Bonjour,
- le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;
Alors, jusqu’où va-t-on ? L’histoire de MongoDB par exemple est assez discutable, si l’OSI ne la reconnaît pas comme une licence libre, l’impact du changement de licence reste nul pour les CHATONS à mon sens. De mon point de vu, la licence de MongoDB est une licence libre.
Quels critères pour considérer qu’un logiciel « n’a pas d’alternative libre » ? Un cas, dans l’association, nous sommes bloqué sur le service pour faire des parties en ligne. A ce jour, les ténors du domaine sont des services tiers plus ou moins respectueux (transferts hors-UE, stockage des données sur des Cloud GAFAM…) et se distingue un logiciel « non-libre » appelé FoundryVTT qui est proposé sous forme d’une application JS hébergeant son serveur de jeu. Il peut être exécuté sur son poste, mais aussi sur un serveur. Les sources sont accessibles dès qu’on a payé le logiciel, mais il n’est pas diffusé sous licence libre un grand nombre de modélisation de systèmes de jeu sont diffusés sous licence libre (https://foundryvtt.com/article/license/). Le logiciel libre équivalent, Rolisteam, est inutilisable et plus ou moins abandonné… dans ce cas : prévoir que le CHATON dispose de la maîtrise totale des données de ses utilisateurs est je pense le pré requis le plus important. Il faudra donc que le candidat démontre qu’il est maître des données, qu’aucun transferts non maîtrisé existe (par ex, une exfiltration des données pour analyse sur un service tiers… bonjour Akismet de Wordpress) et qu’il n’existe pas d’alternatives open-sources cohérente et crédible à ce jour.
Après, est-ce qu’on tolère des services comme Teamspeak alors que pour le coup il y a pléthore de logiciels libres qui en font tout autant et aussi bien. Le risque… avec tout ça, on pourrait faire passer un Microsoft Office Online Server pour parfaitement clean et tolérable (qui même On Premise cause à papa sans cesse depuis le navigateur client… perdu pour la souvraineté numérique et le non-partage de données hors-UE).
- le chaton ne fait pas la promotion des réseaux sociaux publicitaires et évite de mettre du contenu exclusif sur les réseaux sociaux publicitaires
Totalement, je pense que ce point de vue reste pour moi rédhibitoire. Par contre, la notion « réseau social publicitaire » me dérange. Il faudrait l’étendre et apporter plus de précision, sinon, le moindre « serveur Discord » ou « chaîne Youtube » pourrait devenir un point de communication tolérable pour un CHATONS. Pour rappel, Discord se vente de ne pas diffuser de publicité… mais appartient à Tencent et partage ses données avec ses financeurs (donc, Tencent). La diffusion prioritaire et systématique sur un espace libre et accessible doit être un pré requis « de base ».
Les conditions devraient être que les points de communication numérique ne doivent pas imposer à leur simple visiteur, la détention d’un compte pour accéder aux informations (Discord, Instagram, Facebook, LinkedIn où, même ceux qui n’impose pas la création d’un compte rapidement le suggère de façon très insistante) et n’expose aucune donnée personnelle du visiteur à la plateforme de diffusion autre que les données strictement nécessaires pour fournir le service (en gros, l’IP… le reste : pas de pub, pas de cookies tiers, par de pisteurs intersites, hoho, Youtube). Bref, aller causer CHATONS sur Facebook, ça permet de sensibiliser 2/3 de la population française, mais il serait quand même bien que l’info se trouve aussi ailleurs en intégralité. Disposer de points de communication sur le Fediverse devraient être une obligation.
Pour Osuny, la seule source d’information était LinkedIn au moment de mon vote. Si on juge que Facebook est l’enfer… LinkedIn est l’abîme sans fond menant directement aux sources du mal le plus absolu Par contre, je ne voie pas de mal à ce qu’un CHATON double exactement sa com’ sur LinkedIn et sur Mastodon (et si les afficionados de LinkedIn peuvent ne pas venir transformer Mastodon en LinkedIn2, c’est pas trop mal non plus… de toute façon, la grande majorité des chartes interdisent la pub et le démarchage… soit 99% des contenus de LinkedIn).
- le chaton doit avoir un niveau de contrôle technique suffisant sur ses services et son infrastructure notamment pour garantir autant que possible la confidentialité des données hébergées ;
Ça, c’est mon quotidien pro de DPD d’un service de l’état qui a l’obligation de souveraineté numérique (doctrine Cloud au Centre et SecNumCloud). Je ne compte plus le nombre de sous-traitant qui nous explique qu’un simple DPA permet de transférer des données hors Union européenne. Je vais remettre ma casquette de militant : le point sur lequel le Privacy Shields a été invalidé par Schrems est l’accès aux données aux services de renseignements US… Cessons d’êtres hypocrites, le vrai problème reste l’alimentation du big data des annonceurs publicitaires totalement légal aux US (et je peux même mettre ma casquette de militant écolo : est-ce qu’on a encore la légitimité de rejeter du CO2 pour traiter des données publicitaires ?).
Donc, si un DPA avec AWS ou Azure donne au RT la possibilité d’être dédommagé et informé en cas d’accès aux données par les autorités administratives américaines, ça reste très cool sur la transmission de n’importe quelle données « anonymisée » (oui, enfin… un profil sans le nom, c’est pas de l’anonymat pour le RGPD) à un repreneur, un partenaire commercial ou toute société liée.
Installer son OS, chiffrer son HDD et être le seul à avoir le compte root reste la seule garantie à ce jour pour s’assurer que personne n’accède aux données… ou être hébergé en Europe chez un hébergeur qui est soumis aux mêmes lois que nous.
« garantir autant que possible la confidentialité des données hébergée » demandera à rédiger une grille d’évaluation très précise sur le sujet. Si vous avez besoin, je peux y contribuer.
Pour l’histoire du CDN « respectueux », je suis à fond pour ! Et, ça serait intéressant de commencer à réfléchir à des communs numérique : serveur TURN/STUN… et pourquoi pas des data centers mutualisés éco-responsables et low-tech ?