Instances Mastodon et RGPD

Lorsque j’ai diffusé sur le 10 novembre sur le compte Twitter du collectif la liste des instances Mastodon ouvertes à l’inscription, on nous a fait remarquer que aucun des services listés n’affichait les mentions exigées par le RGPD (art 13 et 14) et que donc pour le moment ces services ne sont donc pas conformes au RGPD.

J’ai demandé des précisions sur comment être en conformité. En voici la capture d’écran :

J’en informe donc les chatons @AuxPortesImaginaire @FACIL @G3L @ImmaeEu @roflcopter.fr @UNDERWORLD et @Zaclys

2 « J'aime »

De notre côté sur Masto, on a fait « court »

image

Pour centraliser tout sur la page du site principal puisque beaucoup de termes sont en commun.

1 « J'aime »

pour différentes asso rôlistes, je dois faire des petites sessions sur le RGPD en janvier/février en visio … si ça intéresse aussi des CHATONS, on peut prévoir un truc aussi

Je vais voir ce qui peut être fait pour plus de clarté de notre côté. :slight_smile:

Il va d’abord falloir que je comprenne ce que ces articles impliquent concrètement.

Est-ce qu’une gentille personne pourrait nous fournir un lien vers des «mentions» jugées conformes ?
Nous ne devons pas être bien loin de la conformité vu le temps que nous avons mis sur cette question :

en fait, il faut :

  • mentionner qui est l’entité qui traite les données
  • qui est le responsable du traitement
  • quelles sont les finalités (et éventuellement la base juridique, ici le consentement)
  • quelle est la durée de conservation des données
  • mentionner les transferts de données hors Union européenne (et sur quelle base)
  • quelles données sont traitées
  • qui sont les destinataires
  • quels droits ont les personnes.

N’hésite pas à recopier celles de Aux Portes de l’Imaginaire… après, je n’ai pas plus détaillé que ça sur Mastodon parce que tout est sur le même serveur (donc, la sécurité, les logs, les accès… sont sur les mêmes bases) et que mes CGU de Masto renvoient au site.

Je trouve l’interprétation de M. F. Boquet assez extrême : « aucune »… ben, s’il avait bien regardé et lu, déjà les deux premières ont des CGU assez claires et plutôt complètes.

1 « J'aime »

Merci @garthh

Pas mal tout ça est déjà essentiellement dans nos documents, sauf que nous sommes au Québec (donc nous faisons référence aux lois de ce territoire) et que personne n’a vraiment le titre de responsable du traitement des données (donc nous n’y faisons pas référence).

Aussi, la séparation «Mentions légales», «Conditions générales d’utilisation» et «Politique de cookie» n’est pas la façon de faire en Amérique du Nord, qui est plutôt «Conditions (générales) d’utilisation» et «Politique de confidentialité».

Je vais creuser pour trouver ce que nous pouvons faire de mieux pour satisfaire les exigences (et meilleures pratiques) européennes sans nuire à ce que nous avons déjà en place (et qui marche pour le Québec).

J’ai remarqué (quand je travaillais sur cette question il y a un petit bout déjà) que, par exemple, les documents «Conditions (générales) d’utilisation» et «Politique de confidentialité» du service https://wordpress.com/ sont truffés de mentions spécifiques à destination des Européens. Nous devrons peut-être faire quelque chose du style, mais j’espère que non car ça alourdit la lecture du texte (qui est déjà bien assez long).

2 « J'aime »

Ha oui, mince, tu es sous les lois Canadiennes ! Normalement, vis à vis de nous, tu es dans un pays en adéquation partielle. J’ai pas le cas de figure côté association/CHATONS et côté pro, j’étais en cours d’analyse de l’utilisation de Antidote. Selon y’a structure et l’offre de service, il est possible que tu puisse bénéficier de cette adéquation partielle (faut que je gratte un peu plus).

Sinon, la meilleure pratique ensuite est d’avoir des mentions « canadiennes » d’un côté et « européennes » de l’autre. Si un utilisateur de l’UE se sert de tes services, y’a structure se retrouve aussi soumise au RGPD.

Je me permet d’émettre un point de vigilance vis à vis du personnage avec lequel @Angie a interagi sur le compte twitter du collectif. Monsieur Bocquet est coutumier du fait. Voici Un autre exemple d’échange dans lequel la conformité à RGPD est proportionnelle à la taille de l’organisation.

1 « J'aime »

Pour ce qui est d’Alsace Réseau Neutre (et même si on a pas de mastodon) voir notre réponse

Bon, nouvelle itération des CGU de Mastodon pour Aux Portes de l’Imaginaire.
https://toot.portes-imaginaire.org/terms

N’hésitez pas à les recopier si vous souhaitez :wink:

@stephane l’interprétation du RGPD qu’il fait dans l’article que tu as partagé est très discutable. Une société américaine peut s’en jouer et écrire ce qu’elle veut, on ne pourra rien faire contre elle, par contre, une petite association française, même si elle ne documente pas tout, elle sera dans tous les cas épinglée et contrainte à respecter le RGPD.

On revient à l’histoire des « méchants admin Mastodon » qui peuvent « lire les DM »… oui, certes, ça prend beaucoup trop de temps pour que la curiosité puisse avoir le moindre intérêt et surtout, en France, c’est prendre le risque de finir quelques mois en cellule. Par contre, Twitter, la loi américaine lui donne totalement le droit de le faire, de l’automatiser et de s’en servir, y comprit contre la personne elle-même.

Miaou,

« quelle est la durée de conservation des données » : c’est variable

  • Les données sont celles de l’utilisateur (ses pouets et les metadata afférents) qui peut définir un délai d’effacement dans l’outil ou hors de l’outil (service distant). Par défaut c’est « sans limite » si l’instance ne s’impose pas un durée de rétention globale à l’instance.

Ce sans limite ne doit pas être compris comme une garantie d’historique. Un problème/besoin technique peut provoquer une perte/effacement de donnée.

D’ailleurs, on parle des données « actives »? ou bien y compris les données froides (dans les sauvegardes par exemple) ? Je pense au cas où un USER efface ses données le Lundi (c’est son droit), mais le mécanisme de sauvegarde aura fait une SVG FULL annuelle le Dimanche précédent :smiley:

il faut le documenter pour les sauvegardes, mais selon la logique, ça peut être vu comme un autre traitement.

Mastodon

  • Base légale : consentement de la personne concernée
  • Finalités : permettre aux usagers d’accéder au réseau décentralisé Mastodon, diffuser et recevoir des informations et messages d’autres usagers du réseau
  • Données traitées : courriel, adresse IP, identifiant/pseudonyme
  • Autres données traitées : toute donnée diffusée par l’internaute (à ce titre, perso, j’ajoute des info sur la propriété des contenus)
  • Durée de conservation : durée d’utilisation du compte ou durée de rétention des données fixées par l’usager
  • Destinataire des données : tout utilisateur du réseau mastodon (faut-il le préciser ? c’est les finalités du traitement…)
  • Transferts hors EU : possible sur la base des instances suivies par l’usager

Pour la sauvegarde

  • base légale : intérêt légitime du RT
  • finalité : récupérer les services après un incident et une atteinte à la disponibilité ou à l’intégrité des données
  • durée de conservation : xxxx

Pour les journaux

  • base légale : intérêt légitime du RT / obligation légale

Si vous avez des besoins InterHop à une Déléguée à la Protection des Données.
Elle est spécialisée dans les données de santé mais ca devrait pouvoir le faire :slight_smile: