Auto-hébergement et vie privée de l'hébergeur

Je me suis dit qu’un sujet dédié serait plus approprié que le topic de ma propre fiche pour débattre de la question.

D’après la liste de conformité, il faut indiquer le lieu d’hébergement. Cela pose quelques problèmes dans les cas d’auto-hébergement, ou le serveur est situé au domicile de l’hébergeur. Il y a eu bien trop d’affaires de doxxing pour qu’on puisse se permettre d’ignorer la problématique qu’implique de donner publiquement une adresse postale privée.

Donc je me pose la question: ne serait-ce pas pertinent que dans ce cas, l’hébergeur puisse se contenter d’indiquer le pays dans lequel il réside et que le serveur se trouve chez lui ?

1 « J'aime »

Si je lis bien la charte:

Le CHATON s’engage à afficher publiquement et sans ambiguïté son niveau de contrôle sur le matériel hébergeant les services et les données associées. Notamment, le nom du fournisseur ou prestataire d’hébergement physique des serveurs devra clairement être indiqué aux hébergés.

Dans ton cas si tu dis c’est chez moi je trouve que ton niveau de contrôle sur le matériel est clairement établit. Comme tu n’as pas recours au service d’un hébergeur, je pense que la seconde phrase ne te concerne pas.

Donc je me pose la question: ne serait-ce pas pertinent que dans ce cas, l’hébergeur puisse se contenter d’indiquer le pays dans lequel il réside et que le serveur se trouve chez lui ?

A mon avis oui et comme je ne crois pas que la question ait déjà été débattue, ça vaut le coup de confronter les avis des uns et des autres. Comme l’avait souligné @Cpm il y a deux questions dinstinctes:

  • L’aspect légal (préciser le pays permet indirectement au visiteur de savoir sous quelle juridiction se trouvent les données)
  • L’aspect éthique qui, dans ce cas, pose la question de construire une relation de confiance avec son hébergeur

L’idée de la confiance dans l’hébergeur est un problème facile a résoudre: il faut s’auto héberger. Mais si on ne s’auto héberge pas, c’est tout de suite un casse tête. On écarte les hébergeurs qui ont prouvé par le passé qu’ils n’étaient pas digne de confiance (les GAFAM, mais pas que) et ce malgré le fait qu’on sait parfaitement quel est leur adresse physique et le nom de leurs dirigeants. Il reste ceux sur lesquels on ne s’est pas encore fait une opinion et qu’on doit apprendre à connaître. Ceux avec qui on choisit de construire une relation de confiance. Et c’est la que ça devient vraiment intéressant… comment ça se passe au juste ?

La question étant posée de cette façon j’imagine que tout le monde répondrait comme moi: ça dépend :slight_smile: Pour moi, ça se déclinerait comme ça:

  • Si j’ai des données sensibles à héberger, je m’auto-héberge en choisissant l’emplacement géographique qui minimise les risques juridiques.
  • Si un ami de longue date monte un CHATONS, j’ai à priori très confiance, mais je n’y déposerait pas des données sensibles.
  • Si une organisation ou une personne a bonne réputation et que des amis m’en ont dit du bien alors j’ai plutôt confiance mais je ne vais pas non plus aller y déposer mes photos de vacance ou d’autres documents personnels.
  • Si une organisation ou une personne m’est inconnue mais fourni un service qui m’est utile, je l’utiliserait uniquement pour des activités publiques.

Au bout du compte, je ne pense pas que je ferais de différence entre un CHATONS anonyme et un CHATONS que je ne connais pas. Évidement dans le cas d’un CHATONS anonyme il y a peu de chance que les relations de confiance évoluent, simplement parce que ce n’est pas évident d’apprendre à connaître quelqu’un qui veut rester anonyme. Mais je pense néanmoins que ce n’est pas contraire à la charte et que c’est éthiquement acceptable.

Mes 2cts

1 « J'aime »

Du point de vue légal, la charte du collectif CHATONS ne se substitue pas à la loi (française). La notion de site anonyme semble clairement définie :

« Si le particulier choisit de garder l’anonymat, les seules mentions obligatoires à retrouver sur son site internet sont : nom, dénomination ou raison sociale et adresse et numéro de téléphone de l’hébergeur de son site internet. » https://www.service-public.fr/professionnels-entreprises/vosdroits/F31228
En cas d’auto-hébergement, retour à la case départ et l’anonymat semble impossible.
Du coup, que dit loi belge ?

Comment un chaton anonyme pourrait-il satisfaire au T de CHATONS ? La transparence. Alors effectivement, ce n’est pas explicitement exprimé dans la section dédiée de la charte. Implicitement, j’infère que tout utilisateur doit pouvoir accéder et vérifier les informations. L’anonymat ne le permettrait pas et donc de mon point de vue, c’est incompatible avec la transparence.

Du coup, avis aux autres membres à exprimer leurs arguments pour mûrir ce point.

Je ne pense pas que céder à la peur et s’auto-censurer soit une solution satisfaisante. D’autant plus que tout anonymat est bien fragile et illusoire. Bien sûr, cette opinion ne t’oblige en rien, quelque soit ton choix, il est respectable.

En tout cas, merci d’avoir porter ces questions, c’est une excellente opportunité de les mûrir :smiley:

Bon, si quelqu’un arrive à s’y retrouver sur le site officiel de l’état belge (belgium.be), qu’il me fasse signe, parce que moi, j’arrive pas à trouver les infos qu’il me faut.

Un tel point de vue est paradoxal venant d’un membre d’un collectif dont la raison d’être est justement la protection de la vie privée, parce que pour être cohérent, il faudrait que le collectif CHATONS cesse d’exister vu qu’il lutte pour quelque chose d’impossible.

1 « J'aime »

Ne pas confondre anonymat et vie privée. Tu peux dire quelque chose « en privé » sans que cela soit anonyme. Vie privée n’implique pas l’absence de vie publique. Le fait de révéler ton nom et ton adresse, ça ne te prive pas d’une vie privée. Après, la répartition vie privée/vie publique, ça se gère, à chacun de faire ses choix.

Tu peux défendre la vie privé de façon privée, oui. Mais la démarche est privée et limitée à la confiance des personnes à qui te connaissent en privé.

Dans le cadre du collectif CHATONS, l’activité est publique vers le public. Et pour défendre la vie privée publiquement, une vie publique est nécessaire, pour établir de la confiance. Il s’agit d’utiliser le côté public de nos vies pour protéger la vie privée des autres. Et cela ne nous prive pas d’avoir une vie privée.

Pour en revenir à la charte, section Solidaire : « le CHATON s’engage à prévoir structurellement la possibilité de rencontrer physiquement ». Comment te rencontrer si on ne sait pas qui tu es ? N’importe qui peut se faire passer pour toi… :stuck_out_tongue:

Halalallaaaaaaa, vraiment encore merci d’avoir lancer le débat et aussi de nous pousser à nous intéresser à la législation des voisins. C’est ce qui est bien avec l’aventure du collectif CHATONS, c’est que ça nous fait nous questionner et étendre nos connaissances :yum:

Ca pose en effet une difficulté si on veut garder l’anonymat en toute circonstance. Imaginons un CHATONS qui repose sur une seule personne physique qui a des machines chez elle et qui n’afficherait pas son nom et prénom et l’adresse de son domicile sur son site. Elle pourrait néanmoins organiser des rencontres physiques et donc révéler son identité aux personnes qui prennent la peine de se déplacer. Tout comme elle parlera de son projet de CHATONS à ses ami·es qui, eux aussi, sauront son nom et son adresse.

C’est à dire qu’on peut faire de son mieux pour être anonyme sur le net sans pour autant l’être IRL. Ne pas afficher publiquement sur le net des informations personnelles ( nom, prénom, adresse du domicile ) sans pour autant se déguiser quand on rentre chez soi ou cacher son adresse à ses amis :slight_smile:

@Cpm Ça se discute. Je pense que la vie privée a besoin d’un minimum d’anonymat pour exister, je ne vois pas comment il pourrait en être autrement, puisque si tu es identifiable sur absolument tout ce que tu fais, logiquement, tu n’as plus de vie privée.

Peut-être que @agnez ou @Clomut qui sont aussi en Belgique auraient cette information…

1 « J'aime »

Peut-être faire poser une question documentée auprès de l’apd
Il réponde assez vite, en général.

J’ai lu le fil : c’est très intéressant, ça me cause. Mes réflexions mélangées, mais personnelles, ci-après.

On peut faire un parallèle avec les débats autour de la loi sur la transparence de la vie publique en France (2013). Sous certain aspect, transparence peut déraper vers voyeurisme du citoyen envers la femme ou l’homme public.

Tout cela est également très dépendant du lieu ou vous vivez. Toutes proportions gardées, Imaginez un candidat chaton à Hong Kong. Je ne suis pas certain que le collectif aurait la même exigence de transparence sur la localisation des données. :upside_down_face:

Une couche de complexitude. La représentation de cette notion de vie privée, voire d’intimité numérique est peut-être très genrée et très liée à notre éducation.

Encore un paradoxe. Si vous êtes le mainteneur d’un dépot debian (aka : vous pouvez pousser et signer les paquets du dépot) il est à peu près certain que vous êtes surveillé·e par toutes les agences de sécurité informatique du monde. À commencer par la première de toute : la NSA. Du coup, si vous êtes utilisateur·trice de cette belle distribution, votre émancipation s’est construite au détriment de celle des autres. {{Je concède que c’est peut-être tiré par des cheveux que je n’ai plus. Mais l’information est vérifiée.}}

{{ Je rajoute 2 cts dans la cagnotte qu’a ouverte @dachary }}

1 « J'aime »

Je viens d’avoir leur réponse

Madame, Monsieur,

 J'accuse réception de votre demande d'information du 4 novembre 2020. 

 Les informations données dans le présent courriel le sont sur base des éléments que vous nous avez transmis. L’exactitude, l’actualité, le caractère complet des éléments que vous apportez relèvent de votre responsabilité. Si votre demande devait évoluer vers un autre type de procédure, l’APD pourrait être amenée à vérifier les éléments que vous nous avez transmis et, le cas échéant, faire évoluer sa position.

 L’Autorité de protection des données est un organe de contrôle indépendant chargé de veiller à la protection de la vie privée lors du traitement de données à caractère personnel. Entre autres missions, l’Autorité de protection des données aide par exemple les personnes physiques à empêcher que leurs données personnelles qui sont enregistrées dans des bases de données soient utilisées de manière abusive. L’Autorité de protection des données n'est donc pas compétente pour connaître du droit fondamental à la vie privée en général, mais uniquement des "traitements de données à caractère personnel".

 Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie (p.ex. l’enregistrement ou la consultation de données dans une base de données électronique), ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (manuel).

 Si ces conditions ne sont pas remplies (p.ex. s’il est question de la transmission de vive voix d’informations personnelles qui ne proviennent pas d’une banque de données ou d’un fichier et qui ne sont pas destinées à y être enregistrées), l’Autorité de protection des données n’est pas compétente.

 J’espère avoir répondu à vos questions. Si ce n’est pas le cas, faites le moi savoir **en utilisant l’adresse électronique de contact : [contact@apd-gba.be](mailto:contact@apd-gba.be), et en mentionnant votre numéro de dossier** . Sauf  élément neuf de votre part dans le délai d'un mois, votre dossier sera clôturé.

 Veuillez agréer, Madame, Monsieur, l'assurance de ma considération distinguée.

TLDR: ce n’est pas de leur ressort.

Énorme. Voyons les choses du bon côté : cela m’a permis de corriger une vilaine faute d’orthographe.

Je fais une proposition. Puisque les chatons sont soumis à l’autorité suprême de whois, je propose au collectif des chatons de ne pas être plus exigeant que les informations retournées par le whois du nom de domaine du chaton concerné.

Dans le cas présent, il n’y a aucune adresse personnelle retournée. Moi, ça me va. En plus, je trouve cela plutôt élégant.

Sur l’aspect le châton se conforme à la loi, aucun problème non plus. Une information judiciaire déposée auprès de l’opérateur réseau du chaton suffira à identifier et localiser l’utilisateur de l’ip quel que soit le motif motivant l’information.

A mon sens, si le CHATONS est restreint à la famille et aux ami⋅es, dans ce cas les personnes savent ce qu’il y a derrière et où sont les serveurs, que faire si la personne en charge de la gestion du serveur va mal, etc.

Mais en dehors des chatons à publique restreint, qui pourraient avoir un portail de service restreint aussi, je rejoins un peu l’avis de Cpm à la fois su rle côté légal et sur le sacrifice de son anonymat pour permettre de créer de la confiance avec un public qu’on ne connaît pas.

Par ailleurs, l’ip du serveur peut servir à localiser la ville de l’ip publique (donc soit le VPN, soit le lieu d’habitat). Pour info: le programme SNT des classes de seconde française enseigne comment faire ça.

Des sources de cette info ?

6 messages ont été scindés en un nouveau sujet : La NSA espionne t’elle les mainteneurs de dépot?

Tu as raison. Je crois même que cela est détaillé dans les compétences numériques de la plateforme pix.
Ceci dit, Bruxelles, dixit https://ipinfo.io/80.67.181.213, moi ça me suffit. Je ne pense pas que neutrinet donne spontanément la localisation exacte de chacun de ses utilisateurs. Non?

Bonjour à tous,

c’est un sujet très intéressant !
mon point de vue c’est que dans l’idée de décentraliser les services mais aussi de passer par un hébergeur (tiers de confiance), il est important de pouvoir identifier cet hébergeur, pour pouvoir d’une part savoir où les données sont hébergées, et d’autre part pouvoir le contacter (pour plein de raisons différentes, pour lui poser des questions, pour des raisons légales pour s’opposer au traitement de ses données par exemple, pour lui offrir une bière, etc.)

Après l’identifier ça veut pas forcément dire avoir son adresse exacte, mais je trouve que la ville par exemple c’est important pour un utilisateur pour choisir son hébergeur (par exemple pour trouver un hébergeur le plus local possible). Ensuite il faut pouvoir contacter l’hébergeur donc a minima une adresse e-mail (ça peut être aussi uniquement un formulaire de contact, même si je ne sais pas exactement pourquoi ça me donne moins confiance que d’avoir une adresse e-mail…)

1 « J'aime »

@stephane tu aurais une objection à déplacer les échanges concernant la surveillance des dev debian (qui m’intéresse beaucoup) dans un fil de discussion à part ? Parce qu’on a un peu dérivé du sujet initial :sweat_smile:

1 « J'aime »

@dachary je venais justement de déplacer les sujets et j’étais en train d’écrir une message pour prévenir de ça ici. Le nouveau sujet est là : https://forum.chatons.org/t/la-nsa-espionne-telle-les-mainteneurs-de-depot/1659/6

2 « J'aime »

Juste un mot ici pour signaler que j’ai donné ma position sur la question de l’anonymat vs pseudonymat ici : https://framagit.org/chatons/CHATONS/-/issues/162#note_832644

TL;DR; :

Et donc, clairement opposé à ce qu’on impose a de futurs chatons une obligation de rendre publique l’identité civile de membres obligatoire dans la charte.

1 « J'aime »