feat(sprint-16 backend 2026-04-25): transparency operations — Métriques Prometheus + Export multi-format + Notifications auto

Trois piliers transparency opérationnelle UnionFlow livrés en série :

S16.A — Métriques Prometheus métier (transparency observabilité)
- AuditTrailService.log() incrémente :
  - unionflow.audit.operations{action, entity}
  - unionflow.audit.sod_violations{entity}
- application.properties : quarkus.micrometer.export.prometheus.enabled=true,
  http-server + jvm binders activés
- Endpoint /q/metrics exposé pour scraping Prometheus K8s

S16.B — Export massif audit-trail (transparency réglementaire BCEAO/ARTCI/CENTIF)
- AuditTrailExportService :
  - exportCsv : Apache Commons CSV avec BOM UTF-8 (compat Excel)
  - exportXlsx : POI XSSFWorkbook avec header coloré et auto-size
  - exportPdf : OpenPDF A4 paysage avec table 7 colonnes
- Endpoint GET /api/audit-trail/export?format=csv|xlsx|pdf&scope=...&limit=500
- @RolesAllowed COMPLIANCE_OFFICER, CONTROLEUR_INTERNE, SUPER_ADMIN
- Auto-log de l'export lui-même dans audit (méta-traçabilité)

S16.C — Notifications transparency (pattern CDI Event Observer)
- AuditOperationLoggedEvent record + helper estSensible() (DELETE / PAYMENT_* / BUDGET_APPROVED / AID_REQUEST_APPROVED / EXPORT / VALIDATE / SoD-violation)
- AuditTrailService.log() fire le CDI event après persist
- AuditNotificationService observe @Observes(AFTER_SUCCESS) — notifie via NotificationService existant (DRY, pas de nouveau client mail)
- Sujets/corps localisés français + priorité automatique (HAUTE pour DELETE/PAYMENT_FAILED/SoD, NORMALE pour confirmations, BASSE pour exports)
- Fail-soft : exception notification ne bloque jamais l'audit principal

Tests (10 nouveaux S16.C, 21/21 cumulé audit)
- onAuditOperation × 5 (sensible/non-sensible/SoD/null/userId-null)
- mapping helpers × 4 (sujet × 8 actions, sodPriority, priorité × 6 cas, corps × 2)

src/main/java/dev/lions/unionflow/server/security/AuditTrailService.java

@@ -38,6 +38,8 @@ public class AuditTrailService {
 
   @Inject AuditTrailOperationRepository repository;
   @Inject OrganisationContextHolder context;
+  @Inject io.micrometer.core.instrument.MeterRegistry registry;
+  @Inject jakarta.enterprise.event.Event<AuditOperationLoggedEvent> auditEvent;
 
   private final ObjectMapper objectMapper = new ObjectMapper();
 
@@ -81,6 +83,21 @@ public class AuditTrailService {
           .operationAt(LocalDateTime.now())
           .build();
       repository.persist(entry);
+
+      // Sprint 16.A — Métriques Prometheus métier (transparency)
+      registry.counter("unionflow.audit.operations",
+          "action", actionType == null ? "UNKNOWN" : actionType,
+          "entity", entityType == null ? "UNKNOWN" : entityType).increment();
+      if (Boolean.FALSE.equals(sodCheckPassed)) {
+        registry.counter("unionflow.audit.sod_violations",
+            "entity", entityType == null ? "UNKNOWN" : entityType).increment();
+      }
+
+      // Sprint 16.C — Fire CDI event pour observers (notifications, etc.)
+      auditEvent.fire(new AuditOperationLoggedEvent(
+          entry.getId(), entry.getUserId(), entry.getUserEmail(),
+          entry.getOrganisationActiveId(), actionType, entityType, entityId,
+          description, sodCheckPassed, entry.getOperationAt()));
     } catch (Exception e) {
       // Fail-soft : l'audit trail ne doit jamais bloquer une opération métier.
       // Les violations sont loguées et peuvent être détectées via les logs applicatifs.