Les 6 pages .html du back-office (dashboard, users, catalogue, commandes,
cuisine, login) etaient des maquettes statiques de la demo de mai, restees
dans le docroot du vhost admin. Apache les servait telles quelles
(RewriteCond !-f -> pas de reecriture vers index.php), donc HORS SessionGuard :
information disclosure (structure du back-office, libelles, page utilisateurs)
accessible sans authentification, en contradiction avec la posture
security-by-design.
Elles sont superseded par les pages PHP rendues serveur et gardees (P3 :
/admin/dashboard, /admin/categories, /admin/products, /admin/profile/pin).
Les maquettes ne se liaient qu'entre elles (ilot mort) : aucun lien entrant
cote PHP/JS/CSS. La ligne d'exemple de docs/api/conventions.md qui citait
login.html est corrigee (assets/ servis tels quels).
