Oui, ça ok, mais le fond de l’information doit être présente de façon similaire d’un côté et de l’autre. Le problème de fond est là. On ne peut pas forcer les utilisateurs à avoir un compte Instagram, LinkedIn et autre pour avoir une information particulière, la forme est un point secondaire. Qu’on adapte pour matcher les codes des différents RS, c’est autre chose (là, oui, le travail d’un CM), mais le public n’a pas à devoir disposer d’un compte sur un RS tel que Facebook ou autre. Au passage, il n’est pas totalement légal d’exclure d’une information un utilisateur d’un service parce qu’il n’a pas consenti à créer un compte sur une plateforme soumise au consentement (je cible particulièrement les logiciels libres et autres communautés utilisant Discord pour leur support).
Tu cibles (à raison) une autre problématique qui reste très liée, et il me semble effectivement important de proposer des critères en ce sens. Ça me semble également entrer dans la portée de cette révision, car certaines personnes considèrent que le critère « 100 % logiciel libre » s’applique également aux plateformes de communication.
Concernant l’usage des réseaux sociaux de manière générale, je viens donc avec de nouvelles propositions en adaptant la proposition de ljf et tes remarques.
Je m’inspire également de cet extrait du Manifeste CHATONS, section 2.3 « Solidarité et essaimage » :
Les membres du CHATONS ne doivent cependant pas demeurer dans un entre-soi qui ne satisfera qu’un nombre limité de personnes, générateur de discrimination dans l’accès aux services. Au contraire, tous les efforts de communication envers le public sont encouragés de manière à essaimer les solutions d’hébergement libres et créer du lien autour des principes défendus par le collectif. Les moyens doivent être mutualisés et peuvent passer par des formations, des séances d’information publiques, la tenue de stands lors de diverses manifestations, des interventions lors de conférences, la publication de plaquettes, etc.
Proposition de solution :
Critères requis
- le CHATONS s’engage à proposer un moyen de suivre ses actualités en dehors de plateformes propriétaires (via son site web, par exemple) ;
- le CHATONS s’engage à proposer un moyen de contact qui ne nécessite pas de créer un compte sur une plateforme tierce ;
- le CHATONS s’engage à promouvoir des solutions d’hébergement libres dans sa communication externe ;
Critères recommandés
- le CHATONS doit utiliser uniquement des logiciels libres dans sa communication interne et externe ;
Explication de la solution :
- Suivi des actualités : Un CHATONS qui communiquerait uniquement via un réseau social centralisé (ex: Facebook) ne serait pas compatible avec cette clause, mais s’il publie ses actualités sur son site web, c’est bon. S’il utilise des réseaux sociaux libres comme Mastodon, ça marche aussi (pas mal de CHATONS n’utilisent pas leur site comme un blog).
- Sur le moyen de contact : ça n’exclut pas de facto un CHATONS qui aurait une adresse mail Gmail comme moyen de contact et c’est intentionnel : quelques CHATONS dépendent encore de Google pour les mails car c’est complexe à héberger. Une personne qui a besoin d’aide pourra envoyer un mail à une adresse Gmail sans se créer un compte chez Google, c’est l’avantage des mails. Par contre, la clause interdit d’obliger ses utilisateur·ices à créer un compte sur une plateforme tierce (ex: Discord) pour demander de l’aide au CHATONS.
- Sur la communication externe : à défaut de restreindre l’usage de plateformes propriétaires pour la communication externe (ce qui, je pense, est une mauvaise idée pour les raisons que j’ai énoncées plus haut), ce critère va dans le sens du manifeste et demande au CHATONS de promouvoir le libre sur ses réseaux, qu’ils soient propriétaires ou non. Dans ce sens, si un CHATONS se crée un compte Facebook dans l’intention d’y promouvoir ses activités (dont la promotion du libre), ce critère est validé.
- Critère recommandé : libre exclusif − je ne me permets pas de passer en critère requis l’usage de logiciels libres pour la communication interne du CHATONS, car c’est déjà assez difficile de mobiliser une équipe de bénévoles comme ça, pour qu’en plus on soit en position de leur imposer des outils. C’est d’autant plus difficile d’imposer un outil libre dans une grosse structure CHATONS, qui nécessiterait potentiellement de forcer ce choix auprès de plusieurs dizaines, voire centaines de personnes, alors que :
- la communication interne n’affecte pas directement la vie privée des utilisateur·ices du CHATONS ;
- pour moi ça rentre dans la « sphère privée » des administrateur·ices des CHATONS, et dépasse la simple activité d’hébergement ;
- utiliser des outils de communication populaires comme Discord peut être un moyen d’amener plus de personnes non-initiées vers la contribution, puis vers des usages plus sains du numérique par la suite.
Je pense que c’est vraiment le point clé ici : si on veut changer les habitudes, il faut peut être forcer un peu les gens à quitter les « mauvaises » habitudes. Les plateformes de communications non libres devraient surtout être des relais d’informations qui mènent ensuite vers les espaces « ouverts ».
Sur un sujet similaire, même si on a toujours la page « Aux Portes de l’Imaginaire », les infos sont diffusées sur Facebook et Mastodon, nos événements uniquement sur Mobilizon et relayés sur Mastodon et Facebook, la messagerie instantanée Facebook propose de nous contacter par notre adresse mail de contact (le formulaire en ligne) ou le fil public RocketChat… C’est important de je pense de profiter de ces occasions pour aller pousser les gens vers le reste du web : site, forums… notamment sans inscription, sans pub et sans éléments intrusifs.
Bonjour @garthh !
Petite précision sur la phrase « Pour Osuny, la seule source d’information était LinkedIn au moment de mon vote ». Sauf erreur de ma part, tout ce que nous publions sur LinkedIn est une republication de contenu publié sur Osuny.org. Pour être parfaitement clair sur notre fonctionnement :
- nous publions sur Actualités | Osuny | Page 1
- nous partageons l’article sur LinkedIn
Oui, @arnaudlevy, j’en conviens, mais, une publication sur un RS génère une interaction sur ce réseau, d’où l’intérêt d’avoir une page Mastodon aussi, autant alimentée.
Un visiteur d’un contenu sur un réseau social genre Linkedin ou Facebook clique rarement sur les liens, il interagit sur la page du RS où il est et va rarement plus loin. Je ne compte plus le nombre de fois où nous avons eu des critiques d’articles de contenus qui se sont limités à l’extrait « Facebook » partagé (et en regardant un peu les stats de visites, les clics depuis FB généraient surtout des visites de moins de 5 secondes pour un contenu avec un temps de lecture de 15 minutes).
LinkedIn reste pour moi le réseau social pro le plus déconcertant qui soit… il n’y a rien de social, c’est juste un espace d’auto promotion et de démarchage commercial continuel.
Je comprends, c’est vrai que c’est souvent déprimant LinkedIn…
Notre objectif est de déplacer la fenêtre d’Overton sur pas mal de sujets (ESS, SCOP et SCIC, numérique d’intérêt général, sobriété, accessibilité, logiciel libre, souveraineté, communs, post-croissance…).
C’est sur LinkedIn (et Twitter) que ça se passe ! Dire qu’il faut aller sur Mastodon et pas sur LinkedIn, c’est un peu comme si Frodon tentait de détruire l’anneau en faisant un barbecue dans la Comté. Nous aussi, on préfère l’herbe à pipe et les fêtes d’anniversaire, mais le combat est en Mordor.
La comparaison est très bonne, mais Frodon risque plus d’une fois d’y passer et ce n’est que Gollum qui détruit l’anneau à la fin (Elon Musk ???).
D’où l’intérêt de la double communication et favoriser le plus de réponse vers un réseau ouvert et libre en incitant les aficionados des réseaux centralisés à voir qu’il existe une vie viable hors de LinkedIn, Facebook et autre… c’est un peu comme libérer les rohirrims de l’influence de Sauron
Sur le thème des réseaux sociaux privateurs
La proposition de @neil de reformulation de ma proposition sur les réseaux sociaux publicitaires me semble acceptable. Du coup, j’ai changé dans la proposition compilée. Pour moi, ce que j’exprimais n’était pas interdiction de faire de la com sur Facebook, mais bien « pas d’infos exclusives » qui pourraient encourager à accepter les CGS de Facebook ou autres réseaux du même acabit.
Ceci dit, imaginer que des chatons utilisent gmail comme adresse de contact me laisse songeur… Idem pour Discord si il n’y a pas de bridge qui permettent d’éviter l’exclusion des personnes qui refusent les CGS Discord (ou Whatsapp).
J’ai toutefois mis à jour la synthèse avec cette proposition.
Sur la proposition « pour une vraie et exigeante application du libre »
Bon clairement, j’aurais pu rebondir sur plusieurs éléments de ton poste (qui pour certains sont faux), mais un topic à part ça serait bien. ET globalement, je plussoie qu’on aurait pu dissocier la question du libre de la question contrôle de l’infra pour faciliter le débat.
Je comprends le message de @quentin comme un raisonnement par l’absurde, qui a pour but de mettre en lumière qu’on dévie fortement des usages numériques recommandés par la FSF, et que s’en revendiquer pleinement est illusoire. N’hésite pas à dire si je me trompe @quentin, mais ce message n’est pas à prendre au premier degré !
Attention, avec Gmail, le CHATONS induit un transfert hors UE potentiellement non encadré (plus de Privacy Shields depuis 2020, pas de contrat « B2B » sur les comptes gmail classique, les USA ne sont pas en adéquation avec la loi européenne, et même avec les CCT proposées par Google sur Google Workspace, j’ai pas vu où on garantissait quelque part la vie privée de quiconque). Théoriquement, il faudrait une petite mention d’information avec le mail de contact disant que les données seront transmises hors-UE et prévoir que la personne n’y consente pas (refus de service ? pas d’autres solution pour poser la question ? le consentement n’est plus libre…)
Oui, le mail, c’est dur à gérer (ça fait un an que je dois séparer le serveur historique de l’époque où l’asso était un sous-espace de mon serveur perso…), mais il existe aujourd’hui assez de solutions pour des CHATONS entre l’auto-hébergement avec des solutions toutes prêtes comme docker-mailserver (un must à mon sens, fiable, configuré au poil…) ou la solution d’un hébergeur européen (comme tous ceux qui utilisent OVH, Protonmail…).
Bref, un CHATON peut-il, d’un point de vue éthique, participer à la société de surveillance et au big data publicitaire ? L’alternative aux GAFAM est là.
Je te rejoins entièrement dans l’idée : d’un point de vue légal, il y a des chances qu’un CHATONS ne soit pas raccord, en particulier dès lors qu’un service tiers a accès aux données.
On utilise docker-mailserver depuis 4 ans, je confirme qu’il est très fiable en effet, mais il nécessite quand même de l’entretien et pas mal de précautions (se faire débloquer des blocklists, surveiller la réputation du domaine…), et ne convient pas à tous les usages.
Cette question me rappelle la candidature de Paheko, où Bohwaz a tout essayé pour trouver un autre prestataire que AWS pour l’envoi de mails (même OVH), et déroule son raisonnement qui l’a mené à utiliser ce service malgré lui, en attendant de trouver une alternative libre fonctionnelle.
Et pourtant, en développant Garradin/Paheko, Bohwaz a popularisé l’utilisation d’un logiciel libre auprès de milliers d’assos, je suis donc intimement convaincu qu’on a des idées en commun et que sa structure pourrait avoir sa place parmi les CHATONS. Je pense que par son initiative, il a plus participé au libre qu’à « la société de surveillance et au big data publicitaire », bien que son service est perfectible à cause d’AWS, et que c’est important de garder ça en tête.
Ce critère que je propose, qui ne rend pas « éliminatoire » l’utilisation d’un service mail non-libre, va dans le sens de cet autre critère proposé :
le CHATON doit utiliser autant que possible des logiciels libres sur son infrastructure ainsi que pour le traitement des données hébergées, et se doit de lister sur son site web tout logiciel utilisé qui contreviendrait à ce critère. La validité de ces exceptions est laissée à l’appréciation du collectif ;
L’idée est de ne pas les rendre absolument éliminatoires à travers la charte, mais de permettre aux CHATONS de juger de la validité de cette exception et de voter pour ou contre, sans pour autant que ça entre systématiquement en contradiction avec la charte.
Ça ne nous empêche pas de voter contre ! Mais ça rend la discussion possible sur ce point, ce qui − je pense − a du sens pour une problématique comme le mail.
Attention, on est bien ici dans un transfert hors UE et un point de conformité assez discutable au regard du RGPD. La mise en œuvre de CCT est très complexe depuis Schrem II.
Concrètement sur ce point, les CHATONS européens sont soumis au RGPD, de ce fait, les transferts de données personnelles (donc, dès qu’on trouve même que l’IP de l’utilisateur) hors-UE (pas seulement le lieu d’hébergement/stockage, mais la juridiction à laquelle est soumise le sous-traitant/destinataire) doivent être encadrés :
- soit par une décision d’adéquation avec l’UE : actuellement, tout l’EEE, la Suisse, l’Israël, le Japon, l’Angleterre, … (liste complète ici : Adequacy decisions)
- soit par des clauses contractuelles types signées entre le CHATONS et son sous-traitant… attention, certains modèles ne correspondent pas à ceux proposés par le CEPD (Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne)
- soit une adéquation partielle : à ma connaissance, aujourd’hui, le Canada si un contrat commercial existe entre le CHATONS et le sous-traitant canadien
Le reste n’est pas encadré, il demande un consentement exceptionnel (donc, difficile d’avoir une « exception » pour un compte utilisateur d’un service SaaS d’un CHATONS qui héberge sur Google Cloud par exemple… l’exception, c’est vraiment un transfert unique). Ceci signifie clairement que sans cadre juridique valide, le transfert est illégal et il expose le CHATONS à des sanctions par la CNIL. La question de fond est quid de l’image de l’ensemble du collectif si un jour un CHATONS se fait épingler ?
Pour la question évoquée avec AWS et le SMTP, il faudrait dans ce cas que, outre la justification déjà exposée sur Git soit clairement exposée (démontrant le côté « nécessaire » à ce jour) et que les documents légaux (CCT notamment, contrat de sous-traitance « DPA »…) soient mis à disposition avec la candidature.
Les mentions d’informations publiques doivent elles-aussi préciser ces transferts hors Union européenne.
À nouveau, je suis entièrement d’accord avec toi sur la question légale : certains candidats tout comme certains CHATONS sont hors des clous.
Cela dit, je pense que notre rôle en tant que membre du collectif est de vérifier si les candidats sont conformes à la Charte, et pas à la loi (et toutes ses dispositions). Aucun critère ne nous oblige à vérifier le respect de la loi française et des règlements européens.
Il y a bien quelques critères qui reprennent des conditions légales : on vérifie si le CHATONS a bien des CGU, des mentions légales, on est bien plus tatillon que la loi en la matière de la gestion des données personnelles, mais il y a plein de points qu’on ne vérifie pas (et heureusement, sinon, il nous faudrait une équipe de juristes et 6 mois de plus pour l’étude des candidatures).
La Charte devrait-elle exiger le respect du RGPD ?
En mettant de côté le fait que cette question me semble hors de la portée de cette présente révision, être conforme au RGPD et aux autres textes législatifs est un objectif vers lequel je pense que tous les CHATONS devraient tendre (à condition qu’elles n’entrent pas en contradiction avec l’objet même de la structure)… Mais c’est super dur, d’être conforme au RGPD !
- Il faut définir la finalité de chaque donnée collectée ;
- Choisir une base légale pour les collecter ;
- Définir une durée de conservation de chaque donnée ;
- Garantir le droit d’accès sur demande à toutes ces données ;
- Garantir le droit à l’oubli (y compris dans les backups) ;
- S’assurer que le délai de rétention des données est bien respecté ;
- Désigner un·e DPO (former læ DPO !) ;
- Ajouter des processus d’anonymisation de comptes… (et tout ça, pour chaque service hébergé !)
Il est parfois même nécessaire de modifier les services hébergés pour les adapter à toutes les dispositions cette réglementation (ex: Matrix n’est pas conforme RGPD), et il me semble assez indispensable d’avoir l’assistance d’un·e juriste (formé·e RGPD) pour garantir le respect de toutes ces dispositions.
Pour le coup, les GAFAM ont eu l’arsenal juridique et technique nécessaire pour se mettre en conformité très rapidement, du moins sur l’essentiel. Du côté du libre, même Frama n’est pas encore totalement conforme au RGPD, et je pense que je ne me mouille pas trop en affirmant que peu de CHATONS le sont.
Il me semble plus réaliste que l’on se contente de la vérification du respect de la charte, en s’assurant que les écarts du candidat CHATONS vis-à-vis du traitement des données personnelles est raisonnable et réfléchi, que le candidat a bien examiné les alternatives qui existent, etc.
Alors, il y a être conforme, en cours de conformité et clairement non-conforme (sous-traitant avec transferts hors-UE non encadré par ex., là, clairement, c’est assez rédhibitoire).
Pour la désignation d’un.e DPO, ce n’est pas obligatoire pour une structure qui a moins de 250 employés ou qui ne traite ni données sensibles (au sens de l’article 9) ni à très grande échelle. Les CHATONS restent de petites structures qui n’ont donc pas l’obligation de désigner un DPO ni de tenir un registre des traitements exhaustif (mais pour les services intervenant en sous-traitance si… là, il faut un registre de sous-traitant). Par contre, registre exhaustif ou non, DPO ou non, dans tous les cas il y a un responsable du traitement (le DPO n’est que le « moniteur d’autoécole » dans l’histoire… c’est le RT qui fait TOUT en théorie).
Il faut prévoir aussi ces clauses dans les contrats et conventions. Après, étant DPO, c’est assez facile pour moi d’avancer sur le sujet avec mon CHATONS (c’est pratique quand on a accès aux formations de la CNIL et de l’AFCDP…) mais ça prend beaucoup de temps.
Petit point de vigilance, ne pas confondre protection des données au sens RGPD et données personnelles au sens de la charte.
Digressions
Actions face au phénomène des non-logiciels libres
Si jamais, toute contribution sur le sujet pour alimenter la curation de la liste d’apps de YunoHost est bienvenue. Chaque app peut comporter une liste d’anti-fonctionnalités qui est affichée comme tel.
https://github.com/YunoHost/apps/blob/master/apps.toml#L820
On notera que la charte CHATONS propose déjà de faire cette curation et cette information, puisque si il y a un os, les utilisateurices sont censées en être informées par le chaton.
On pourrait d’ailleurs imaginer des synergies.
L'accompagnement comme pansement
J’en suis pas si sûr, et pourtant ARN (et Hackstub) sont assez actives sur l’accompagnement. Je dirais qu’on a une moyenne de 2 ateliers ou conférences par mois depuis 7 ans (sans parler des stands et des permanences).
Je me méfie de l’idée de considérer que l’accompagnement doit servir à contourner la complexité de « nos » propres constructions, qu’elles soient logicielles, juridiques, sémantiques…
Un exemple: on peut former des personnes pendant 3h pour leur apprendre à configurer Firefox (ce qu’ARN fait), mais on pourrait aussi se dire que c’est le logiciel qui a un soucis, si, par défaut, il ne protège pas (cf la conférence gesticulée « Informatique ou Libertés » de Lunar). Du coup, peut-être faut-il former en 1h avec le navigateur Mullvad (ou autre) ? Ou utiliser cette énergie pour discuter avec mozilla ?
Il faut pas perdre de vue que l’informatique c’est compliqué pour plein de monde.
Les 2 aspects de la proposition
Si on repart de la proposition https://md.picasoft.net/TT7py9htTmOZmvvMQ6aKPA?view=#Ouverts
- remplacer le critère de moyen « être root » par un critère de résultat « avoir un niveau de contrôle technique suffisant sur ses services et son infrastructure ». Avec toujours la recommandation de tendre vers un contrôle le plus total de son infra et de ses services.
- remplacer le critère « un chaton doit utiliser 100% logiciel libre » en un critère comme quoi « un chaton devrait tendre vers le 100% logiciel libre les exceptions devant être validées par le collectif ».
La question de fond, c’est donc sommes-nous d’accord sur ces 2 aspects de la proposition ?
Le présupposé c’est que le collectif pourra ainsi intégrer des initiatives proches de notre idéal mais qui ont des contraintes qui ne peuvent être résolues immédiatement. Le collectif sera donc juge si c’est acceptable vis à vis notamment de ce qu’attends le public du collectif qui voit souvent CHATONS comme un label…
Chères futures plumes de ce thread, je vous propose, pour une discussion plus efficace, d’exprimer un désaccord en faisant une contre-proposition.
@cpm, tu as écrit 3 longs posts sur le sujet « libre=fsf », et @garthh, 5 posts sur le sujet des réseaux sociaux.
Pour l’instant, vous n’avez pas fait de contre-proposition claire, ça ne fait donc pas avancer le travail
Pour ce qui est de la proposition radicalement différente de @quentin pour une vraie et exigeante application du libre, si la discussion doit continuer, elle aura en effet plus sa place dans un nouveau fil.
Si vous êtes en désaccord complet avec les propositions qui sont faites, s’il vous plait, ne détournez pas la conversation. Il vous suffira de voter contre la proposition quand elle aura abouti.
Je m’interroge sur le préambule de la partie « Ouvert »,
nous devrions sans doute le modifier par