fix(wizard): replace alert() with toast + add tech debt audit doc

Replaces native alert() calls in OnboardingWizard with useToast().
Adds docs/audit_dette_technique_10052026.md with 10 identified debt
items (2 critical: token expiry monitoring, Redis singleton).

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

apps/admin/src/pages/OnboardingWizard.tsx

@@ -8,6 +8,7 @@ import {
 import { useAuth } from '../lib/auth';
 import { api } from '../lib/api';
 import { initMetaSDK, launchEmbeddedSignup } from '../lib/meta-signup';
+import { useToast } from '../hooks/useToast';
 
 // ─── Modes ───────────────────────────────────────────────────────────────────
 
@@ -61,6 +62,7 @@ export default function OnboardingWizard() {
   const [showPass, setShowPass] = useState(false);
   const { token } = useAuth();
   const navigate  = useNavigate();
+  const toast     = useToast();
 
   const [org, setOrg] = useState({
     name: '',
@@ -136,7 +138,7 @@ export default function OnboardingWizard() {
       navigate('/clients');
     } catch (err: any) {
       console.error(err);
-      alert(`Erreur : ${err.message || 'Création impossible'}`);
+      toast.error(err.message || 'Création impossible');
     } finally {
       setLoading(false);
     }
@@ -154,7 +156,7 @@ export default function OnboardingWizard() {
         skip:        false,
       }));
     } catch {
-      alert('La connexion Facebook a été annulée ou a échoué.');
+      toast.error('La connexion Facebook a été annulée ou a échoué.');
     }
   };
 

docs/audit_dette_technique_10052026.md

@@ -0,0 +1,134 @@
+# Audit Dette Technique — 10 mai 2026
+
+Périmètre : `apps/api`, `apps/admin`, `apps/whatsapp-worker`, `packages/`.  
+TypeScript : **0 erreur** sur les 3 apps. Migrations à jour.
+
+---
+
+## 🔴 Critique — Risque opérationnel immédiat
+
+### 1. Expiration silencieuse du token Meta (60 jours)
+
+**Problème :** Les System User Tokens Meta expirent après 60 jours. Aucun champ `tokenIssuedAt` en base, aucun monitoring, aucune alerte. Quand le token expire, tous les envois WhatsApp échouent silencieusement pour l'organisation concernée — le bot s'arrête sans notification.
+
+**Risque :** Interruption de service invisible pour tous les clients actifs.
+
+**Correction :** Ajouter `systemUserTokenIssuedAt DateTime?` sur `Organization`. Créer un cron job (BullMQ `CronJob`) qui tourne chaque semaine et alerte via email/log si `now() > issuedAt + 50 jours`.
+
+---
+
+### 2. Prolifération des connexions Redis (16+ instances)
+
+**Problème :** Chaque fichier qui utilise Redis crée sa propre instance `new Redis(...)` :
+
+```
+apps/whatsapp-worker/src/services/whatsapp-logic.ts
+apps/whatsapp-worker/src/services/normalization.ts
+apps/whatsapp-worker/src/services/organization.ts
+apps/whatsapp-worker/src/services/ai.ts
+apps/whatsapp-worker/src/scheduler.ts
+apps/whatsapp-worker/src/handlers/*.ts (×8 handlers)
+apps/api/src/services/organization.ts
+apps/api/src/services/normalization.ts
+apps/api/src/services/queue.ts
+```
+
+**Risque :** Sur un plan Redis Cloud Standard (max 30 connexions), le worker seul peut saturer le pool. En pic de charge, nouvelles connexions refusées → jobs BullMQ échouent en masse.
+
+**Correction :** Créer `apps/whatsapp-worker/src/lib/redis.ts` et `apps/api/src/lib/redis.ts` — singletons exportés, importés partout. Un seul `new Redis()` par process.
+
+---
+
+## 🟡 Important — Qualité & maintenabilité
+
+### 3. Pas de rate limiting sur l'API
+
+**Problème :** Seulement 2 mentions de rate limiting dans tout le codebase. Les routes publiques (auth, webhook) ne sont pas protégées contre le flooding.
+
+**Correction :** Ajouter `@fastify/rate-limit` sur les routes sensibles :
+- `POST /v1/auth/login` → 10 req/min par IP
+- `POST /v1/auth/forgot-password` → 3 req/min par IP
+- `POST /webhook` → déjà protégé par `WHATSAPP_VERIFY_TOKEN`, mais un throttle reste utile
+
+---
+
+### 4. `alert()` dans le wizard (régresssion de cette session)
+
+**Problème :** Le nouveau `OnboardingWizard.tsx` utilise `alert()` natif pour les erreurs (lignes 139 et 157) au lieu du système de toast.
+
+**Fichier :** `apps/admin/src/pages/OnboardingWizard.tsx:139`
+
+**Correction :** Remplacer par `useToast()` — déjà disponible dans l'app.
+
+---
+
+### 5. `WhatsAppConnectButton.tsx` — code mort
+
+**Problème :** `apps/admin/src/components/WhatsAppConnectButton.tsx` n'est importé nulle part. La connexion WhatsApp est maintenant gérée dans `ClientsManagementView.tsx` et `OnboardingWizard.tsx`.
+
+**Correction :** Supprimer le fichier.
+
+---
+
+### 6. 26 blocs `catch` silencieux
+
+**Problème :** 26 blocs `catch {}` ou `catch (e) {}` avalent des erreurs sans les loguer. Certains sont intentionnels (fallbacks Meta API non-fatals), la majorité ne l'est pas.
+
+**Correction :** Passer en revue. Les blocs intentionnels doivent avoir un commentaire `/* non-fatal: raison */`. Les autres doivent loguer au minimum avec `logger.warn`.
+
+---
+
+### 7. 179 `console.*` dans le frontend admin
+
+**Problème :** Toutes les pages admin utilisent `console.error/log` directement. En production, ces erreurs sont invisibles sauf si Sentry ou un équivalent est branché.
+
+**Impact actuel :** Faible (admin utilisé uniquement par le super admin). Impact futur : élevé dès qu'on active le self-service client.
+
+**Correction :** À faire avant le self-service client — centraliser dans un logger frontend ou brancher Sentry.
+
+---
+
+### 8. Scripts de migration one-off toujours présents
+
+**Fichiers :**
+- `apps/api/src/scripts/fix-types.ts` — script de refactoring TypeScript one-shot
+- `apps/api/src/scripts/purge-any.ts` — idem
+- `apps/api/src/scripts/migrate-json-to-sql.ts` — migration de données déjà appliquée
+- `packages/database/sync-days.ts` — outil de sync ponctuel
+
+**Correction :** Archiver dans `scripts/archive/` ou supprimer. Ils polluent le répertoire et peuvent induire en erreur sur ce qui est "actif".
+
+---
+
+## ⚪ Mineur — À surveiller
+
+### 9. `as any` sur les réponses JSON Meta API
+
+**Localisation :** `apps/api/src/services/organization.ts` (×6 occurrences)
+
+**Contexte :** Meta ne publie pas de SDK TypeScript officiel pour son Graph API. Les `as any` sur `.json()` sont acceptables ici mais fragiles si Meta change sa structure de réponse.
+
+**Recommandation :** Définir des interfaces locales pour les réponses Meta attendues (ex: `WabaStatusResponse`, `BusinessVerificationResponse`). Pas urgent mais facilite le debugging.
+
+---
+
+### 10. Token Meta — absence de date d'émission
+
+Complément du point #1. Le champ `systemUserTokenIssuedAt` n'existe pas en base. Même sans le cron d'alerte, stocker cette date dès maintenant permettrait de calculer l'ancienneté du token dans le dashboard Meta Status.
+
+---
+
+## Récapitulatif priorités
+
+| # | Sévérité | Effort | Priorité |
+|---|----------|--------|----------|
+| 1. Expiration token Meta | 🔴 Critique | Moyen | **P0 — avant prochain client** |
+| 2. Redis singleton | 🔴 Critique | Faible | **P0 — avant scaling** |
+| 3. Rate limiting | 🟡 Important | Faible | P1 |
+| 4. `alert()` wizard | 🟡 Important | Très faible | P1 — quick win |
+| 5. Code mort WhatsAppConnectButton | 🟡 Important | Très faible | P1 — quick win |
+| 6. Catch silencieux | 🟡 Important | Moyen | P2 |
+| 7. Console frontend | 🟡 Important | Élevé | P2 — avant self-service |
+| 8. Scripts one-off | ⚪ Mineur | Très faible | P3 |
+| 9. Types réponses Meta | ⚪ Mineur | Moyen | P3 |
+| 10. Date émission token | ⚪ Mineur | Faible | Couplé à #1 |