Amendement de la charte pour l'allégement de la clause root et de la clause 100% libre

Attention, on est bien ici dans un transfert hors UE et un point de conformité assez discutable au regard du RGPD. La mise en œuvre de CCT est très complexe depuis Schrem II.

Concrètement sur ce point, les CHATONS européens sont soumis au RGPD, de ce fait, les transferts de données personnelles (donc, dès qu’on trouve même que l’IP de l’utilisateur) hors-UE (pas seulement le lieu d’hébergement/stockage, mais la juridiction à laquelle est soumise le sous-traitant/destinataire) doivent être encadrés :

  • soit par une décision d’adéquation avec l’UE : actuellement, tout l’EEE, la Suisse, l’Israël, le Japon, l’Angleterre, … (liste complète ici : Adequacy decisions)
  • soit par des clauses contractuelles types signées entre le CHATONS et son sous-traitant… attention, certains modèles ne correspondent pas à ceux proposés par le CEPD (Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne)
  • soit une adéquation partielle : à ma connaissance, aujourd’hui, le Canada si un contrat commercial existe entre le CHATONS et le sous-traitant canadien

Le reste n’est pas encadré, il demande un consentement exceptionnel (donc, difficile d’avoir une « exception » pour un compte utilisateur d’un service SaaS d’un CHATONS qui héberge sur Google Cloud par exemple… l’exception, c’est vraiment un transfert unique). Ceci signifie clairement que sans cadre juridique valide, le transfert est illégal et il expose le CHATONS à des sanctions par la CNIL. La question de fond est quid de l’image de l’ensemble du collectif si un jour un CHATONS se fait épingler ?

Pour la question évoquée avec AWS et le SMTP, il faudrait dans ce cas que, outre la justification déjà exposée sur Git soit clairement exposée (démontrant le côté « nécessaire » à ce jour) et que les documents légaux (CCT notamment, contrat de sous-traitance « DPA »…) soient mis à disposition avec la candidature.

Les mentions d’informations publiques doivent elles-aussi préciser ces transferts hors Union européenne.

À nouveau, je suis entièrement d’accord avec toi sur la question légale : certains candidats tout comme certains CHATONS sont hors des clous.

Cela dit, je pense que notre rôle en tant que membre du collectif est de vérifier si les candidats sont conformes à la Charte, et pas à la loi (et toutes ses dispositions). Aucun critère ne nous oblige à vérifier le respect de la loi française et des règlements européens.

Il y a bien quelques critères qui reprennent des conditions légales : on vérifie si le CHATONS a bien des CGU, des mentions légales, on est bien plus tatillon que la loi en la matière de la gestion des données personnelles, mais il y a plein de points qu’on ne vérifie pas (et heureusement, sinon, il nous faudrait une équipe de juristes et 6 mois de plus pour l’étude des candidatures).

La Charte devrait-elle exiger le respect du RGPD ?

En mettant de côté le fait que cette question me semble hors de la portée de cette présente révision, être conforme au RGPD et aux autres textes législatifs est un objectif vers lequel je pense que tous les CHATONS devraient tendre (à condition qu’elles n’entrent pas en contradiction avec l’objet même de la structure)… Mais c’est super dur, d’être conforme au RGPD !

  • Il faut définir la finalité de chaque donnée collectée ;
  • Choisir une base légale pour les collecter ;
  • Définir une durée de conservation de chaque donnée ;
  • Garantir le droit d’accès sur demande à toutes ces données ;
  • Garantir le droit à l’oubli (y compris dans les backups) ;
  • S’assurer que le délai de rétention des données est bien respecté ;
  • Désigner un·e DPO (former læ DPO !) ;
  • Ajouter des processus d’anonymisation de comptes… (et tout ça, pour chaque service hébergé !)

Il est parfois même nécessaire de modifier les services hébergés pour les adapter à toutes les dispositions cette réglementation (ex: Matrix n’est pas conforme RGPD), et il me semble assez indispensable d’avoir l’assistance d’un·e juriste (formé·e RGPD) pour garantir le respect de toutes ces dispositions.

Pour le coup, les GAFAM ont eu l’arsenal juridique et technique nécessaire pour se mettre en conformité très rapidement, du moins sur l’essentiel. Du côté du libre, même Frama n’est pas encore totalement conforme au RGPD, et je pense que je ne me mouille pas trop en affirmant que peu de CHATONS le sont.

Il me semble plus réaliste que l’on se contente de la vérification du respect de la charte, en s’assurant que les écarts du candidat CHATONS vis-à-vis du traitement des données personnelles est raisonnable et réfléchi, que le candidat a bien examiné les alternatives qui existent, etc.

Alors, il y a être conforme, en cours de conformité et clairement non-conforme (sous-traitant avec transferts hors-UE non encadré par ex., là, clairement, c’est assez rédhibitoire).

Pour la désignation d’un.e DPO, ce n’est pas obligatoire pour une structure qui a moins de 250 employés ou qui ne traite ni données sensibles (au sens de l’article 9) ni à très grande échelle. Les CHATONS restent de petites structures qui n’ont donc pas l’obligation de désigner un DPO ni de tenir un registre des traitements exhaustif (mais pour les services intervenant en sous-traitance si… là, il faut un registre de sous-traitant). Par contre, registre exhaustif ou non, DPO ou non, dans tous les cas il y a un responsable du traitement (le DPO n’est que le « moniteur d’autoécole » dans l’histoire… c’est le RT qui fait TOUT en théorie).

Il faut prévoir aussi ces clauses dans les contrats et conventions. Après, étant DPO, c’est assez facile pour moi d’avancer sur le sujet avec mon CHATONS (c’est pratique quand on a accès aux formations de la CNIL et de l’AFCDP…) mais ça prend beaucoup de temps.

Petit point de vigilance, ne pas confondre protection des données au sens RGPD et données personnelles au sens de la charte.

Digressions

Actions face au phénomène des non-logiciels libres

Si jamais, toute contribution sur le sujet pour alimenter la curation de la liste d’apps de YunoHost est bienvenue. Chaque app peut comporter une liste d’anti-fonctionnalités qui est affichée comme tel.

https://github.com/YunoHost/apps/blob/master/apps.toml#L820

On notera que la charte CHATONS propose déjà de faire cette curation et cette information, puisque si il y a un os, les utilisateurices sont censées en être informées par le chaton.

On pourrait d’ailleurs imaginer des synergies.

L'accompagnement comme pansement

J’en suis pas si sûr, et pourtant ARN (et Hackstub) sont assez actives sur l’accompagnement. Je dirais qu’on a une moyenne de 2 ateliers ou conférences par mois depuis 7 ans (sans parler des stands et des permanences).

Je me méfie de l’idée de considérer que l’accompagnement doit servir à contourner la complexité de « nos » propres constructions, qu’elles soient logicielles, juridiques, sémantiques…

Un exemple: on peut former des personnes pendant 3h pour leur apprendre à configurer Firefox (ce qu’ARN fait), mais on pourrait aussi se dire que c’est le logiciel qui a un soucis, si, par défaut, il ne protège pas (cf la conférence gesticulée « Informatique ou Libertés » de Lunar). Du coup, peut-être faut-il former en 1h avec le navigateur Mullvad (ou autre) ? Ou utiliser cette énergie pour discuter avec mozilla ?

Il faut pas perdre de vue que l’informatique c’est compliqué pour plein de monde.

Les 2 aspects de la proposition

Si on repart de la proposition https://md.picasoft.net/TT7py9htTmOZmvvMQ6aKPA?view=#Ouverts

  • remplacer le critère de moyen « être root » par un critère de résultat « avoir un niveau de contrôle technique suffisant sur ses services et son infrastructure ». Avec toujours la recommandation de tendre vers un contrôle le plus total de son infra et de ses services.
  • remplacer le critère « un chaton doit utiliser 100% logiciel libre » en un critère comme quoi « un chaton devrait tendre vers le 100% logiciel libre les exceptions devant être validées par le collectif ».

La question de fond, c’est donc sommes-nous d’accord sur ces 2 aspects de la proposition ?

Le présupposé c’est que le collectif pourra ainsi intégrer des initiatives proches de notre idéal mais qui ont des contraintes qui ne peuvent être résolues immédiatement. Le collectif sera donc juge si c’est acceptable vis à vis notamment de ce qu’attends le public du collectif qui voit souvent CHATONS comme un label…

2 « J'aime »

Chères futures plumes :feather: de ce thread, je vous propose, pour une discussion plus efficace, d’exprimer un désaccord en faisant une contre-proposition.
@cpm, tu as écrit 3 longs posts sur le sujet « libre=fsf », et @garthh, 5 posts sur le sujet des réseaux sociaux.
Pour l’instant, vous n’avez pas fait de contre-proposition claire, ça ne fait donc pas avancer le travail :sweat_smile:

Pour ce qui est de la proposition radicalement différente de @quentin pour une vraie et exigeante application du libre, si la discussion doit continuer, elle aura en effet plus sa place dans un nouveau fil.

Si vous êtes en désaccord complet avec les propositions qui sont faites, s’il vous plait, ne détournez pas la conversation. Il vous suffira de voter contre la proposition quand elle aura abouti.

6 « J'aime »

Je m’interroge sur le préambule de la partie « Ouvert »,

nous devrions sans doute le modifier par

1 « J'aime »

Est-ce que le vote aura lieu point par point ou sur l’ensemble des changements ?
Par exemple je suis en accord avec la plupart des propositions de modifications, saufs celles qui touchent à rendre les logiciels libres optionnels.
Est-ce qu’on pourra faire un vote en plusieurs parties ?

1 « J'aime »

Concernant le point

  • le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;

Est-ce qu’on définit les règles pour définir les exceptions dès maintenant ?

Auquel cas, plusieurs points d’alerte me viennent à l’esprit (on réfléchissait à la question de l’intégration d’une ferme « FoundryVTT » en service).

Restitution des données

Si le service est mis à disposition avec un service non-libre qui n’a pas d’équivalent open source, le CHATONS doit démontrer qu’il sera en capacité de restituer les données de l’hébergé.

ex, avec FoundryVTT, il est possible de retransmettre le dossier « monde » et la liste des modules utilisés

  • Problématique : quid des licences « indispensable » à la réutilisation des données, notamment du logiciel concerné (ici, donc, une licence FoundryVTT) et des extensions payantes utilisées… on a déjà des pistes et idées pour certains logiciels libres qui reposent sur des extensions « pretium » genre extensions payantes Wordpress

Transferts pouvant compromettre la propriété des données

Là, on rejoint la problématique du RGPD (garantie des droits sur les DCP et collectes indirectes d’un sous-traitant non fiable) et l’éventuelle réplication de données ailleurs pour d’autres usages (entrainement d’IA, par exemple, la collecte d’images qui finissent retransmises dans les datasets de Midjourney…).

Le CHATONS qui utilise un service non-libre qui n’a pas d’équivalent open source doit démontrer qu’il n’existe pas de transferts de données qui pourrait porter atteinte à la propriété qu’a l’hébergé de ses données.

je pense que ces deux critères permettent facilement de juger d’une solution non-libre qui pourrait être acceptable (toujours si aucun équivalent libre n’existe). Vous voyez d’autres choses ?

Section « Ouverts », préambule

Bien vu. Tant qu’à faire, Je rajouterais même :


Vote en plusieurs parties

Mon but était justement de soumettre aux votes une contre-proposition à la clause « 100% logiciel libre », en modifiant également les clauses adjacentes / liées (100% formats ouverts, 100% réseaux sociaux libres). Pour moi c’est le but de cette révision, et c’est aussi la raison pour laquelle il me semble pertinent d’en délimiter sa portée : c’est pour éviter le vote en plusieurs parties, qui ne sera pas pratique à mettre en œuvre.

Je pense que le vote final sera donc du « tout ou rien », et si la révision n’est pas adoptée, on repassera par la suite sur les critères qui font plus l’unanimité que les autres.


Clause « restitution des données »

Ta proposition me semble déjà couverte par ce critère existant, section « Ouverts » :

le CHATON s’engage à faciliter la possibilité pour les hébergées à quitter ses services avec les données associées dans des formats ouverts ;

À la différence que les formats de données ne seraient peut-être pas ouverts dans le cas d’un logiciel propriétaire comme FoundryVTT. Plutôt que d’ajouter une clause potentiellement redondante, peut-être qu’on peut adapter l’existante pour prévoir ce cas ?


Ta suggestion conviendrait dans le cas d’utilisation de logiciels comme FoundryVTT ou Teamspeak, mais ne prend pas du tout en compte les services propriétaires (non auto-hébergées) qui induisent de fait un transfert de données. Je pense aux cas où le candidat CHATONS déclare ne pas avoir le choix d’utiliser des services propriétaires pour faire fonctionner ses services, comme dans les cas de Paheko avec le mail AWS ou d’Osuny avec Netlify et KeyCDN. On sera sans doute amené·es à voir plus de cas dans ce genre avec des déploiements « industrialisés » / à grande échelle.

Attention : l’idée n’est pas de faire rentrer l’usage de ces services-là dans les clous de la Charte (et encore moins de les encourager), mais je pense que c’est important de ne pas les rendre éliminatoires de fait, et de laisser les CHATONS décider pendant le vote, d’où cette proposition qui nous laisse assez de flexibilité :

le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;

Je passais tout d’abord pour féliciter @neil de sa proposition très claire et de sa persévérance. Je serai là au camp CHATONS pour faire ladite proposition finale.

Je ne suis pas sûr que vous ayez compris la contribution de Quentin. Je crois qu’elle exprimait surtout beaucoup de sel suite à une prise de position fervente. Moi j’en retiens :

À la vue des différentes publications de la FSF/FSE/GNU, il me semble intenable de continuer à utiliser le terme « libre » au sein du collectif CHATONS : nous enfreignons bien trop de règles. J’appelle donc à une modification importante de la charte pour se mettre en conformité avec les différents textes et propos tenus par les tenants de ces différentes organisations ou à abandonner le terme au profit d’un autre, comme « communs numériques ».

Le petit malin—c mon cop1 (é.è)—a pondu une charte extrémiste du libre, plutôt que d’élaborer sur la proposition sérieuse. Et en effet @neil tu noteras que ta requête initiale (« descends de tes grands chevaux tout de suite, chevalier GNU ») n’a pas suffi. On finit toujours face à un mur. Avouons d’entrée qu’en tant que militant⋅e, nous avons beaucoup de travail et très peu de temps à perdre dans ces débats abscons.

Accordons donc le point à Quentin, voguons loin des rivages maudits, et approprions-nous la notion de « communs ». Je suggère de ne pas employer les mots « logiciel libre » dans la charte. Sauf si l’on veut dire cité libre, chute libre, association libre, corps libre, partie libre, esprit libre, surface libre, ballon libre, cristaux libres, escalade libre ou voyelle libre.
Ne soyez pas dépité⋅es, la Commune a beaucoup plus de gueule que la statue de la Liberté.

PS :

Logiciel libre = plat cuisiné au four avec des lentilles.

Je recommande le très bon article livre « Quand la militance déconne » de Viciss Hackso.

3 « J'aime »

Je suis d’accord avec @neil, il est trop tôt pour conclure que le collectif refuse l’esprit de cette proposition.

Et personnellement, je préfère 500 très bon chatons qui dégooglisent plusieurs millions de personnes (et dont les défaut ont semblé mineur aux yeux du collectifs), plutôt qu’une centaine de parfait petit chatons qui dégooglisent quelques centaines de milliers de personnes. ET je pense que je ne suis pas le seul.

6 « J'aime »

Je ne voulais pas dire ça. Je pense qu’on tombe d’accord ! Motivé⋅es par le fait qu’on a lavé notre linge sale en public au sujet de notre Charte pendant un vote de portée :stuck_out_tongue:

Ya ~10 messages sur ce fil qui sont dédiés à poser son opinion sur la gueule de l’autre au sujet de « logiciel libre ». (Bien sûr j’en fais des caisses et certain⋅es débattent ici dans le respect.) Soit 15%+ du sujet, et c’est pas les messages les moins longs. On ferait bien d’avancer avant d’en venir aux mains (ou plus vraisemblablement de couler cette proposition importante).

Moi je suis content de notre avancement sur cette révision de la Charte.
Je propose d’envoyer un mail (que je peux écrire) pour informer de la discussion et laisser encore une semaine pour proposer des modifs, puis de mettre la nouvelle Charte en application. Il sera encore temps de revenir dessus une fois qu’elle aura fait son baptême du feu (à l’occasion d’une nouvelle adhésion par exemple).

Y a-t-il une raison particulière qui t’amène à penser qu’il est nécessaire de précipiter le calendrier ? Peut-être car tu penses que nous en « viendrions aux mains » si nous ne précipitons pas ce changement ? :smile:

J’ai proposé un atelier au camp CHATONS pour produire cette « version finale » de la charte révisée, le pad actuel ne comprend pas toutes les suggestions de ce thread et je pense que certaines mériteraient d’être rapidement tranchées en plus grand nombre : les propositions légèrement divergentes sur les réseaux sociaux, des critères légaux qu’on n’est pas sûr·es d’ajouter car certains s’éloignent un peu du sujet de la révision, également quelques questions de formulations et de termes…

Je prévois de venir au Camp avec des propositions sous la forme de questions fermées pour que nous ayons juste à choisir / voter parmi plusieurs formulations proposées, en évitant de créer de nouvelles propositions qui ne sont pas déjà données dans ce thread et ainsi, espérons, finir dans les 1h30 impartis.

Avec les nombreux éléments de réflexion qu’ont suscité cette proposition, j’ai bon espoir que cet atelier se déroule comme prévu. :slight_smile:

C’est gentil de proposer, mais je suis personnellement assez critique de cette démarche, récemment employée pour influencer les votes de portées. Je pense qu’on pourra se permettre de ping de tout le monde sur le forum lorsqu’on soumettra cette proposition aux votes, et qu’on n’aura pas donc pas besoin de recourir à un autre outil que le forum.

Oh, un calendrier ! :eyes: … Pardon, je l’avais oublié, et je l’ai pas retrouvé en scrollant à la vitesse de l’éclair.
Oui, je suis inquiet de nous voir nous engouffrer dans des échanges peu fructueux, et même peu respectueux. On a posté le lien vers beaucoup d’initiatives qui ont été enterrées, cette dernière semaine. Et j’aimerais pas que ça arrive à celle-ci (quelle qu’en soit l’issue).

Oubliez-moi, continuons à nous trucider jusqu’au 7 août !
Retourne en hurlant vers la cohue avec sa masse d’armes. [Vous la sentez l’influence de Pratchett ?]

1 « J'aime »

Bonjour,

Je vous encourage à suivre les recommendations de @ppom et à ne pas détourner la conversation du sujet principal :

Le processus de révision accueille toujours des remarques constructives et des suggestions de modification pour enrichir la proposition finale. Si vos commentaires ne portent ni sur des interrogations ou des propos constructifs, ni sur des suggestions de modification, je vous enjoins à créer un nouveau thread pour cela ou à discuter en privé.

Si vous êtes radicalement opposé·e à cette révision et qu’il n’y a selon vous pas de discussion possible, notamment sur la question du critère « 100 % logiciel libre », je vous invite à ne plus poster sur ce thread. Nous nous reverrons aux votes :slight_smile:

1 « J'aime »

Suite aux demandes formulées sur ce topic et venant de personnes d’avis divergents, j’ai pris la liberté de scinder en 2 ce topic avec d’un côté les propositions de modifications et de l’autre le débat de fond sur la clause 100% libre.

Je vous laisse ouvrir un sujet si vous voulez parler du débat de fond sur le contrôle de l’infra (= faut-il continuer à exiger ou non un accès root ?) ou d’autres modifications ou questions de fond sur la charte.

Il semble légitime de laisser un moyen de communication fonctionnel permettant la coordination des personnes qui souhaitent porter une proposition de réécriture. Sans quoi il ne faut pas s’étonner que d’autres threads fassent des appels à contribution sur des dispositifs en dehors de ce forum :roll_eyes:

3 « J'aime »

4 messages ont été scindés en un nouveau sujet : Identifier les points de friction

@quentin : Je ne doutais pas que tu interprètes correctement mon message :wink: comme je pense aussi bien comprendre ta position. Pour autant, j’ajoute une petite couche sur la forme pour te demander de continuer tes explications sur le topic créé par @ljf (https://forum.chatons.org/t/faut-il-des-exceptions-pour-la-clause-100-libre/5015). Laissons celui-ci à ceux qui, comme @neil, souhaitent faire des propositions concrètes d’évolution de la charte.
C’est pas tout ça, mais j’ai un défilé qui m’attend :rofl: