fix(security): audit RBAC complet v3.0 — rôles normalisés, lifecycle, changement mdp mobile

RBAC:
- HealthResource: @PermitAll
- RoleResource: @RolesAllowed ADMIN/SUPER_ADMIN/ADMIN_ORGANISATION class-level
- PropositionAideResource: @RolesAllowed MEMBRE/USER class-level
- AuthCallbackResource: @PermitAll
- EvenementResource: @PermitAll /publics et /test, count restreint
- BackupResource/LogsMonitoringResource/SystemResource: MODERATOR → MODERATEUR
- AnalyticsResource: MANAGER/MEMBER → ADMIN_ORGANISATION/MEMBRE
- RoleConstant.java: constantes de rôles centralisées

Cycle de vie membres:
- MemberLifecycleService: ajouterMembre()/retirerMembre() sur activation/radiation/archivage
- MembreResource: endpoint GET /numero/{numeroMembre}
- MembreService: méthode trouverParNumeroMembre()

Changement mot de passe:
- CompteAdherentResource: endpoint POST /auth/change-password (mobile)
- MembreKeycloakSyncService: changerMotDePasseDirectKeycloak() via API Admin Keycloak directe
- Fallback automatique si lions-user-manager indisponible

Workflow:
- Flyway V17-V23: rôles, types org, formules Option C, lifecycle columns, bareme cotisation
- Nouvelles classes: MemberLifecycleService, OrganisationModuleService, scheduler
- Security: OrganisationContextFilter, OrganisationContextHolder, ModuleAccessFilter

src/main/java/dev/lions/unionflow/server/service/SouscriptionService.java

@@ -306,6 +306,40 @@ public class SouscriptionService {
 
     // ── Validation SuperAdmin ──────────────────────────────────────────────────
 
+    /**
+     * Liste toutes les souscriptions (SuperAdmin), avec filtre optionnel par organisation.
+     */
+    public List<SouscriptionStatutResponse> listerToutes(UUID organisationId, int page, int size) {
+        if (organisationId != null) {
+            return souscriptionRepo
+                    .find("organisation.id = ?1 order by dateCreation desc", organisationId)
+                    .page(page, size)
+                    .list()
+                    .stream()
+                    .map(s -> toStatutResponse(s, null))
+                    .collect(Collectors.toList());
+        }
+        return souscriptionRepo
+                .findAll()
+                .page(page, size)
+                .list()
+                .stream()
+                .map(s -> toStatutResponse(s, null))
+                .collect(Collectors.toList());
+    }
+
+    /**
+     * Retourne la souscription active d'une organisation (SuperAdmin).
+     */
+    public SouscriptionStatutResponse obtenirActiveParOrganisation(UUID organisationId) {
+        return souscriptionRepo
+                .find("organisation.id = ?1 and statut = ?2 order by dateCreation desc",
+                        organisationId, dev.lions.unionflow.server.api.enums.abonnement.StatutSouscription.ACTIVE)
+                .firstResultOptional()
+                .map(s -> toStatutResponse(s, null))
+                .orElse(null);
+    }
+
     /**
      * Liste les souscriptions en attente de validation SuperAdmin.
      */
@@ -499,6 +533,7 @@ public class SouscriptionService {
         r.setDateFin(s.getDateFin());
         r.setDateValidation(s.getDateValidation());
         r.setCommentaireRejet(s.getCommentaireRejet());
+        r.setStatut(s.getStatut() != null ? s.getStatut().name() : null);
         if (s.getOrganisation() != null) {
             r.setOrganisationId(s.getOrganisation().getId().toString());
             r.setOrganisationNom(s.getOrganisation().getNom());