Faire changer les pratiques des boites en terme de protection des données

#1

Hello à tous,

Je voudrais vous parler d’un projet qui n’est pas un CHATONS mais qui pourrait vous intéresser.

On est parti du constat qu’en 2020, les boites doivent changer de pratiques pour protéger les données de leurs utilisateurs·trices des géants de la tech.

Il nous semble urgent de recréer la confiance entre les sites et les utilisateurs·trices pour la protection des informations privées.

On a créé l’application Misakey avec 7 ingénieur·es pour qu’à partir de maintenant :

  1. Les utilisateurs·trices puissent facilement habituer les sites à leur renvoyer leurs données à l’abri des géants de la tech.
  2. Les sites puissent facilement renvoyer les données de leurs utilisateurs·trices à l’abri des géants de la tech.

N’hésitez pas à vous inscrire et essayer ! https://www.misakey.com

PS : Les commentaires, super-idées, déceptions, et propositions d’amélioration guident nos efforts quotidiens. Ils sont plus que bienvenus, ils sont indispensables à ce qu’on puisse réussir

#2

Désolé, j’ai bien relu plusieurs fois et je ne comprends toujours pas ce que fait exactement Misakey :sleepy:

C’est quoi « renvoyer les données » ? Quelles données ? En quoi ça protège des GAFAM ?

De plus, plusieurs détails ne sont pas très engageants :

  • « Les services fournis par Misakey sont hébergés par AWS en France (Amazon Web Service) pour faciliter l’avancement du projet. »
    • bah oui, mais non :sob:
  • « Misakey […] s’organise pour produire un maximum de code libre. »
    • un maximum seulement, pourquoi pas 100 % ?
  • « Misakey publie les sources -> https://gitlab.com/Misakey »
    • sur une plateforme non libre (gitlab.com est sous Gitlab EE) :sob:
  • « Les fondateurs Antoine, CTO Arthur, CEO »
    • seulement des prénoms ? Faible transparence donc…
  • « Misakey publie les sources de ses services sous license BSL »
    • BSL (Boost Source License) ou BSL (Business Source License) ? :question:

Sinon absence de traceurs web (Google Analytics, etc.), bien ça :slightly_smiling_face:

Bon courage.

#3

@Cpm ma compréhension c’est que c’est un service qui t’aide à faire des demandes pour savoir quelles sont les données en possession des GAFAM via les procédures RGPD et Informatique et Libertés.

Moi la question que je me pose: y a t’il une garantie technique qui empêche misakey de pouvoir lire les données ainsi récupérées ?

Si oui, je trouve le service chouette.
Si non, je suis mitigé car ça pourrait être le cas.

#4

@ljf vu comme ça, effectivement, ça commencerait à prendre du sens :hugs:
Je croyais que pour récupérer ses données dans n’importe quelle entreprise, un courrier suffisait. A-t-on des études qui montrerait que les entreprises ne jouent pas le jeu ?

Très bonne question. Sinon ça risque d’ajouter un acteur de plus à la problématique (https://xkcd.com/927/).
Antoine, je pense qu’on est au max là, à toi de préciser les choses pour éventuellement aller plus loin :sunglasses:

#5

Un courrier X x entreprises partenaires. Si tu regardes les bandeaux cookies tu constatera que chaque site à 300 partenaire qu’il faudrait interroger aussi. Tout de suite si il faut 300 enveloppes ça complexifie. Sachant qu’ils vont demander tel ou tel pièce complémentaire, en pas répondre, etc.

Enfin c’est que pur supposition, chez ARN on s’était dit qu’on ferait une RGPD party un de ces 4 sur le concept on demande tous nos données au maximum d’entreprises

#6

Haaaaaa, effectivement ça devient de plus en plus intéressant. merci @ljf.
Antoine, tu sais ce qu’il te reste à faire : en dire plus :wink:

#7

Merci de vos retours ! (:

Pour répondre points par points:

Totalement d’accord avec toi, et on projette de les quitter avant la fin de l’année. Aujourd’hui on est chez AWS pour les crédits gratuits, qui nous permettent de limiter nos dépenses pour la phase de développement.

Il y a deux aspects à ce niveau la:

  • Produire du code libre et réutilisable est plus exigeant que de fournir du code ouvert, du coup on est en chemin vers ça. Tout notre code est disponible; en revanche, il reste à produire de la documentation et à améliorer la structuration pour rendre le code facilement réutilisable

  • On ne sait pas encore comment est-ce qu’on va trouver un équilibre financier pour rendre durable Misakey. Du coup, on avance pas à pas…On rêve de produire 100% de code libre mais on a encore un peu peur de se faire manger par un/des gros qui pourraient travestir la mission (en en faisant une service du genre “vends tes données” qui excite plus facilement les gens mais qui n’est pas du tout dans l’esprit de ce qu’on souhaite créer)

Je suis curieux d’avoir ton avis la dessus. J’ai l’impression que c’est ce que font des entreprises qui font de l’opensource comme MariaDB, ElasticSearch ou Sentry. Que penses tu du modèle de ces entreprises ?

Ahah je suis surpris, j’étais déjà tout fier de pas être chez Github ! Tu nous conseillerais quoi du coup ?

Ah effectivement, on n’avait mis que les prénoms par pure légèreté de forme. On va mettre nos noms complets. Merci de la recommandation ! (:

Business Source License, avec l’inspiration de MariaDB ou Sentry ! Tu as un avis la dessus ?

Tout à fait ! Ce n’était pas une option pour nous de fournir le service sans qu’on soit en incapacité technique à accéder au contenu des fichiers récupérés. On a mis en place un protocole de chiffrement de bout en bout qui est auditable :wink:

Le projet part justement du constat que même 2 ans après la mise en application du RGPD, il est encore extrêmement difficile d’accéder à ses propres données. Il y a des études à droites à gauche sur le sujet. De notre côté on a fait une étude il y a un peu plus d’un an sur ou en étaient les entreprises à ce niveau la. Si ça t’intéresse on a une infographie qui résume ce qu’on a fait. Si tu veux en savoir plus, je peux te donner le reste de l’étude aussi ! :slight_smile:

On a pas mal taffé sur ce sujet, est-ce que ça t’intéresserais qu’on structure un peu les connaissances qu’on a pris sur le terrain à ce niveau la ? (en lisant ton message je me dis qu’un kit sous Creative Commons de retours d’expérience et apprentissages qu’on a pu récupérer en chemin pourrait être utile)

1 Like
#8

Oui ça nous serais super utile

#9

Si j’ai bien compris, misakey se place en intermédiaire entre certains sites partenaires et moi, internaute.
Il me permet de récupérer plus facilement mes données personnelles auprès de ces sites et les stocke dans un “coffre-fort”.

L’idée est bonne, mais comme toujours le diable se cache dans les détails.

Ces données sont-elles chiffrées ?
Si non… ok, terminé pour moi pas besoin d’aller plus loin.

Si oui, à quel moment, par qui et qui peut les déchiffrer ?

Un service qui me permettrait de fournir une clé publique aux sites partenaires pour qu’il chiffrent les données et les déposent dans le coffre fort de misakey m’irait très bien car seul moi pourrait les déchiffrer. Mais je doute fort que cela fonctionne ainsi.