Merci pour ton message, et merci de te prêter au jeu
Ce qui me semble être un problème, c’est justement la mention explicite d’accès root, qui ne laisse pas de place pour d’autres systèmes dans lesquels un CHATONS ne disposerait pas ces accès.
Pour prendre une offre d’un géant français connu, il y a l’hébergement web mutualisée d’OVH. Un CHATONS qui utiliserait ce type d’hébergement dispose d’accès FTP pour y déposer ses fichiers sur le serveur web d’OVH, ainsi que d’un accès à une base de données (sur une instance de MySQL mutualisée également). Dans ce cas-là, le CHATONS ne disposerait pas d’accès root.
On peut sans doute trouver un meilleur mot pour « infrastructure » s’il pose problème.
Pour reprendre un géant français, Scaleway propose des services pour gérer un environnement Kubernetes (et OVH propose un service similaire). D’autres hébergeurs proposent l’hébergement de conteneurs (un peu comme le présente le géant américain Heroku). Dans ces cas-là, le niveau de contrôle est plus étendu qu’un simple accès FTP, mais il n’y a pas de droits root non plus.
Je pense qu’on peut trouver d’autres cas d’hébergement dans lesquels l’accès root n’est plus une nécessité pour fournir des services. Pour information, le post de @quentin dans la candidature d’Osuny a déjà bien déblayé le sujet.
Ça signifierait interdire l’usage de ces services en dehors de ceux hébergés par des CHATONS. Ça me semble problématique car 1. Pour le cas des CDN, actuellement, aucun CHATONS ne propose ce service ; et 2. on peut rencontrer des « hébergeurs éthiques » qui pourraient tout à fait être compatibles CHATONS, mais qui ne font pas partie du collectif (et/ou n’ont pas envie d’en être).
Je ne suis pas d’avec toi, je pense que ce que l’on appelle « logiciel libre » aujord’hui a beaucoup évolué ces dernières années. Je me retiendrai d’entrer dans un long monologue pour justifier ma position, mais (edit: raté) je te réfère aux réflexions d’autres personnes que moi sur la question, en tâchant de résumer leur position (au risque de mal traduire leurs propos…) :
Les 4 libertés et le Libre face à la réalité des usages modernes - aeris, PSES 2019 − aeris avance que les 4 libertés de Stallman ne sont plus suffisantes pour garantir les libertés numériques des utilisateur·ices, et suggère de les refondre pour les adapter au monde moderne (29:10), notamment en lui ajoutant des critères de respect de la vie privée (privacy by design) ou des questions d’éthique ;
Contributopia : Peut-on faire du libre sans vision politique ? − pyg, Capitole du Libre 2018@pyg commence sa conférence en présentant la définition qu’en donne Framasoft avec l’équation suivante : logiciel libre = open-source + valeurs éthiques et sociales (en précisant que les quatre libertés restent toujours valables). C’est par ailleurs cette équation que nous utilisons aujourd’hui pour présenter le logiciel libre à La Contre-Voie (on ne parle plus du tout des 4 libertés depuis au moins trois ans). pyg creuse par ailleurs la question de la nécessité du logiciel libre ici ou là ;
La création de la Hippocratic Licence (et ses dérivées) a peut-être aussi également contribué à remettre en question ce que nous attendons d’un numérique libre aujourd’hui.
Veut-on d’un logiciel « libre » au sens des quatre libertés de Stallman, qui approche la question uniquement sous des angles techniques et juridiques, ou d’un logiciel « libre » au sens libérateur / émancipateur (des personnes, de la société), qui prend aussi en compte des questions éthiques et sociales ?
Je suis conscient qu’on ne résoudra pas cette question dans l’immédiat. Mais une chose me semble à peu près sûre : tous les CHATONS n’ont pas la même définition de « logiciel libre », auquel cas il faut d’autres termes, d’autres référentiels pour expliciter ce qui nous rassemble.
Le moyen le plus simple que j’ai trouvé jusqu’à présent, c’est de ne plus utiliser une structure de référence qui va définir ce qu’est un logiciel libre à notre place (ex: la FSF, l’OSI ou la SPI) puisque tout le monde n’est pas d’accord sur cette définition et que pour moi, ça revient à poser la question de la couleur de l’abri à vélos.
Et oui, ça laisse place à plus d’interprétation et plus de débats dans les candidatures, et je pense que ce n’est pas un mal, car même si on est pas toujours d’accord sur les moyens, je pense qu’on est d’accord sur les idées
Non. La définition du logiciel libre a été fixée il y a quarante ans et n’a pas changé. On peut vouloir la critiquer, la compléter ou l’amender, mais ça n’a pas de sens de vouloir la nier. Et à nouveau concept, nouveau nom. Le meilleur exemple est l’open-source qui a trouvé un autre nom pour faire passer d’autres idées. Donc invitation à trouver un autre nom et d’en faire une définition différente. Sérieusement, évitons les confusions, changer le sens des mots rend impossible la communication, ça serait dommage.
Désolé mais cette phrase semble nier quarante années d’Histoire et de littérature conceptuelle. Depuis le début, le logiciel libre est un mouvement social qui lutte pour la liberté et la justice, promeut l’entraide, encourage le partage de la connaissance et est éminent émancipateur. Ce mouvement ne se limite pas à ses licences qui d’ailleurs ont évoluées dans le temps pour s’adapter aux nouveautés de l’informatique.
Références :
S’il faut d’autres termes alors pourquoi nier la définition historique ?
Ne faudrait-il pas inviter les chatons dans l’erreur à découvrir qu’une définition historique existe déjà ?
Sauf qu’historiquement, la définition a été faite avant nous donc quel sens cela a-t-il de la nier ça ?
Il semble que non. Et comment débattre sur des idées si les définitions sont floues voire différentes pour chacun ?
le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;
Alors, jusqu’où va-t-on ? L’histoire de MongoDB par exemple est assez discutable, si l’OSI ne la reconnaît pas comme une licence libre, l’impact du changement de licence reste nul pour les CHATONS à mon sens. De mon point de vu, la licence de MongoDB est une licence libre.
Quels critères pour considérer qu’un logiciel « n’a pas d’alternative libre » ? Un cas, dans l’association, nous sommes bloqué sur le service pour faire des parties en ligne. A ce jour, les ténors du domaine sont des services tiers plus ou moins respectueux (transferts hors-UE, stockage des données sur des Cloud GAFAM…) et se distingue un logiciel « non-libre » appelé FoundryVTT qui est proposé sous forme d’une application JS hébergeant son serveur de jeu. Il peut être exécuté sur son poste, mais aussi sur un serveur. Les sources sont accessibles dès qu’on a payé le logiciel, mais il n’est pas diffusé sous licence libre un grand nombre de modélisation de systèmes de jeu sont diffusés sous licence libre (https://foundryvtt.com/article/license/). Le logiciel libre équivalent, Rolisteam, est inutilisable et plus ou moins abandonné… dans ce cas : prévoir que le CHATON dispose de la maîtrise totale des données de ses utilisateurs est je pense le pré requis le plus important. Il faudra donc que le candidat démontre qu’il est maître des données, qu’aucun transferts non maîtrisé existe (par ex, une exfiltration des données pour analyse sur un service tiers… bonjour Akismet de Wordpress) et qu’il n’existe pas d’alternatives open-sources cohérente et crédible à ce jour.
Après, est-ce qu’on tolère des services comme Teamspeak alors que pour le coup il y a pléthore de logiciels libres qui en font tout autant et aussi bien. Le risque… avec tout ça, on pourrait faire passer un Microsoft Office Online Server pour parfaitement clean et tolérable (qui même On Premise cause à papa sans cesse depuis le navigateur client… perdu pour la souvraineté numérique et le non-partage de données hors-UE).
le chaton ne fait pas la promotion des réseaux sociaux publicitaires et évite de mettre du contenu exclusif sur les réseaux sociaux publicitaires
Totalement, je pense que ce point de vue reste pour moi rédhibitoire. Par contre, la notion « réseau social publicitaire » me dérange. Il faudrait l’étendre et apporter plus de précision, sinon, le moindre « serveur Discord » ou « chaîne Youtube » pourrait devenir un point de communication tolérable pour un CHATONS. Pour rappel, Discord se vente de ne pas diffuser de publicité… mais appartient à Tencent et partage ses données avec ses financeurs (donc, Tencent). La diffusion prioritaire et systématique sur un espace libre et accessible doit être un pré requis « de base ».
Les conditions devraient être que les points de communication numérique ne doivent pas imposer à leur simple visiteur, la détention d’un compte pour accéder aux informations (Discord, Instagram, Facebook, LinkedIn où, même ceux qui n’impose pas la création d’un compte rapidement le suggère de façon très insistante) et n’expose aucune donnée personnelle du visiteur à la plateforme de diffusion autre que les données strictement nécessaires pour fournir le service (en gros, l’IP… le reste : pas de pub, pas de cookies tiers, par de pisteurs intersites, hoho, Youtube). Bref, aller causer CHATONS sur Facebook, ça permet de sensibiliser 2/3 de la population française, mais il serait quand même bien que l’info se trouve aussi ailleurs en intégralité. Disposer de points de communication sur le Fediverse devraient être une obligation.
Pour Osuny, la seule source d’information était LinkedIn au moment de mon vote. Si on juge que Facebook est l’enfer… LinkedIn est l’abîme sans fond menant directement aux sources du mal le plus absolu Par contre, je ne voie pas de mal à ce qu’un CHATON double exactement sa com’ sur LinkedIn et sur Mastodon (et si les afficionados de LinkedIn peuvent ne pas venir transformer Mastodon en LinkedIn2, c’est pas trop mal non plus… de toute façon, la grande majorité des chartes interdisent la pub et le démarchage… soit 99% des contenus de LinkedIn).
le chaton doit avoir un niveau de contrôle technique suffisant sur ses services et son infrastructure notamment pour garantir autant que possible la confidentialité des données hébergées ;
Ça, c’est mon quotidien pro de DPD d’un service de l’état qui a l’obligation de souveraineté numérique (doctrine Cloud au Centre et SecNumCloud). Je ne compte plus le nombre de sous-traitant qui nous explique qu’un simple DPA permet de transférer des données hors Union européenne. Je vais remettre ma casquette de militant : le point sur lequel le Privacy Shields a été invalidé par Schrems est l’accès aux données aux services de renseignements US… Cessons d’êtres hypocrites, le vrai problème reste l’alimentation du big data des annonceurs publicitaires totalement légal aux US (et je peux même mettre ma casquette de militant écolo : est-ce qu’on a encore la légitimité de rejeter du CO2 pour traiter des données publicitaires ?).
Donc, si un DPA avec AWS ou Azure donne au RT la possibilité d’être dédommagé et informé en cas d’accès aux données par les autorités administratives américaines, ça reste très cool sur la transmission de n’importe quelle données « anonymisée » (oui, enfin… un profil sans le nom, c’est pas de l’anonymat pour le RGPD) à un repreneur, un partenaire commercial ou toute société liée.
Installer son OS, chiffrer son HDD et être le seul à avoir le compte root reste la seule garantie à ce jour pour s’assurer que personne n’accède aux données… ou être hébergé en Europe chez un hébergeur qui est soumis aux mêmes lois que nous.
« garantir autant que possible la confidentialité des données hébergée » demandera à rédiger une grille d’évaluation très précise sur le sujet. Si vous avez besoin, je peux y contribuer.
Pour l’histoire du CDN « respectueux », je suis à fond pour ! Et, ça serait intéressant de commencer à réfléchir à des communs numérique : serveur TURN/STUN… et pourquoi pas des data centers mutualisés éco-responsables et low-tech ?
Proposition pour une vraie et exigeante application du libre
Le problème du SaaS(S) : Aucun membre du collectif CHATONS n’est hébergeur dans le sens où il propose à la location des serveurs physiques. À la place, les membres du collectif CHATONS proposent du SaaS, Software as a Service, ou comme le souligne plus justement le projet GNU, du SaaSS, Service as a Software Substitute (la précision est importante). La Free Software Foundation et le Projet GNU sont très clairs sur ce point, en un slogan : « it’s just other people’s computer ».
With SaaSS, the server operator can change the software in use on the server. He ought to be able to do this, since it’s his computer; but the result is the same as using a proprietary application program with a universal back door: someone has the power to silently impose changes in how the user’s computing gets done.
SaaSS is equivalent to running proprietary software with spyware and a universal back door. It gives the server operator unjust power over the user, and that power is something we must resist.
La vieille question du contrôle des machines. On peut voir que le point sur le SaaS remue la vieille question du contrôle des machines. Là encore, je pense que pouvoir une démarche sur le libre sincère et juste, afin de ne pas dévoyer le concept de libre, il faut s’en remettre à ses tenants dont RMS. En 1982, il refusait de mettre un mot de passe sur son compte utilisateur. En 2012, il disait de même pour les WiFi. RMS a été très clair que d’avoir des systèmes avec des contrôles d’accès différenciés permettait à l’opérateur-ice de la machine de prendre le contrôle sur les usager-es, exactement de la même manière que le logiciel propriétaire cachant son code, permettait au développeur d’arracher du pouvoir sur ses usager-es.
Pour 2012 je ne peux pas publier le lien car la vidéo est sur une plateforme privatrice.
On peut entendre ces propos aussi dans le docu « la bataille du libre » de Borel (bien qu’ici le terme « libre » est mal employé car étendu à l’agriculture et la médecine, ce qui n’a rien à voir comme la précisé RMS lors d’un échange question/réponse suite à une intervention à l’université Rennes 1 il y a quelques années de ça pendant ma thèse).
Des idées pour actualiser le problème. Bien entendu, tout comme aujourd’hui les personnes n’ont pas les connaissances pour relire et modifier le code source des logiciels qu’ils et elles utilisent, elles n’ont pas les connaissances pour opérer ces serveurs comme nous. C’est pourquoi nous devons avant tout permettre à ces personnes d’acquérir les connaissances techniques nécessaires pour être parfaitement autonomes sur ces usages, et ainsi créer un espace égalitaire où hacker hackeuses agissent sur un pied d’égalité, adaptant, relisant le logiciel pour leurs besoins. Afin de faciliter cette mission, le choix de logiciels et d’usages simples sera fait, car la complexité de ces derniers est un frein à l’appropriation collective des outils. Si l’appropriation collective n’est pas possible, alors il faudra se refuser à utiliser l’outil.
À noter qu’il n’y a rien d’extravagant, c’est, je crois, le parti pris qu’avait le hackerspace Le Reset, qui analysait la question sous l’angle du genre (aujourd’hui la technique est majoritairement masculine) alors que la FSF l’aborde sous la question individuelle. Le choix a été fait alors de créer un espace de transmission du savoir pour que des minorités de genre puissent monter leur propre services et échapper aux rapports de pouvoirs créés par la technologie. Dans ce hackerspace, les solutions/projets compliquées/complexes ont été volontairement écartées au profit de projet favorisant l’autonomie du collectif.
Les esprits les plus taquins noteront qu’elles se sont tenues à bonne distance des libristes pourtant à l’avant garde sur les rapports de pouvoirs que créer le logiciel et les ordinateurs. Probablement un malentendu
Enfin sur les questions de sécurité, chaque personne devrait être en mesure de gérer en autonomie, chez elle, ses données, et les chiffrer au besoin lorsqu’elle doit les communiquer, de sorte que les serveurs soient simplement des espaces d’échanges publiques : l’intérêt de les détourner serait alors très faible.
Cette mise en oeuvre n’a rien d’utopique : en plus du Reset, le contrôle sur le réseau peut se faire via des FAI associatifs. En ayant discuté avec un membre de tetaneutral, ils donnent très facilement l’accès root au réseau aux nouveaux membres, privilégiant l’apprentissage et la gestion collective à la sécurité/stabilité. Côté serveurs, le mouvement tildeverse qui consiste à partager une machine via SSH est un premier pas encourageant bien qu’imparfait : les usager-es n’ont pas le même niveau d’accès que les opérateur-ices. Ce pourrait bien sûr être un travail pour le collectif de lever ce rapport de pouvoir, par exemple en s’assurant une formation exigeante de ses usager-es en amont et une information légale quant à leurs responsabilités lorsqu’ils accèdent à un système d’information.
Ma conclusion. À la vue des différentes publications de la FSF/FSE/GNU, il me semble intenable de continuer à utiliser le terme « libre » au sein du collectif CHATONS : nous enfreignons bien trop de règles. J’appelle donc à une modification importante de la charte pour se mettre en conformité avec les différents textes et propos tenus par les tenants de ces différentes organisations ou à abandonner le terme au profit d’un autre, comme « communs numériques ».
Donc ma proposition de point :
En se revendiquant du libre, les CHATONS doivent prendre en compte les positions de la FSF et sans cesse adapter leurs pratiques.
critères requis :
Les usager-es d’un serveur CHATONS doivent tous-tes avoir l’accès root au serveur, doivent être en mesure d’en assurer l’administration, et surtout d’en inspecter le fonctionnement.
Les usager-es ont un droit d’accès physique à la machine et un droit d’inspection (par exemple lors de maintenances bi-annuelles).
Le CHATON a un processus pour s’assurer que ses usager-es aient un niveau de connaissance suffisant pour bénéficier des libertés du libre (le droit de lire et modifier le code en particulier).
Corollaire du point précédent : les choix techniques sont gardés simples afin que des inégalités ne se creusent pas entre usager-es du serveur. Entre autre, si une solution plus simple existe (en terme de code) pour remplir un usage, elle est privilégiée (exemple : pour partager un fichier, FTP - voire un dossier partagé en SSH sur le serveur - plutôt que Nextcloud, vim dans un tmux plutot que etherpad, etc.).
Le serveur est considéré comme un espace de communication et de partage et ne se substitue pas à un logiciel (exemple : bitwarden qui peut être remplacé par Keepass + une synchro manuelle)
Je pense que ta proposition répond aux exigences de certains CHATONS, et pourrait tout à fait se présenter comme une contre-proposition à cette révision.
Un point important m’interpelle dans ta proposition, c’est qu’elle pose comme nécessité un accès physique aux machines (pas seulement pour les admins CHATONS, mais également pour les usagèr·es), ce qui rendrait a minima 70% des CHATONS actuels non-conformes de facto. Elle semble par ailleurs aller dans le sens d’un durcissement des critères.
Comme défini dans la section « Portée » en début de thread :
Je t’invite donc à créer un thread séparé qui porterait sur cette contre-proposition.
Et concernant ta remarque sur le « libre » :
Mon parti pris, c’est que la FSF n’a pas le monopole du « libre », et que la définition qu’on lui donne n’est pas figée dans le marbre − tout comme la Charte. Il n’y a pas de « règles » autres que celles que nous nous imposons à nous-mêmes
C’est une question difficile, d’autant plus que chaque structure a ses critères qui lui sont propres (ex: le support d’OpenID / LDAP, l’accessibilité, l’UI/UX…).
Et il y a les cas comme pour la candidature de RollenspielMonster où c’est une question de public : il hébergeait bel et bien un Mumble à côté de son TeamSpeak, mais tenait à héberger les deux pour permettre à son public (rôliste, et qui préférait TeamSpeak à Mumble) de basculer sur Discord, ce qui − selon l’admin − allait arriver s’il fermait son service. C’était dans une stratégie du « meilleur compromis », donc.
Il y a aussi le cas de Paheko qui est contraint d’utiliser AWS car aucune alternative plus éthique n’est viable (même OVH, à son échelle, serait tarifié 10 fois plus cher).
Je pense que la réponse à cette question, c’est d’apprécier la candidature au cas par cas et d’évaluer par nous-mêmes si le compromis est valable ou non lorsque le cas se présente, selon le rôle de la structure dans l’écosystème du libre, ses positions, ses idées, sa démarche, son modèle économique, sa bonne foi… Contrairement à la situation actuelle où si l’on suivrait la charte noir sur blanc, on appliquerait la clause « 100 % logiciel libre ou rien » et ces candidatures seraient systématiquement rejetées. (Cela vaut également pour un logiciel dont les sources ne sont accessibles qu’après avoir payé.)
Plusieurs choses m’interpellent aussi dans cette proposition de @ljf, déjà effectivement « réseaux sociaux publicitaires » n’est pas clair pour moi non plus, un réseau social désignant tout ce qui « nous met en relation », ça peut être un forum, une plateforme de diffusion de vidéos, un chat… un peu tout et n’importe quoi. Et le mot « publicitaire » ne précise pas assez ce que ça désigne, je trouve
Autre chose qui m’interpelle : c’est quoi, « faire la promotion » ? Selon la charte de la RAP dont ljf a tiré l’inspiration, indiquer notre présence sur ces réseaux dans notre site web ou sur nos supports de communication correspondrait à cette définition. Dans ce cas, je peux vous dire que tous les CHATONS qui ont un lien vers leur profil de réseau social (autre que Mastodon) sur leur site sont d’ores-et-déjà non conformes
Et ensuite, que faire des CHATONS qui souhaitent cibler des publics non-initiés ? Les CHATONS qui offrent des services aux personnes qui sont sur Mastodon (donc essentiellement des libristes) n’auront pas de problème à se conformer, mais dès que l’on souhaite atteindre un public « pas déjà libriste », il me semble assez obligatoire de passer par la case réseaux sociaux propriétaires (YouTube, Facebook, LinkedIn…).
Ce que tu suggères (et qui va dans le sens des suggestions de ljf) :
Je pense que le community management, c’est un métier à part entière, on ne peut pas écrire la même chose sur LinkedIn que sur Mastodon, il faut parler différemment, utiliser d’autres mots-clés, tout simplement parce que le public est différent. Pareil pour Instagram : poster sur ces réseaux requiert d’utiliser leurs codes de publication (peu de textes, beaucoup d’images). On ne peut pas juste mettre un bridge et c’est fini, il faut définir une stratégie de communication différente, etc.
Et c’est sans parler du temps à consacrer à ces réseaux sociaux : une stratégie de publication régulière, réfléchie et efficace sur cinq réseaux différents, c’est quasiment un temps plein consacré à ça. Si les CHATONS sont vraiment à destination des publics non initiés et pas des geeks libristes, ne devraient-ils pas justement privilégier les réseaux propriétaires aux réseaux libristes ? Je sais, ça fait peur et l’idée de poster sur facebook ne m’enchante pas le moins du monde, mais je pense que c’est fondamental d’aller chercher le public là où il est et je trouverai ça lamentable si nous en venons à refuser des candidatures sur ce critère.
Oui, ça ok, mais le fond de l’information doit être présente de façon similaire d’un côté et de l’autre. Le problème de fond est là. On ne peut pas forcer les utilisateurs à avoir un compte Instagram, LinkedIn et autre pour avoir une information particulière, la forme est un point secondaire. Qu’on adapte pour matcher les codes des différents RS, c’est autre chose (là, oui, le travail d’un CM), mais le public n’a pas à devoir disposer d’un compte sur un RS tel que Facebook ou autre. Au passage, il n’est pas totalement légal d’exclure d’une information un utilisateur d’un service parce qu’il n’a pas consenti à créer un compte sur une plateforme soumise au consentement (je cible particulièrement les logiciels libres et autres communautés utilisant Discord pour leur support).
Tu cibles (à raison) une autre problématique qui reste très liée, et il me semble effectivement important de proposer des critères en ce sens. Ça me semble également entrer dans la portée de cette révision, car certaines personnes considèrent que le critère « 100 % logiciel libre » s’applique également aux plateformes de communication.
Concernant l’usage des réseaux sociaux de manière générale, je viens donc avec de nouvelles propositions en adaptant la proposition de ljf et tes remarques.
Je m’inspire également de cet extrait du Manifeste CHATONS, section 2.3 « Solidarité et essaimage » :
Les membres du CHATONS ne doivent cependant pas demeurer dans un entre-soi qui ne satisfera qu’un nombre limité de personnes, générateur de discrimination dans l’accès aux services. Au contraire, tous les efforts de communication envers le public sont encouragés de manière à essaimer les solutions d’hébergement libres et créer du lien autour des principes défendus par le collectif. Les moyens doivent être mutualisés et peuvent passer par des formations, des séances d’information publiques, la tenue de stands lors de diverses manifestations, des interventions lors de conférences, la publication de plaquettes, etc.
Proposition de solution :
Critères requis
le CHATONS s’engage à proposer un moyen de suivre ses actualités en dehors de plateformes propriétaires (via son site web, par exemple) ;
le CHATONS s’engage à proposer un moyen de contact qui ne nécessite pas de créer un compte sur une plateforme tierce ;
le CHATONS s’engage à promouvoir des solutions d’hébergement libres dans sa communication externe ;
Critères recommandés
le CHATONS doit utiliser uniquement des logiciels libres dans sa communication interne et externe ;
Explication de la solution :
Suivi des actualités : Un CHATONS qui communiquerait uniquement via un réseau social centralisé (ex: Facebook) ne serait pas compatible avec cette clause, mais s’il publie ses actualités sur son site web, c’est bon. S’il utilise des réseaux sociaux libres comme Mastodon, ça marche aussi (pas mal de CHATONS n’utilisent pas leur site comme un blog).
Sur le moyen de contact : ça n’exclut pas de facto un CHATONS qui aurait une adresse mail Gmail comme moyen de contact et c’est intentionnel : quelques CHATONS dépendent encore de Google pour les mails car c’est complexe à héberger. Une personne qui a besoin d’aide pourra envoyer un mail à une adresse Gmail sans se créer un compte chez Google, c’est l’avantage des mails. Par contre, la clause interdit d’obliger ses utilisateur·ices à créer un compte sur une plateforme tierce (ex: Discord) pour demander de l’aide au CHATONS.
Sur la communication externe : à défaut de restreindre l’usage de plateformes propriétaires pour la communication externe (ce qui, je pense, est une mauvaise idée pour les raisons que j’ai énoncées plus haut), ce critère va dans le sens du manifeste et demande au CHATONS de promouvoir le libre sur ses réseaux, qu’ils soient propriétaires ou non. Dans ce sens, si un CHATONS se crée un compte Facebook dans l’intention d’y promouvoir ses activités (dont la promotion du libre), ce critère est validé.
Critère recommandé : libre exclusif − je ne me permets pas de passer en critère requis l’usage de logiciels libres pour la communication interne du CHATONS, car c’est déjà assez difficile de mobiliser une équipe de bénévoles comme ça, pour qu’en plus on soit en position de leur imposer des outils. C’est d’autant plus difficile d’imposer un outil libre dans une grosse structure CHATONS, qui nécessiterait potentiellement de forcer ce choix auprès de plusieurs dizaines, voire centaines de personnes, alors que :
la communication interne n’affecte pas directement la vie privée des utilisateur·ices du CHATONS ;
pour moi ça rentre dans la « sphère privée » des administrateur·ices des CHATONS, et dépasse la simple activité d’hébergement ;
utiliser des outils de communication populaires comme Discord peut être un moyen d’amener plus de personnes non-initiées vers la contribution, puis vers des usages plus sains du numérique par la suite.
Je pense que c’est vraiment le point clé ici : si on veut changer les habitudes, il faut peut être forcer un peu les gens à quitter les « mauvaises » habitudes. Les plateformes de communications non libres devraient surtout être des relais d’informations qui mènent ensuite vers les espaces « ouverts ».
Sur un sujet similaire, même si on a toujours la page « Aux Portes de l’Imaginaire », les infos sont diffusées sur Facebook et Mastodon, nos événements uniquement sur Mobilizon et relayés sur Mastodon et Facebook, la messagerie instantanée Facebook propose de nous contacter par notre adresse mail de contact (le formulaire en ligne) ou le fil public RocketChat… C’est important de je pense de profiter de ces occasions pour aller pousser les gens vers le reste du web : site, forums… notamment sans inscription, sans pub et sans éléments intrusifs.
Petite précision sur la phrase « Pour Osuny, la seule source d’information était LinkedIn au moment de mon vote ». Sauf erreur de ma part, tout ce que nous publions sur LinkedIn est une republication de contenu publié sur Osuny.org. Pour être parfaitement clair sur notre fonctionnement :
Oui, @arnaudlevy, j’en conviens, mais, une publication sur un RS génère une interaction sur ce réseau, d’où l’intérêt d’avoir une page Mastodon aussi, autant alimentée.
Un visiteur d’un contenu sur un réseau social genre Linkedin ou Facebook clique rarement sur les liens, il interagit sur la page du RS où il est et va rarement plus loin. Je ne compte plus le nombre de fois où nous avons eu des critiques d’articles de contenus qui se sont limités à l’extrait « Facebook » partagé (et en regardant un peu les stats de visites, les clics depuis FB généraient surtout des visites de moins de 5 secondes pour un contenu avec un temps de lecture de 15 minutes).
LinkedIn reste pour moi le réseau social pro le plus déconcertant qui soit… il n’y a rien de social, c’est juste un espace d’auto promotion et de démarchage commercial continuel.
Je comprends, c’est vrai que c’est souvent déprimant LinkedIn…
Notre objectif est de déplacer la fenêtre d’Overton sur pas mal de sujets (ESS, SCOP et SCIC, numérique d’intérêt général, sobriété, accessibilité, logiciel libre, souveraineté, communs, post-croissance…).
C’est sur LinkedIn (et Twitter) que ça se passe ! Dire qu’il faut aller sur Mastodon et pas sur LinkedIn, c’est un peu comme si Frodon tentait de détruire l’anneau en faisant un barbecue dans la Comté. Nous aussi, on préfère l’herbe à pipe et les fêtes d’anniversaire, mais le combat est en Mordor.
La comparaison est très bonne, mais Frodon risque plus d’une fois d’y passer et ce n’est que Gollum qui détruit l’anneau à la fin (Elon Musk ???).
D’où l’intérêt de la double communication et favoriser le plus de réponse vers un réseau ouvert et libre en incitant les aficionados des réseaux centralisés à voir qu’il existe une vie viable hors de LinkedIn, Facebook et autre… c’est un peu comme libérer les rohirrims de l’influence de Sauron
La proposition de @neil de reformulation de ma proposition sur les réseaux sociaux publicitaires me semble acceptable. Du coup, j’ai changé dans la proposition compilée. Pour moi, ce que j’exprimais n’était pas interdiction de faire de la com sur Facebook, mais bien « pas d’infos exclusives » qui pourraient encourager à accepter les CGS de Facebook ou autres réseaux du même acabit.
Ceci dit, imaginer que des chatons utilisent gmail comme adresse de contact me laisse songeur… Idem pour Discord si il n’y a pas de bridge qui permettent d’éviter l’exclusion des personnes qui refusent les CGS Discord (ou Whatsapp).
J’ai toutefois mis à jour la synthèse avec cette proposition.
Sur la proposition « pour une vraie et exigeante application du libre »
Bon clairement, j’aurais pu rebondir sur plusieurs éléments de ton poste (qui pour certains sont faux), mais un topic à part ça serait bien. ET globalement, je plussoie qu’on aurait pu dissocier la question du libre de la question contrôle de l’infra pour faciliter le débat.
Je comprends le message de @quentin comme un raisonnement par l’absurde, qui a pour but de mettre en lumière qu’on dévie fortement des usages numériques recommandés par la FSF, et que s’en revendiquer pleinement est illusoire. N’hésite pas à dire si je me trompe @quentin, mais ce message n’est pas à prendre au premier degré !
Attention, avec Gmail, le CHATONS induit un transfert hors UE potentiellement non encadré (plus de Privacy Shields depuis 2020, pas de contrat « B2B » sur les comptes gmail classique, les USA ne sont pas en adéquation avec la loi européenne, et même avec les CCT proposées par Google sur Google Workspace, j’ai pas vu où on garantissait quelque part la vie privée de quiconque). Théoriquement, il faudrait une petite mention d’information avec le mail de contact disant que les données seront transmises hors-UE et prévoir que la personne n’y consente pas (refus de service ? pas d’autres solution pour poser la question ? le consentement n’est plus libre…)
Oui, le mail, c’est dur à gérer (ça fait un an que je dois séparer le serveur historique de l’époque où l’asso était un sous-espace de mon serveur perso…), mais il existe aujourd’hui assez de solutions pour des CHATONS entre l’auto-hébergement avec des solutions toutes prêtes comme docker-mailserver (un must à mon sens, fiable, configuré au poil…) ou la solution d’un hébergeur européen (comme tous ceux qui utilisent OVH, Protonmail…).
Bref, un CHATON peut-il, d’un point de vue éthique, participer à la société de surveillance et au big data publicitaire ? L’alternative aux GAFAM est là.
Je te rejoins entièrement dans l’idée : d’un point de vue légal, il y a des chances qu’un CHATONS ne soit pas raccord, en particulier dès lors qu’un service tiers a accès aux données.
On utilise docker-mailserver depuis 4 ans, je confirme qu’il est très fiable en effet, mais il nécessite quand même de l’entretien et pas mal de précautions (se faire débloquer des blocklists, surveiller la réputation du domaine…), et ne convient pas à tous les usages.
Cette question me rappelle la candidature de Paheko, où Bohwaz a tout essayé pour trouver un autre prestataire que AWS pour l’envoi de mails (même OVH), et déroule son raisonnement qui l’a mené à utiliser ce service malgré lui, en attendant de trouver une alternative libre fonctionnelle.
Et pourtant, en développant Garradin/Paheko, Bohwaz a popularisé l’utilisation d’un logiciel libre auprès de milliers d’assos, je suis donc intimement convaincu qu’on a des idées en commun et que sa structure pourrait avoir sa place parmi les CHATONS. Je pense que par son initiative, il a plus participé au libre qu’à « la société de surveillance et au big data publicitaire », bien que son service est perfectible à cause d’AWS, et que c’est important de garder ça en tête.
Ce critère que je propose, qui ne rend pas « éliminatoire » l’utilisation d’un service mail non-libre, va dans le sens de cet autre critère proposé :
le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;
L’idée est de ne pas les rendre absolument éliminatoires à travers la charte, mais de permettre aux CHATONS de juger de la validité de cette exception et de voter pour ou contre, sans pour autant que ça entre systématiquement en contradiction avec la charte.
Ça ne nous empêche pas de voter contre ! Mais ça rend la discussion possible sur ce point, ce qui − je pense − a du sens pour une problématique comme le mail.
Attention, on est bien ici dans un transfert hors UE et un point de conformité assez discutable au regard du RGPD. La mise en œuvre de CCT est très complexe depuis Schrem II.
Concrètement sur ce point, les CHATONS européens sont soumis au RGPD, de ce fait, les transferts de données personnelles (donc, dès qu’on trouve même que l’IP de l’utilisateur) hors-UE (pas seulement le lieu d’hébergement/stockage, mais la juridiction à laquelle est soumise le sous-traitant/destinataire) doivent être encadrés :
soit par une décision d’adéquation avec l’UE : actuellement, tout l’EEE, la Suisse, l’Israël, le Japon, l’Angleterre, … (liste complète ici : Adequacy decisions)
soit une adéquation partielle : à ma connaissance, aujourd’hui, le Canada si un contrat commercial existe entre le CHATONS et le sous-traitant canadien
Le reste n’est pas encadré, il demande un consentement exceptionnel (donc, difficile d’avoir une « exception » pour un compte utilisateur d’un service SaaS d’un CHATONS qui héberge sur Google Cloud par exemple… l’exception, c’est vraiment un transfert unique). Ceci signifie clairement que sans cadre juridique valide, le transfert est illégal et il expose le CHATONS à des sanctions par la CNIL. La question de fond est quid de l’image de l’ensemble du collectif si un jour un CHATONS se fait épingler ?
Pour la question évoquée avec AWS et le SMTP, il faudrait dans ce cas que, outre la justification déjà exposée sur Git soit clairement exposée (démontrant le côté « nécessaire » à ce jour) et que les documents légaux (CCT notamment, contrat de sous-traitance « DPA »…) soient mis à disposition avec la candidature.
Les mentions d’informations publiques doivent elles-aussi préciser ces transferts hors Union européenne.