
-2026-03-21 — app-template-resto / story 3.4
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Race condition détectée : `maxOrder` calculé hors transaction, puis utilisé dans une transaction séparée pour le `create`. Deux requêtes concurrentes obtiennent le même `maxOrder` et créent deux entités avec le même `sortOrder`.
-
-Proposition :
-## Anti-pattern : calcul de nextOrder hors transaction
-
-**Contexte :** Entités avec un champ `sortOrder` auto-incrémenté dans un scope (ex: plats d'une catégorie).
-
-**Risque :** Si l'aggregate `MAX(sortOrder)` est calculé en dehors de la transaction qui crée l'entité, deux requêtes concurrentes peuvent obtenir le même max et créer deux entités avec le même `sortOrder`.
-
-**Fix :** déplacer le calcul du `nextOrder` à l'intérieur de la transaction interactive :
-```typescript
-return prisma.$transaction(async (tx) => {
-  const maxOrder = await tx.entity.aggregate({
-    where: { tenantId, scopeId },
-    _max: { sortOrder: true },
-  });
-  const nextOrder = (maxOrder._max.sortOrder ?? 0) + 1;
-  return tx.entity.create({ data: { ..., sortOrder: nextOrder } });
-});
-```
-
----
-
-2026-03-21 — app-template-resto
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern EN enforcement multi-entités validé sur projet réel (story 3.5) — réutilisable pour toute app avec internationalisation optionnelle par tenant.
-
-Proposition :
-
-## EN enforcement optionnel par tenant (toggle + publish gate)
-
-**Contexte :** tenant peut activer/désactiver l'obligation de remplir les champs traduits EN.
-
-**Pattern :**
-1. `enableEn Boolean @default(false)` sur le modèle `Tenant`.
-2. `getEnConfig(tenantId)` — `findUnique` sur PK, appelé dans chaque action mutante (create/update).
-3. Dans chaque action : `if (enableEn && !labelEn) throw new HttpError("...", { status: 400 })`.
-4. `checkEnCompleteness(tenantId)` — 4 requêtes parallèles (`Promise.all`) pour catégories, plats, tags custom, allergènes — exclut les entités système (`isSystem: true`, `tenantId: null`) et les entités masquées (`isVisible: false`).
-5. Gate publish : `if (!result.complete) throw new HttpError("...", { status: 422 })`.
-
-**Règles :**
-- `isVisible: false` n'est pas inclus dans le check de complétude (une entité masquée ne bloque pas la publication).
-- Les system tags (tenantId null) sont exclus du check.
-- `revalidatePath` sur **toutes** les pages menu après toggle (pas seulement `/settings`) pour rafraîchir l'état required/optional des champs dans chaque liste.
-
----
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_patterns_valides.md
-
-Pourquoi :
-Pattern toggle optimiste avec rollback validé (story 3.5 — settings EN toggle).
-
-Proposition :
-
-## Toggle optimiste avec rollback (React Server Action)
-
-```tsx
-const [optimistic, setOptimistic] = useState(initialValue);
-
-async function handleToggle() {
-  const prev = optimistic;
-  setOptimistic(!prev);  // update immédiat
-  try {
-    await toggleAction(!prev);
-    router.refresh();
-  } catch {
-    setOptimistic(prev);  // rollback si erreur
-  }
-}
-```
-
-Convient aux toggles boolean où la latence serveur doit être masquée. Le `router.refresh()` après succès synchronise le Server Component parent.
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.5
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-`import type` depuis `src/server/**` dans un composant `"use client"` est passé à travers la review initiale car c'est un type-only import (effacé à la compilation). Mais ça viole la guardrail architecture et ouvre la porte à des imports runtime si refactoré rapidement. Pattern récurrent à surveiller.
-
-Proposition :
-**Anti-pattern : `import type` depuis `src/server/**` dans des composants client**
-Même un `import type` depuis `src/server/**` dans un fichier `"use client"` est une violation de boundary. La règle ESLint `no-restricted-imports` doit couvrir les imports de type aussi (option `allowTypeImports: false`). Les types partagés entre server et client doivent vivre dans `src/types/` ou `src/lib/`.
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.5
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Les composants dashboard livrés avec des inline `style={{...}}` passent en review sans alerte. C'est une violation silencieuse du pattern UI (Tailwind + tokens CSS) qui s'accumule si non bloquée dès la code review.
-
-Proposition :
-**Anti-pattern : inline styles dans les composants dashboard**
-Les styles inline (`style={{...}}`) contournent le système Tailwind + tokens CSS et créent des incohérences visuelles non détectées par le linter. À bloquer en code review systématiquement pour tout composant dashboard. Exception acceptable : animations CSS dynamiques (valeurs calculées au runtime) uniquement.
-
-
----
-
-2026-03-22 — app-template-resto (story 3.6)
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Classes Tailwind invalides trouvées en code review et produisant des bugs silencieux (item masqué affiché à pleine opacité).
-
-Proposition :
-## Tailwind — classes invalides courantes (bugs silencieux)
-
-- `opacity-55` → invalide. Scale par défaut : 0/5/10/20/25/30/40/50/60/70/75/80/90/95/100. Utiliser `opacity-50` ou `opacity-60`.
-- `w-35` → invalide. Scale saute de `w-32` à `w-36`. Utiliser `w-36`.
-- `box-border` → redondant. Tailwind Preflight applique déjà `box-sizing: border-box` globalement. Supprimer.
-- Toujours vérifier les classes custom/non-standard avec `npx tailwindcss --content "..." --dry-run` ou l'extension IntelliSense.
-
----
-
-2026-03-22 — app-template-resto (story 3.6)
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_patterns_valides.md
-
-Pourquoi :
-Pattern mobile-first pour les grilles FR/EN côte à côte.
-
-Proposition :
-## Grilles 2 colonnes FR/EN — mobile-first
-
-Pour les formulaires avec champs FR + EN côte à côte, toujours utiliser un breakpoint responsive :
-```
-grid grid-cols-1 sm:grid-cols-2
-```
-`grid-cols-2` sans breakpoint produit des colonnes trop étroites sur mobile (< 640px). Le projet est mobile-first — les formulaires dashboard doivent être utilisables sur téléphone.
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.7
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Code review a trouvé `<img>` HTML natif dans un composant public Next.js, causant un warning ESLint `@next/next/no-img-element` et un risque CLS. Pattern récurrent à surveiller dans les nouveaux composants.
-
-Proposition :
-## Vigilance Next.js — `<img>` natif interdit dans les composants
-
-Toujours utiliser `<Image>` de `next/image` à la place de `<img>` natif dans les composants Next.js.
-- `<img>` natif déclenche le warning ESLint `@next/next/no-img-element`
-- Le projet a `--max-warnings=0` : tout warning ESLint = erreur de CI
-- `<Image>` apporte lazy loading, optimisation WebP, et évite les layout shifts (CLS)
-
-Exception acceptable : composants de test ou storybook.
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.7
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern de validation URL (mediaUrl) identifié : toujours valider le format ET le protocole côté serveur quand un champ URL est stocké et rendu dans le HTML. Validé en review story 3.7.
-
-Proposition :
-## Validation champs URL côté serveur
-
-Quand un champ URL libre est saisi par l'utilisateur et rendu dans le HTML (img src, a href, iframe src), toujours appliquer côté serveur :
-1. Validation de format : `new URL(value)` dans un try/catch
-2. Validation de protocole : `startsWith("https://")` minimum (ou `http://` si nécessaire)
-3. Longueur max (500 chars recommandé)
-
-Pattern validé :
-```ts
-if (mediaUrl) {
-  try { new URL(mediaUrl); } catch { throw new HttpError("URL invalide.", { status: 400 }); }
-  if (!mediaUrl.startsWith("https://") && !mediaUrl.startsWith("http://"))
-    throw new HttpError("URL doit commencer par https://.", { status: 400 });
-}
-```
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.8
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Code review story 3.8 a identifié un `useTransition` global pour gérer le pending d'une liste de plats. Quand une opération est en cours sur un plat, `isPending` désactive tous les boutons de tous les plats — friction mobile importante sur des listes longues.
-
-Proposition :
-## Anti-pattern : useTransition global pour des listes d'items interactifs
-
-**Contexte :** liste d'items avec des actions par item (toggle visibilité, déplacer, supprimer).
-
-**Risque :** `useTransition` expose un `isPending` global. Si une opération est en cours sur l'item A, tous les boutons de tous les items B, C, D... sont désactivés. Sur mobile, l'UX est bloquée.
-
-**Symptôme :** l'utilisateur clique sur "Masquer" pour le plat A, et constate que les boutons des plats B et C sont grisés jusqu'à la fin de l'opération.
-
-**Fix :** remplacer `useTransition` par un `pendingId: string | null` par item :
-
-```tsx
-// ❌ Avant — bloque tout
-const [isPending, startTransition] = useTransition();
-startTransition(async () => { await toggleAction(id); });
-// render : disabled={isPending}  ← désactive TOUS les items
-
-// ✅ Après — per-item
-const [pendingId, setPendingId] = useState<string | null>(null);
-
-function handleToggle(id: string) {
-  setPendingId(id);
-  (async () => {
-    try { await toggleAction(id); }
-    catch (err) { handleError(err); }
-    finally { setPendingId(null); }
-  })();
-}
-// render : disabled={pendingId === item.id}  ← désactive uniquement l'item en cours
-```
-
-**Règles :**
-- Utiliser `pendingId === item.id` pour les boutons d'item.
-- Utiliser `pendingId !== null` pour les boutons globaux (ex: "Ajouter" en haut de liste) qui ne doivent pas coexister avec une mutation en cours.
-- Pour le create form, utiliser une sentinelle : `setPendingId("creating")`.
-- `finally` garantit la réinitialisation même en cas d'erreur.
-
----
-
-2026-03-22 — app-template-resto / code-review story 3.8
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_risques_et_vigilance.md
-
-Pourquoi :
-Code review story 3.8 a trouvé des `useCallback` sur des handlers passés à un composant mémoïsé (`React.memo`), mais ces handlers étaient re-wrappés dans des arrows inline au moment du rendu. Le bénéfice de `useCallback` était donc nul, et `memo` n'était pas protégé.
-
-Proposition :
-## Anti-pattern : useCallback inutile quand les callbacks sont wrappés en inline au render
-
-**Contexte :** composant enfant mémoïsé avec `React.memo`, handlers stables via `useCallback` dans le parent.
-
-**Risque :** si le handler stable est re-wrappé dans une arrow inline lors du passage en prop, une nouvelle référence est créée à chaque render — `memo` ne peut pas éviter le re-render de l'enfant.
-
-**Symptôme :**
-```tsx
-const handleToggle = useCallback((id: string) => { ... }, []);  // stable ✓
-
-// Mais au render :
-<ItemCard onToggle={() => handleToggle(item.id)} />
-//                 ↑ nouvelle closure à chaque render → memo inutile
-```
-
-**Règles :**
-- `useCallback` n'a de valeur que si le callback est passé **directement** en prop, sans re-wrapping.
-- Si la signature du callback doit capturer des variables de boucle (ex: `item.id`), deux options valides :
-  1. Passer les données nécessaires en props et laisser l'enfant appeler le handler avec ses propres props.
-  2. Accepter que `memo` ne soit pas protégé pour ces props-là et supprimer le `useCallback` inutile.
-- Ne pas laisser un `useCallback` "pour faire bien" si son effet réel est nul — c'est du bruit.
-
----
-
-2026-03-22 — app-template-resto / story 3.8
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_frontend_patterns_valides.md
-
-Pourquoi :
-Story 3.8 a systématisé le pattern "Server Action retourne l'entité créée/modifiée → mise à jour état local sans router.refresh()". Validé sur 5 entités (categories, allergens, tags, dishes, team members). Plus performant que le toggle optimiste + router.refresh() déjà capitalisé.
-
-Proposition :
-## Server Action retournant l'entité → élimination de router.refresh() sur create/edit
-
-**Contexte :** liste d'items managée côté client (`useState`), avec création et modification via Server Actions.
-
-**Pattern :** le repository retourne l'entité complète après mutation ; l'action la propage au client ; le client met à jour son état local directement.
-
-```ts
-// Repository — retourne l'entité complète
-export async function createItem(tenantId: string, data: Input): Promise<ItemRow> {
-  return prisma.item.create({ data: { tenantId, ...data }, select: { ...fullSelect } });
-}
-
-// Action — retourne la donnée au client
-export async function createItemAction(formData: FormData): Promise<ItemRow> {
-  const actor = await requireOwner();
-  // ... validation ...
-  const item = await createItem(actor.tenantId, input);
-  revalidatePath("/dashboard/...");
-  return item;  // ← clé : retourner l'entité
-}
-
-// Client — mise à jour locale sans round-trip SSR
-const created = await createItemAction(formData);
-setItems((prev) => [...prev, created]);  // ← pas de router.refresh()
-```
-
-**Avantages vs toggle optimiste + router.refresh() :**
-- Zéro aller-retour SSR supplémentaire (économie ~500ms–2s sur mobile).
-- L'état local est garanti cohérent avec la DB (données réelles, pas une valeur calculée localement).
-- Pas de flash de rechargement.
-
-**Règles :**
-- Pour les entités avec relations (tags, allergens), utiliser un helper `findXxxById(tenantId, id)` appelé après la mutation pour retourner la forme complète avec les relations résolues.
-- `revalidatePath` reste nécessaire pour invalider le cache des pages publiques.
-- Ce pattern convient au create et à l'update. Pour les simples toggles boolean (visibilité, disponibilité), le pattern optimiste avec rollback est suffisant (pas besoin de re-fetcher l'entité entière).
-
----
-
-2026-03-23 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_risques_et_vigilance.md
-
-Pourquoi :
-Bug silencieux validé en production sur app-alexandrie Story 4.5 : `@UseGuards(AdminRoleGuard)` sans `@RequireAdminRole()` ne protège rien. Le guard laisse passer toutes les requêtes sans lever d'erreur.
-
-Proposition :
-### NestJS — AdminRoleGuard : toujours utiliser les deux décorateurs ensemble
-
-`AdminRoleGuard.canActivate()` lit la metadata `REQUIRE_ADMIN_ROLE_KEY` posée par `@RequireAdminRole()`. Si le décorateur est absent, `requiresAdmin = false/undefined` → le guard retourne `true` et laisse passer la requête sans vérification.
-
-**Règle :** toujours utiliser `@UseGuards(AdminRoleGuard)` ET `@RequireAdminRole()` ensemble sur un endpoint admin.
-
-```typescript
-// ✅ Correct
-@Post('admin/ressource')
-@UseGuards(AdminRoleGuard)
-@RequireAdminRole()
-async createRessource(...) {}
-
-// ❌ Silencieusement non protégé
-@Post('admin/ressource')
-@UseGuards(AdminRoleGuard)   // ← @RequireAdminRole() manquant → toutes les requêtes passent
-async createRessource(...) {}
-```
-
-S'applique à tout guard NestJS qui délègue la décision à une metadata de décorateur. Vérifier le pattern systématiquement lors des code reviews d'endpoints admin.
-
----
-
-2026-03-23 — app-alexandrie
-
-FILE_UPDATE_PROPOSAL
-Fichier cible : 10_backend_patterns_valides.md
-
-Pourquoi :
-Pattern validé sur app-alexandrie Story 4.5 pour créer une migration Prisma quand la shadow DB est interdite (permission denied to create database — typique des DB managées comme Supabase, PlanetScale, RDS avec permissions limitées).
-
-Proposition :
-### Prisma — Migration manuelle sans shadow DB (P3014)
-
-Quand `prisma migrate dev` échoue avec `P3014 Prisma Migrate could not create the shadow database` (DB managée, permissions restreintes) :
-
-```bash
-# 1. Écrire le SQL manuellement dans le dossier migration
-mkdir -p prisma/migrations/<timestamp>_<nom>
-# Créer migration.sql à la main
-
-# 2. Appliquer le SQL directement en DB
-npx prisma db execute --file prisma/migrations/<timestamp>_<nom>/migration.sql
-
-# 3. Marquer la migration comme appliquée dans _prisma_migrations
-npx prisma migrate resolve --applied <timestamp>_<nom>
-
-# Note Prisma v7 : ne pas utiliser --schema= (option supprimée), utiliser prisma.config.ts
-```
-
-**Cas d'usage :** DB managées (Supabase, PlanetScale, Railway avec rôle limité, RDS sans superuser). Ne pas utiliser `prisma db push` en production — il ne versionne pas les migrations.
-
 # Format attendu
 
 Chaque proposition doit suivre ce format :
@@ -1353,10 +81,6 @@ Description courte, factuelle, orientée réutilisation.
 
 ---
 
-_Aucune entrée pour le moment_
-
----
-
 # Rôle dans l'architecture
 
 ```