🌊 Rapport d'analyse CodeWave

Tour 1 : Analyse initiale

• RISQUE CRITIQUE - Absence de confirmation utilisateur pour suppression en masse : un clic accidentel peut supprimer irréversiblement des dizaines de dépenses et leurs justificatifs fiscaux
• RISQUE CRITIQUE - Aucun test automatisé pour une opération destructive : la régression sur la suppression en masse peut causer des pertes de données en production
• RISQUE ÉLEVÉ - Le regieId transite par le client : si l'endpoint backend ne valide pas l'autorisation par régie, un admin peut supprimer les dépenses d'une autre régie
• RISQUE CONFORMITÉ - Suppression en cascade des documents sans audit trail : en cas de contrôle fiscal, impossibilité de prouver ou tracer les suppressions
• RISQUE UX - Aucune gestion d'erreur pour suppressions partielles : si 5/10 dépenses sont supprimées et 5 échouent, l'utilisateur ne sait pas quelles dépenses restent

• Duplication handleSelectAll/selectAllState (~40 lignes) entre TableAccountingEntriesToDo et TableAccountingEntriesToPay - extraction en hook useSelectAllWithIndeterminate recommandée mais différée car les deux tableaux divergeront
• Aucun test automatisé sur le contrôleur bulk delete ni la logique frontend - risque de régression sur la suppression en cascade des documents kdrive
• accountingEntryFilterContext mélange filtres + sélection admin - acceptable temporairement mais nécessitera un ExpensesSelectionContext dédié à terme
• AdminButtonOnAll dans dossier MIGRATION = dette technique transitoire identifiée et assumée
• Suppression définitive sans soft delete - risque métier si erreur de sélection en masse

• Incohérence terminologique critique : 'dépenses' vs 'factures' dans les locales - s'agit-il de la même entité ou de concepts différents ? Cela suggère un manque de clarté dans le modèle de domaine
• Absence de validation d'entrée visible sur le endpoint de suppression en masse - risque de suppression non autorisée si les IDs ne sont pas vérifiés contre les permissions utilisateur
• Le contrôleur delete_bulk à 88 lignes gère probablement trop de responsabilités (suppression + documents) - devrait être décomposé en services séparés
• Aucun test automatisé pour une fonctionnalité destructrice (suppression en masse) - c'est un risque majeur pour la fiabilité en production
• Le nom du hook 'use-delete-bulk-expense-on-all-mutation' est trop verbeux et nuit à la lisibilité du code

• Aucun test automatisé pour une opération destructrice de suppression en masse - risque critique de perte de données
• Le hook de mutation use-delete-bulk-expense-on-all-mutation n'a pas de tests unitaires pour vérifier la gestion des erreurs, les retries, et les cas limites
• Le contrôleur delete_bulk_controller manque de tests pour: validation d'entrée, autorisation, gestion transactionnelle, suppression en cascade des documents associés
• La logique de sélection avec selectAllState (état indéterminé/checked/unchecked) est un pattern UI complexe nécessitant des tests dédiés
• L'approche de testing manuelle décrite ne permet pas la détection de régressions futures ni la validation en CI/CD

• Dette technique explicite : Fichiers sous dashboard/MIGRATION/ (admin-button-on-all.tsx, use-delete-bulk-expense-on-all-mutation.ts) nécessitent une migration future vers l'architecture cible - estimé 2-3h
• Violation du SRP : accountingEntryFilterContext.tsx (+9 lignes) étendu avec selectedExpenseIds, mélangeant état de filtrage et état de sélection - devrait être séparé en SelectionContext dédié - estimé 1-2h
• Risque d'incohérence des données : delete_bulk_controller.ts utilise Promise.all sans transaction pour des suppressions en cascade (dépense → lignes → documents Infomaniak → Strapi) - échec partiel = état incohérent sans rollback - estimé 1-2h pour ajouter une gestion transactionnelle
• Duplication de composants : AdminButtonOnAll (73 lignes) duplique admin-button existant avec des variantes mineures de traduction - devrait être un composant paramétré unique - estimé 1h
• Typage incohérent : regieId typé string | number dans le hook vs string dans Header.tsx - risque de bugs à l'exécution - estimé 0.5h

Tour 2 : Préoccupations et questions

• INCOHÉRENCE TERMINOLOGIQUE FISCALE : fr.json affiche 'dépenses' dans confirmDeleteExpenses mais 'factures' dans confirmDeleteExpensesOnAll pour la même entité métier - dans un contexte comptable, cette confusion peut avoir des implications légales lors d'un contrôle fiscal
• RISQUE D'ÉTAT INCOHÉRENT IRRÉVERSIBLE : delete_bulk_controller.ts utilise Promise.all sans transaction pour suppression en cascade multi-systèmes (dépense→lignes→documents Infomaniak→Strapi) - un échec partiel crée des données orphelines sans rollback possible
• ZÉRO TEST POUR OPÉRATION DESTRUCTIVE : aucun test automatisé sur le contrôleur bulk delete, la mutation frontend et la logique de sélection selectAllState - risque de régression en production sur des données comptables sans détection CI/CD
• RISQUE D'AUTORISATION INTER-RÉGIE : regieId transmis côté client sans validation d'autorisation visible côté backend - un admin pourrait supprimer les dépenses d'une autre régie
• SUPPRESSION DÉFINITIVE SANS AUDIT TRAIL : hard delete sans soft delete ni journalisation - en cas de contrôle fiscal, impossibilité de tracer les suppressions de dépenses

• Tests absents sur contrôleur bulk delete destructeur - 3h nécessaires pour couverture validation, autorisation, cascade
• Promise.all sans transaction pour cascade multi-systèmes - échec partiel possible, contrainte technique inévitable
• Typage regieId incohérent string|number vs string - bug à corriger 0.5h
• Contexte accountingEntryFilter étendu avec selectedExpenseIds - à séparer en ExpensesSelectionContext dédié 1-2h
• Fichiers MIGRATION à migrer vers architecture cible - dette explicite 2-3h

• CRITIQUE - Intégrité des données : delete_bulk_controller.ts (+88 lignes) utilise Promise.all sans transaction pour suppressions en cascade跨services (Strapi → kdrive Infomaniak). Un échec partiel laisse des données orphelines sans rollback. Impact production : documents Infomaniak orphelins si suppression Strapi réussit mais kdrive échoue. Remédiation : 2-3h pour implémenter un pattern saga ou transaction compensatoire.
• SÉCURITÉ - Validation d'entrée absente : list_providers_controller.ts (+24 lignes) n'validate pas regieId avant de l'injecter dans les filtres Strapi. Risque d'injection de filtres malveillants. Remédiation : 0.5h pour ajouter une validation schema.
• BUG POTENTIEL - Typage incohérent regieId : string|number dans use-delete-bulk-expense-on-all-mutation.ts vs string dans Header.tsx. La comparaison 1 !== '1' cause des échecs silencieux de sélection. Remédiation : 0.5h pour harmoniser le typage.
• UX - Incohérence terminologique fr.json : 'factures' dans confirmDeleteExpensesOnAll vs 'dépenses' dans confirmDeleteExpenses pour la même entité Expense. Confusion utilisateur et ambiguïté du modèle de domaine. Remédiation : 0.5h.
• ARCHITECTURE - Violation SRP : accountingEntryFilterContext.tsx (+5 lignes) mélange logique de rafraîchissement (refreshTrigger) avec filtrage. Risque de god object si non séparé. Remédiation : 1-2h pour ExpensesSelectionContext dédié.

• COUVERTURE ZÉRO: 0 fichier de test sur 13 fichiers modifiés pour une opération destructrice de suppression en masse - risque critique de perte de données en production
• RISQUE TRANSACTIONNEL: Promise.all sans rollback dans delete_bulk_controller.ts - suppression partielle laisse système en état incohérent sans test de validation
• RISQUE SÉCURITAIRE: Aucun test d'autorisation pour valider regieId vs permissions utilisateur - suppression cross-régie possible sans détection
• HOOK MUTATION NON TESTÉ: use-delete-bulk-expense-on-all-mutation sans tests pour gestion d'erreur, retry, optimistic updates, cas limites
• LOGIQUE UI COMPLEXE: selectAllState 3 états (indéterminé/coché/décoché) sans tests - pattern notoirement buggy

• CRITIQUE — delete_bulk_controller.ts : Promise.all sans transaction sur suppressions en cascade Strapi+kdrive. Échec partiel = état incohérent sans rollback. Remédiation : implémenter compensating transactions (2-3h)
• SRP — accountingEntryFilterContext.tsx : selectedExpenseIds + refreshTrigger mélangés avec état de filtrage. Remédiation : extraire ExpensesSelectionContext dédié (1-2h)
• Duplication — admin-button-on-all.tsx (73 lignes) recopie admin-button existant. Remédiation : paramétrer via props au lieu de dupliquer (1h)
• Conceptuel — fr.json : 'dépenses' vs 'factures' pour la même entité métier. Remédiation : uniformiser la terminologie (0.5h)
• Typage — regieId string|number vs string : comparaisons strictes échoueront à l'exécution. Remédiation : uniformiser le type (0.5h)

Tour 3 : Validation

• INCOHÉRENCE TERMINOLOGIQUE FISCALE (fr.json lignes 9-11) : confirmDeleteExpensesOnAll utilise 'factures' mais confirmDeleteExpenses utilise 'dépenses' pour la même entité Expense - en comptabilité française, une facture et une dépense ont des régimes fiscaux différents, cette confusion peut induire des erreurs lors d'un contrôle fiscal
• RISQUE D'INTÉGRITÉ DES DONNÉES IRRÉVERSIBLE (delete_bulk_controller.ts) : Promise.all sans transaction pour suppression en cascade跨services Strapi-lignes-kdrive Infomaniak - si suppression Strapi réussit mais kdrive échoue, documents orphelins sans rollback possible, impact production direct sur données comptables
• ABSENCE TOTALE DE TESTS : 0 fichier de test sur 13 fichiers modifiés incluant delete_bulk_controller.ts (+88 lignes), use-delete-bulk-expense-on-all-mutation.ts (+37 lignes), logique selectAllState 3 états - risque critique de régression sur opération destructive sans détection CI/CD
• RISQUE D'AUTORISATION INTER-RÉGIE (list_providers_controller.ts ligne 8) : regieId extrait des params sans validation d'autorisation visible - un admin pourrait supprimer les dépenses d'une régie à laquelle il n'appartient pas
• SUPPRESSION DÉFINITIVE SANS PISTE D'AUDIT (delete_bulk_controller.ts) : hard delete sans soft delete ni journalisation - en cas de contrôle fiscal, impossibilité de tracer les suppressions, non-conformité potentielle avec obligations de conservation comptable

• Terminologie 'factures' vs 'dépenses' dans fr.json - bug à corriger 0.5h
• Typage regieId incohérent string|number vs string - bug à corriger 0.5h
• Tests absents sur opération destructive - 3h pour couverture minimale
• Promise.all sans transaction compensatoire - risque d'état incohérent sur échec partiel, mais contrainte technique inévitable entre APIs distantes
• SRP violation dans accountingEntryFilterContext - séparation souhaitable 1-2h

• CRITIQUE — Intégrité transactionnelle : Promise.all sans mécanisme de compensation pour suppressions en cascade multi-systèmes (Strapi + kdrive). Échec partiel = état incohérent irréversible sans rollback. Remédiation : implémenter saga pattern ou transactions compensatoires (2-3h).
• CRITIQUE — Absence de tests automatisés pour opération destructive de suppression en masse. Aucun test sur delete_bulk_controller, la mutation frontend, ni la logique selectAllState. Risque de perte de données en production sans détection CI/CD.
• ÉLEVÉ — Faille d'autorisation potentielle : regieId transmis côté client sans validation d'autorisation côté backend. Risque de suppression cross-régie. list_providers_controller.ts n'effectue aucune validation schema avant injection dans filtres Strapi.
• MODÉRÉ — Violation SRP : accountingEntryFilterContext.tsx mélange logique de filtrage, sélection et rafraîchissement. Tendance vers god object si non séparé en ExpensesSelectionContext dédié.
• MODÉRÉ — Duplication de composants : admin-button-on-all.tsx recopie admin-button existant au lieu de paramétrer via props. Synchronisation manuelle requise pour toute modification.