Amendement de la charte pour l'allégement de la clause root et de la clause 100% libre

Je pense que c’est vraiment le point clé ici : si on veut changer les habitudes, il faut peut être forcer un peu les gens à quitter les « mauvaises » habitudes. Les plateformes de communications non libres devraient surtout être des relais d’informations qui mènent ensuite vers les espaces « ouverts ».

Sur un sujet similaire, même si on a toujours la page « Aux Portes de l’Imaginaire », les infos sont diffusées sur Facebook et Mastodon, nos événements uniquement sur Mobilizon et relayés sur Mastodon et Facebook, la messagerie instantanée Facebook propose de nous contacter par notre adresse mail de contact (le formulaire en ligne) ou le fil public RocketChat… C’est important de je pense de profiter de ces occasions pour aller pousser les gens vers le reste du web : site, forums… notamment sans inscription, sans pub et sans éléments intrusifs.

Bonjour @garthh !

Petite précision sur la phrase « Pour Osuny, la seule source d’information était LinkedIn au moment de mon vote ». Sauf erreur de ma part, tout ce que nous publions sur LinkedIn est une republication de contenu publié sur Osuny.org. Pour être parfaitement clair sur notre fonctionnement :

1. nous publions sur Actualités | Osuny | Page 1
2. nous partageons l’article sur LinkedIn

Oui, @arnaudlevy, j’en conviens, mais, une publication sur un RS génère une interaction sur ce réseau, d’où l’intérêt d’avoir une page Mastodon aussi, autant alimentée.

Un visiteur d’un contenu sur un réseau social genre Linkedin ou Facebook clique rarement sur les liens, il interagit sur la page du RS où il est et va rarement plus loin. Je ne compte plus le nombre de fois où nous avons eu des critiques d’articles de contenus qui se sont limités à l’extrait « Facebook » partagé (et en regardant un peu les stats de visites, les clics depuis FB généraient surtout des visites de moins de 5 secondes pour un contenu avec un temps de lecture de 15 minutes).

LinkedIn reste pour moi le réseau social pro le plus déconcertant qui soit… il n’y a rien de social, c’est juste un espace d’auto promotion et de démarchage commercial continuel.

Je comprends, c’est vrai que c’est souvent déprimant LinkedIn…

Notre objectif est de déplacer la fenêtre d’Overton sur pas mal de sujets (ESS, SCOP et SCIC, numérique d’intérêt général, sobriété, accessibilité, logiciel libre, souveraineté, communs, post-croissance…).

C’est sur LinkedIn (et Twitter) que ça se passe ! Dire qu’il faut aller sur Mastodon et pas sur LinkedIn, c’est un peu comme si Frodon tentait de détruire l’anneau en faisant un barbecue dans la Comté. Nous aussi, on préfère l’herbe à pipe et les fêtes d’anniversaire, mais le combat est en Mordor.

La comparaison est très bonne, mais Frodon risque plus d’une fois d’y passer et ce n’est que Gollum qui détruit l’anneau à la fin (Elon Musk ???).

D’où l’intérêt de la double communication et favoriser le plus de réponse vers un réseau ouvert et libre en incitant les aficionados des réseaux centralisés à voir qu’il existe une vie viable hors de LinkedIn, Facebook et autre… c’est un peu comme libérer les rohirrims de l’influence de Sauron

Sur le thème des réseaux sociaux privateurs

La proposition de @neil de reformulation de ma proposition sur les réseaux sociaux publicitaires me semble acceptable. Du coup, j’ai changé dans la proposition compilée. Pour moi, ce que j’exprimais n’était pas interdiction de faire de la com sur Facebook, mais bien « pas d’infos exclusives » qui pourraient encourager à accepter les CGS de Facebook ou autres réseaux du même acabit.

Ceci dit, imaginer que des chatons utilisent gmail comme adresse de contact me laisse songeur… Idem pour Discord si il n’y a pas de bridge qui permettent d’éviter l’exclusion des personnes qui refusent les CGS Discord (ou Whatsapp).

J’ai toutefois mis à jour la synthèse avec cette proposition.

Sur la proposition « pour une vraie et exigeante application du libre »

Bon clairement, j’aurais pu rebondir sur plusieurs éléments de ton poste (qui pour certains sont faux), mais un topic à part ça serait bien. ET globalement, je plussoie qu’on aurait pu dissocier la question du libre de la question contrôle de l’infra pour faciliter le débat.

Je comprends le message de @quentin comme un raisonnement par l’absurde, qui a pour but de mettre en lumière qu’on dévie fortement des usages numériques recommandés par la FSF, et que s’en revendiquer pleinement est illusoire. N’hésite pas à dire si je me trompe @quentin, mais ce message n’est pas à prendre au premier degré !

24 messages ont été scindés en un nouveau sujet : Faut-il des exceptions pour la clause 100% libre?

Attention, avec Gmail, le CHATONS induit un transfert hors UE potentiellement non encadré (plus de Privacy Shields depuis 2020, pas de contrat « B2B » sur les comptes gmail classique, les USA ne sont pas en adéquation avec la loi européenne, et même avec les CCT proposées par Google sur Google Workspace, j’ai pas vu où on garantissait quelque part la vie privée de quiconque). Théoriquement, il faudrait une petite mention d’information avec le mail de contact disant que les données seront transmises hors-UE et prévoir que la personne n’y consente pas (refus de service ? pas d’autres solution pour poser la question ? le consentement n’est plus libre…)

Oui, le mail, c’est dur à gérer (ça fait un an que je dois séparer le serveur historique de l’époque où l’asso était un sous-espace de mon serveur perso…), mais il existe aujourd’hui assez de solutions pour des CHATONS entre l’auto-hébergement avec des solutions toutes prêtes comme docker-mailserver (un must à mon sens, fiable, configuré au poil…) ou la solution d’un hébergeur européen (comme tous ceux qui utilisent OVH, Protonmail…).

Bref, un CHATON peut-il, d’un point de vue éthique, participer à la société de surveillance et au big data publicitaire ? L’alternative aux GAFAM est là.

Je te rejoins entièrement dans l’idée : d’un point de vue légal, il y a des chances qu’un CHATONS ne soit pas raccord, en particulier dès lors qu’un service tiers a accès aux données.

On utilise docker-mailserver depuis 4 ans, je confirme qu’il est très fiable en effet, mais il nécessite quand même de l’entretien et pas mal de précautions (se faire débloquer des blocklists, surveiller la réputation du domaine…), et ne convient pas à tous les usages.

Cette question me rappelle la candidature de Paheko, où Bohwaz a tout essayé pour trouver un autre prestataire que AWS pour l’envoi de mails (même OVH), et déroule son raisonnement qui l’a mené à utiliser ce service malgré lui, en attendant de trouver une alternative libre fonctionnelle.

Et pourtant, en développant Garradin/Paheko, Bohwaz a popularisé l’utilisation d’un logiciel libre auprès de milliers d’assos, je suis donc intimement convaincu qu’on a des idées en commun et que sa structure pourrait avoir sa place parmi les CHATONS. Je pense que par son initiative, il a plus participé au libre qu’à « la société de surveillance et au big data publicitaire », bien que son service est perfectible à cause d’AWS, et que c’est important de garder ça en tête.

Ce critère que je propose, qui ne rend pas « éliminatoire » l’utilisation d’un service mail non-libre, va dans le sens de cet autre critère proposé :

le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;

L’idée est de ne pas les rendre absolument éliminatoires à travers la charte, mais de permettre aux CHATONS de juger de la validité de cette exception et de voter pour ou contre, sans pour autant que ça entre systématiquement en contradiction avec la charte.
Ça ne nous empêche pas de voter contre ! Mais ça rend la discussion possible sur ce point, ce qui − je pense − a du sens pour une problématique comme le mail.

Attention, on est bien ici dans un transfert hors UE et un point de conformité assez discutable au regard du RGPD. La mise en œuvre de CCT est très complexe depuis Schrem II.

Concrètement sur ce point, les CHATONS européens sont soumis au RGPD, de ce fait, les transferts de données personnelles (donc, dès qu’on trouve même que l’IP de l’utilisateur) hors-UE (pas seulement le lieu d’hébergement/stockage, mais la juridiction à laquelle est soumise le sous-traitant/destinataire) doivent être encadrés :

• soit par une décision d’adéquation avec l’UE : actuellement, tout l’EEE, la Suisse, l’Israël, le Japon, l’Angleterre, … (liste complète ici : Adequacy decisions)
• soit par des clauses contractuelles types signées entre le CHATONS et son sous-traitant… attention, certains modèles ne correspondent pas à ceux proposés par le CEPD (Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne)
• soit une adéquation partielle : à ma connaissance, aujourd’hui, le Canada si un contrat commercial existe entre le CHATONS et le sous-traitant canadien

Le reste n’est pas encadré, il demande un consentement exceptionnel (donc, difficile d’avoir une « exception » pour un compte utilisateur d’un service SaaS d’un CHATONS qui héberge sur Google Cloud par exemple… l’exception, c’est vraiment un transfert unique). Ceci signifie clairement que sans cadre juridique valide, le transfert est illégal et il expose le CHATONS à des sanctions par la CNIL. La question de fond est quid de l’image de l’ensemble du collectif si un jour un CHATONS se fait épingler ?

Pour la question évoquée avec AWS et le SMTP, il faudrait dans ce cas que, outre la justification déjà exposée sur Git soit clairement exposée (démontrant le côté « nécessaire » à ce jour) et que les documents légaux (CCT notamment, contrat de sous-traitance « DPA »…) soient mis à disposition avec la candidature.

Les mentions d’informations publiques doivent elles-aussi préciser ces transferts hors Union européenne.

À nouveau, je suis entièrement d’accord avec toi sur la question légale : certains candidats tout comme certains CHATONS sont hors des clous.

Cela dit, je pense que notre rôle en tant que membre du collectif est de vérifier si les candidats sont conformes à la Charte, et pas à la loi (et toutes ses dispositions). Aucun critère ne nous oblige à vérifier le respect de la loi française et des règlements européens.

Il y a bien quelques critères qui reprennent des conditions légales : on vérifie si le CHATONS a bien des CGU, des mentions légales, on est bien plus tatillon que la loi en la matière de la gestion des données personnelles, mais il y a plein de points qu’on ne vérifie pas (et heureusement, sinon, il nous faudrait une équipe de juristes et 6 mois de plus pour l’étude des candidatures).

La Charte devrait-elle exiger le respect du RGPD ?

En mettant de côté le fait que cette question me semble hors de la portée de cette présente révision, être conforme au RGPD et aux autres textes législatifs est un objectif vers lequel je pense que tous les CHATONS devraient tendre (à condition qu’elles n’entrent pas en contradiction avec l’objet même de la structure)… Mais c’est super dur, d’être conforme au RGPD !

• Il faut définir la finalité de chaque donnée collectée ;
• Choisir une base légale pour les collecter ;
• Définir une durée de conservation de chaque donnée ;
• Garantir le droit d’accès sur demande à toutes ces données ;
• Garantir le droit à l’oubli (y compris dans les backups) ;
• S’assurer que le délai de rétention des données est bien respecté ;
• Désigner un·e DPO (former læ DPO !) ;
• Ajouter des processus d’anonymisation de comptes… (et tout ça, pour chaque service hébergé !)

Il est parfois même nécessaire de modifier les services hébergés pour les adapter à toutes les dispositions cette réglementation (ex: Matrix n’est pas conforme RGPD), et il me semble assez indispensable d’avoir l’assistance d’un·e juriste (formé·e RGPD) pour garantir le respect de toutes ces dispositions.

Pour le coup, les GAFAM ont eu l’arsenal juridique et technique nécessaire pour se mettre en conformité très rapidement, du moins sur l’essentiel. Du côté du libre, même Frama n’est pas encore totalement conforme au RGPD, et je pense que je ne me mouille pas trop en affirmant que peu de CHATONS le sont.

Il me semble plus réaliste que l’on se contente de la vérification du respect de la charte, en s’assurant que les écarts du candidat CHATONS vis-à-vis du traitement des données personnelles est raisonnable et réfléchi, que le candidat a bien examiné les alternatives qui existent, etc.

Alors, il y a être conforme, en cours de conformité et clairement non-conforme (sous-traitant avec transferts hors-UE non encadré par ex., là, clairement, c’est assez rédhibitoire).

Pour la désignation d’un.e DPO, ce n’est pas obligatoire pour une structure qui a moins de 250 employés ou qui ne traite ni données sensibles (au sens de l’article 9) ni à très grande échelle. Les CHATONS restent de petites structures qui n’ont donc pas l’obligation de désigner un DPO ni de tenir un registre des traitements exhaustif (mais pour les services intervenant en sous-traitance si… là, il faut un registre de sous-traitant). Par contre, registre exhaustif ou non, DPO ou non, dans tous les cas il y a un responsable du traitement (le DPO n’est que le « moniteur d’autoécole » dans l’histoire… c’est le RT qui fait TOUT en théorie).

Il faut prévoir aussi ces clauses dans les contrats et conventions. Après, étant DPO, c’est assez facile pour moi d’avancer sur le sujet avec mon CHATONS (c’est pratique quand on a accès aux formations de la CNIL et de l’AFCDP…) mais ça prend beaucoup de temps.

Petit point de vigilance, ne pas confondre protection des données au sens RGPD et données personnelles au sens de la charte.

Digressions

Les 2 aspects de la proposition

Si on repart de la proposition https://md.picasoft.net/TT7py9htTmOZmvvMQ6aKPA?view=#Ouverts

• remplacer le critère de moyen « être root » par un critère de résultat « avoir un niveau de contrôle technique suffisant sur ses services et son infrastructure ». Avec toujours la recommandation de tendre vers un contrôle le plus total de son infra et de ses services.
• remplacer le critère « un chaton doit utiliser 100% logiciel libre » en un critère comme quoi « un chaton devrait tendre vers le 100% logiciel libre les exceptions devant être validées par le collectif ».

La question de fond, c’est donc sommes-nous d’accord sur ces 2 aspects de la proposition ?

Le présupposé c’est que le collectif pourra ainsi intégrer des initiatives proches de notre idéal mais qui ont des contraintes qui ne peuvent être résolues immédiatement. Le collectif sera donc juge si c’est acceptable vis à vis notamment de ce qu’attends le public du collectif qui voit souvent CHATONS comme un label…

Chères futures plumes de ce thread, je vous propose, pour une discussion plus efficace, d’exprimer un désaccord en faisant une contre-proposition.
@cpm, tu as écrit 3 longs posts sur le sujet « libre=fsf », et @garthh, 5 posts sur le sujet des réseaux sociaux.
Pour l’instant, vous n’avez pas fait de contre-proposition claire, ça ne fait donc pas avancer le travail

Pour ce qui est de la proposition radicalement différente de @quentin pour une vraie et exigeante application du libre, si la discussion doit continuer, elle aura en effet plus sa place dans un nouveau fil.

Si vous êtes en désaccord complet avec les propositions qui sont faites, s’il vous plait, ne détournez pas la conversation. Il vous suffira de voter contre la proposition quand elle aura abouti.

Je m’interroge sur le préambule de la partie « Ouvert »,

nous devrions sans doute le modifier par

Est-ce que le vote aura lieu point par point ou sur l’ensemble des changements ?
Par exemple je suis en accord avec la plupart des propositions de modifications, saufs celles qui touchent à rendre les logiciels libres optionnels.
Est-ce qu’on pourra faire un vote en plusieurs parties ?

Concernant le point

• le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;

Est-ce qu’on définit les règles pour définir les exceptions dès maintenant ?

Auquel cas, plusieurs points d’alerte me viennent à l’esprit (on réfléchissait à la question de l’intégration d’une ferme « FoundryVTT » en service).

Restitution des données

Si le service est mis à disposition avec un service non-libre qui n’a pas d’équivalent open source, le CHATONS doit démontrer qu’il sera en capacité de restituer les données de l’hébergé.

ex, avec FoundryVTT, il est possible de retransmettre le dossier « monde » et la liste des modules utilisés

• Problématique : quid des licences « indispensable » à la réutilisation des données, notamment du logiciel concerné (ici, donc, une licence FoundryVTT) et des extensions payantes utilisées… on a déjà des pistes et idées pour certains logiciels libres qui reposent sur des extensions « pretium » genre extensions payantes Wordpress

Transferts pouvant compromettre la propriété des données

Là, on rejoint la problématique du RGPD (garantie des droits sur les DCP et collectes indirectes d’un sous-traitant non fiable) et l’éventuelle réplication de données ailleurs pour d’autres usages (entrainement d’IA, par exemple, la collecte d’images qui finissent retransmises dans les datasets de Midjourney…).

Le CHATONS qui utilise un service non-libre qui n’a pas d’équivalent open source doit démontrer qu’il n’existe pas de transferts de données qui pourrait porter atteinte à la propriété qu’a l’hébergé de ses données.

je pense que ces deux critères permettent facilement de juger d’une solution non-libre qui pourrait être acceptable (toujours si aucun équivalent libre n’existe). Vous voyez d’autres choses ?