Liste de critères de conformité à la Charte pour les structures candidates

Notre choix de CodiMD n’était peut-être pas très judicieux dans ce cas d’utilisation… Désolés ! La fonction « Historique » permet de savoir ce qui est changé et à quelle heure.

En effet, d’où les critères dans la section Services :

• Un lien vers le service doit être donné sur le site web et doit être facilement accessible.
• Dans le cadre du traitement de la candidature, au moins un service devrait être testable et accessible par les membres du collectif.

Cela pourrait cependant être précisé dans la section « Candidature » si besoin.

Merci pour ton travail

Bonjour,

Pour commencer un disclamer: La structure a laquelle j’appartiens n’est pas un chatons ni même ,pour l’instant, un candidat chatons*. Du coup mon appréciation peut être biaisé ou déplacée.

Les sites web sont notés B ou plus.

Çà peut être problématique par exemple pour un site vitrine statique ou certains des critères de mozilla n’ont aucun sens. (sur un site entièrement statique se protéger des contenus des utilisateurs ou des attaques XSS n’a pas de raison d’être). Ça peut être vu comme une contrainte inutile/incomprise par un candidat. (pour les sites avec des services le problème ne se pose pas)

Liste des paquets installés

Ce critère peut avoir du sens ou non selon l’architecture utilisé par le candidat. Pour un chatons comme ilinux qui utilise une infrastructure entièrement conteneurisé lister les paquets installés n’a pas vraiment de sens. Dans mon cas ou il y a beaucoup de vm (10 vm + 1 hyperviseur + 2 backup) pour peu de services lister exhaustivement tout les paquets risque d’être vitre très fastidieux. (sans compter qu’il risque d’être difficile de savoir quels paquets lister ou non)

Après je reste conscient que les critères sont évalués par des humains et peuvent dont être interprété/adaptés a chaque candidats. J’essaye juste de lever des objections sur lesquels réfléchir.

• On ne considère pas avoir la maturité technique pour ça

Bonjour Meewan,

Merci pour ton avis enrichissant

On part du principe qu’un CHATONS va obligatoirement héberger au moins un service. Ce service ne sera très probablement pas un site statique et pourrait même stocker des données personnelles.

Effectivement, cela nécessite un minimum de compétences (bien que le travail consiste juste en l’ajout de quelques lignes dans un fichier de configuration), tout comme l’hébergement d’un service, ou même d’un site web statique. Pourtant, la mise en place d’une connexion HTTPS nous semble assez indispensable en 2020, même pour un site statique, pour limiter la quantité de données interceptées par un tiers (personne en réseau, gouvernement, etc.).

Et quitte à mettre en place HTTPS, autant le faire comme il faut C’est tout l’avantage de pouvoir se faire auditer par d’autres membres du collectif, on vous accompagne dans cette démarche, on vous aide à respecter ces bonnes pratiques.

Tu as tout à fait raison, mais cette liste de critères reflète avant tout la Charte.

Section « Ouverts », critère requis :

le CHATON s’engage, sur demande, à fournir la liste des paquets installés sur les serveurs hébergeant les services fournis aux utilisateurs et utilisatrices ;

Comme tu l’as souligné, si la structure candidate conteneurise ses applications, ça n’a plus de sens. Mais on essaye de couvrir un cas d’utilisation général ; si la configuration de la structure candidate sort de l’ordinaire, il reviendra aux membres qui effectueront l’audit de demander des renseignements supplémentaires.

Certaines membres du collectif ont littéralement effectué un dpkg --list et publié le résultat sur leur site web. Même avec 10 VMs, ça devrait se faire À la limite, en masquant les numéros de version des paquets.
En tout cas je suis d’accord que la pertinence de ce critère est discutable, mais ce débat porte sur la légitimité de la Charte, pas de cette liste de critères.

~Neil

Je travaille encore sur ce document, et là j’aimerais que l’ensemble des points requis de la charte soient vérifiés (avec un ordre de priorité pour éviter de faire une évaluation complète si les basiques ne sont pas respectés). En l’état le document dissémine un peu partout des points de la charte dans des thématiques différentes. Certains points de la charte disparaissent totalement et d’autres deviennent plus pré-pondérant.

Du coup, je me demande si on ne devrait pas plutôt, mettre les points de la charte et en dessous mettre
les « détails de conformité » à respecter. On pourrait ainsi faire des liens, entre les points de la charte et leurs détails éventuels.

L’avantage c’est qu’on évite l’écueil où l’on se concentrerait plus que sur la liste de conformité et on évite devoir recopier tous les points de la charte dans la liste de conformité…

Je vais essayer de faire un brouillon de ça.

Bon finalement j’ai réussi à fusionner les 2. https://pad.rhizome-fai.net/2T57nI0KQBe8buSE3JrAnA?both

Je propose donc un formulaire de candidature + la liste d’audit.

Je me suis basé sur les points requis de la charte pour déterminer les critères important, mais sans doute faut-il prioriser certains critères pour la vérification.

Dites-moi ce que vous en pensez.

Merci @ljf !

Après une relecture :

Si le CHATON est contraint de communiquer via un réseau social centralisé ou privé, l’information est accessible par un autre biais.
Ressource utile: https://antipub.org/resistance-a-l-agression-publicitaire-s-infiltre-dans-les-reseaux-sociaux/

Bien que le critère semble justifié et qu’il soit pertinent de citer la charte de la RAP dans ce contexte, je ne crois pas que ce critère marqué comme « important » soit inscrit dans la charte CHATONS. Peut-être le marquer comme « optionnel » ?

Sur le site, il y a un lien vers le code source des services en cas de modification du code source du logiciel
Sur le site, il y a un lien vers le code source des services même si ceux-ci ne sont pas modifié et que la licence ne l’oblige pas

Je me suis permis de fusionner ces deux critères en « Sur le site, il y a un lien vers le code source de chaque service ». C’est dans la Charte :

Le CHATON s’engage à rendre accessible le code source soit en publiant un lien vers le site officiel de l’application, soit, si ce dernier n’est plus disponible, en publiant le code utilisé.

• Si c’est une association, les statuts et RI ??? (à compléter)

Statuts et RI des associations

• L’organisation et la gouvernance décrite est inclusive, capable de s’adapter aux différences et à valoriser la diversité en veillant à ce que les groupes marginalisés ou exclus soient parties prenantes dans les processus de développement ;

Je me suis permis de retirer ces critères, pour plusieurs raisons :

• Il n’y a pas de raison que cela ne concerne que les associations, les entreprises disposent également de statuts et parfois d’un RI ;
• La gestion administrative des structures qui hébergent un CHATONS peut être totalement déconnectée du CHATONS en lui-même ;
• La souscription à des services à accès restreint au sein d’un CHATONS associatif ne nécessite pas forcément d’adhérer à l’association en question, donc n’impose pas nécessairement à ses utilisateur·ices de respecter ses statuts et son RI.
• Le critère sur l’inclusion est plutôt abstrait alors que tous les autres critères de la liste sont concrets et facilement vérifiables (c’est le principe de fonctionner avec une checklist) ;
• La Charte n’impose aucune obligation à ce sujet.

Mentions légales

Conformément à la loi
Les Mentions légales sont accessibles depuis le site web du futur CHATON
Les Mentions légales contiennent : liste des mentions obligatoires

Je ne comprends pas pourquoi ces critères sont devenus facultatifs, il s’agit d’une obligation légale.

• Il n’existe pas de témoignage décrivant un comportement malveillant de la part du futur CHATON

Je ne sais pas si ça vaut la peine d’officialiser un tel critère. Ce genre de débat doit avoir lieu sur la candidature, à la limite… mais je ne vois pas l’intérêt de mettre une case à cocher là-dessus.

A11y & services du CHATONS

Le CHATON fait des Merge Request d’accessibilité sur les services mis en place

Un CHATONS étant avant tout hébergeur de services, pourquoi devrions-nous imposer ce critère ? Dans ce sens, devrions-nous imposer un critère « Le CHATON fait des Merge Request et participe activement au développement des services qu’il utilise » ? Je propose qu’on retire, ça sort de l’activité de CHATONS.

~ Neil

Hier soir, en réunion virtuelle mensuelle, il a été acté que la V1 de cette liste de critères de conformité devrait être terminée au plus tard le dimanche 17 mai 2020.

Je me permets de relancer les structures du collectif sur ce point afin qu’elles puissent donner leur avis et faire des commentaires d’ici cette date.

Lundi 18 mai, je publierai cette V1 sur le dépôt Git du collectif et fabriquerai un PDF éditable afin que les structures candidates puissent le compléter.

Pour rappel, l’analyse des candidatures pour la portée 10 commencera le 21 mai.

Ok pour mettre en optionnel le point sur l’alternative aux réseaux sociaux privateur.

Pour le point sur la publication du lien vers le code source. OK j’ai mal lu la charte, ce point étant caché dans le préambule de « Ouverts »… Ok pour que ce soit marqué comme important du coup.

Pour l’histoire des statuts, j’ai juste tenter d’introduire un élément de vérification concernant le point de charte suivant:

le CHATON s’engage à mettre en œuvre et à promouvoir une forme d’organisation et de gouvernance inclusive, capable de s’adapter aux différences et à valoriser la diversité en veillant à ce que les groupes marginalisés ou exclus soient parties prenantes dans les processus de développement ;

Mais tu as raison sur le fait que du coup ça pourrait concerner les entreprises (même si les statuts d’une boite n’ont pas grand chose à voir avec des statuts d’association, d’autant plus que beaucoup laisse un expert comptable les rédiger). Et effectivement ce point de charte ne parle pas spécifiquement des statuts.

=> on peut le supprimer

Sur les mentions légales, j’estime pour ma part que ce n’est pas notre rôle de vérifier si chaque point de la loi est valide. Sinon il faudrait parler du RGPD, et pour avoir mis en conformité ma société récemment, il est fort probable que quasiment aucun CHATON ne soit en conformité car c’est une réglementation très bureaucratique au final. De même, la loi avia sur le délais de réaction en 1h si la police demande le retrait d’éléments ne me semble pas spécialement être à vérifier par nous.

Pour les merge request sur l’accessibilité aux personnes avec un handicap, il y a quand même dans la charte:
« le CHATON s’engage à avoir une démarche active et volontaire en terme d’accès pour toutes et tous aux services proposés, notamment en respectant les normes d’accessibilité web ; »

Donc personnellement j’interprète ça comme, le chatons fait des efforts pour que les services en ligne qu’il propose soit accessible à toutes et tous. Améliorer l’accessibilité du service hébergé me semble parfaitement indiqué du coup. Par ailleurs c’est une suggestion pas un point « important ».

Bravo à tous les contributeurs de ce formulaire.
Cela me semble un très bon outil pour nous aider à évaluer un nouveau chatons.

Et même, en le lisant, c’est également un bon outil pour faire son auto-analyse de non-régression entant que chatons.
En effet, je sens que sur certains points j’ai des marges de progression.
En utilisant une telle check-list pour auditer un candidat, cela me permettra aussi de vérifier mes propres pratiques et ainsi me tirer vers le haut.

A tester donc pour une première version

Tout à fait d’accord sur le fait que respecter la RGPD, en pratique c’est compliqué. Sans même parler de la loi Avia.

Mais il y a une différence entre se mettre en conformité RGPD et ajouter une page de mentions légales… Ça ne prend même pas heure à rédiger et c’est facile à vérifier pour nous.

Je pense qu’on devrait vérifier ce point, dans l’intérêt de la structure. La litière donne également d’excellentes pistes pour rédiger ces mentions légales : https://wiki.chatons.org/doku.php/cgu_et_mentions_legales

Je ne vois pas en quoi ce texte serait moins important que les CGU/CGV. En tout cas, pour nous, ça représente clairement un motif valide pour un avis blanc / défavorable… J’invite les autres CHATONS à se prononcer sur la question.

Ok pour cette question de Merge Request, ma foi, c’est une interprétation valide de la Charte.

On a encore quelques items marqués TODO :

Engagement des adminsys

• Les personnes qui ont des accès administrateurs, bénévoles ou salariées, s’engagent sur une charte concernant des points de confidentialité et de prudence
  TODO comment une personne s’intégre dans le CHATON pour faire des opérations d’adminsys ? Quel compromis sécurité/inclusivité ?

Je ne vois pas trop comment on pourrait formuler ce critère avec un engagement concret, je propose qu’on supprime. Cela me semble redondant vis-à-vis du formulaire de candidature en bas de page, où la structure candidate s’engage à respecter des critères non vérifiables par le collectif. Ça allègera un peu la liste.

J’ai essayé de rédiger les autres items (il y avait quatre autres items marqués TODO), voir l’historique. J’ai également apporté quelques modifications au formulaire, dites moi si cela convient.

~ Neil

Je crois que ce que veut dire @ljf, c’est que la charte des CHATONS n’a pas à paraphraser la loi, ni à contrôler son respect.

D’une part, pour la plupart des cas de chatons, ce serait redondant.

D’autre part, il existe des chatons qui refusent de respecter certains points légaux, et ça les regarde eux et les autorités ; selon moi, ils peuvent rentrer dans le collectif s’ils respectent la charte.

Il y aurait un problème si la charte obligeait à respecter la loi.

Dans le cas des mentions légales, celles-ci consistent en tout premier lieu à identifier facilement le, la ou les responsables…Peut-être — je ne sais pas ! — qu’il y a des cas où un chaton ne souhaite pas être identifié facilement…

Je me souviens qu’il y a au moins un chaton qui refuse de s’identifier clairement. Il doit avoir ses raisons… ça ne regarde pas le collectif.

(En gros, ce qui regarde le collectif, c’est que nous soyons, selon toute probabilité, tous de petites structures indépendantes faisant tourner des logiciels libres.)

En bref, la loi c’est la loi, la charte c’est la charte.

PS: Merci @neil (et les autres) en tout cas pour tout ce travail. C’est super.

En fait la charte dit dans les premières lignes :

Ce qui n’est pas interdit explicitement par la présente charte ou par la loi, est autorisé.

Donc la charte en l’état oblige à respecter la loi, et je sais que pour des connaissances un peu hébergeurs « gauchistes », c’est un frein pour rentrer dans le collectif.

Pour ma part je serai pour faire sauter cette partie et laisser chaque chaton gérer sa conformité avec le droit français.

Merci pour ton commentaire et tes encouragements

Je suis tout à fait d’accord que c’est gênant de mettre des informations personnelles sur cette page, bien que la loi l’oblige. Ainsi, personnellement, je ne tiendrai pas rigueur à une structure candidate si elle a décidé de ne pas afficher toutes ses informations personnelles sur cette page, tant que les autres informations y sont :

• une section sur le stockage de cookies
• une section sur les analyses statistiques effectuées par la plateforme
• une section sur la propriété intellectuelle applicable sur les contenus disponibles sur la plateforme
• une section sur les informations personnelles collectées par la plateforme, en indiquant avec qui elles sont partagées, conformément à la loi informatique et libertés de 1978.
• un moyen de rectifier ou supprimer les informations personnelles collectées par la plateforme (le droit à l’oubli, vous savez ? )
• une section sur la limitation de responsabilité
• Et enfin, si cela ne nuit pas à la vie privée du CHATONS, préciser le nom et l’adresse de l’hébergeur (ex.: OVH).

Ces obligations légales protègent les utilisateur·ices et les structures qui proposent ces services, tout autant que les CGU.

Un autre cas où les mentions légales peuvent être utiles, un cas auquel nous (42l) avons été confronté·es assez vite : l’abus de service par une personne malveillante, qu’il s’agisse de l’hébergement de contenu illégal sur un service d’hébergement d’images, de fichiers ou un raccourcisseur de liens… Ce genre de cas qui fait que vous recevrez un email sur abuse@votrechatons.org.

La personne (physique ou morale) qui sera victime de cette activité malveillante essayera de vous contacter, et la page de mentions légales sert justement à indiquer qui contacter et comment. Si la page n’existe pas, ça ne jouera clairement pas en sa faveur en cas de litige.

Je vois donc ça comme une question de solidarité, on ne souhaiterait pas qu’une structure membre de notre collectif se retrouve dans le pétrin à cause d’une page de mentions légales qu’elle n’a pas rédigée.

~Neil

Je suis d’accord @mrflos, à part sur le terme « gauchiste » parce qu’on peut parfaitement trouver de nombreux cas « de droite » ne voulant pas respecter la loi, à tort ou à raison. (EDIT: sans compter les cas « de gauche » très à cheval sur la légalité… ^ ^)

(D’ailleurs, faire rentrer toutes les pensées politiques humaines dans un classement à une dimension, à mon avis c’est juste nul. Et le fait qu’une bonne part des citoyens ne disposent que de cette grille de lecture simpliste pour faire leurs choix civiques me désespère.)

Précision, j’ai dit gauchiste parce qu’il se trouve que les hébergeurs que je prenais en exemple étaient plutôt de ce bord, hein!

Pour moi « gauchiste » est un terme amical pour mes camarades, et ne rentre pas dans les détails de laquelle des 50 nuances de gauchiste il s’agit, dans quelle dimension et dans quel contexte.

Le document doit être clôturé ce soir pour que Angie prenne le relais demain.

Les mentions légales resteraient donc facultatives. Si vous avez d’autres remarques sur le texte final, c’est le moment de commenter, demain ça sera trop tard

Petit message pour vous indiquer que je me mets à la réalisation de la version 1 de ce document pour la poster sur notre dépôt git et en faire un pdf cliquable qui sera transmis aux structures candidates et diffusé sur https://chatons.org/fr/rejoindre-le-collectif

Merci donc de ne plus modifier le contenus de https://pad.rhizome-fai.net/2T57nI0KQBe8buSE3JrAnA !

C’est publié sur Git :

• le texte en md : https://framagit.org/framasoft/CHATONS/-/blob/master/docs/Liste_de_conformité_à_la_Charte_CHATONS.md
• le pdf éditable : https://framagit.org/framasoft/CHATONS/-/blob/master/docs/Liste_de_conformité_à_la_Charte_CHATONS.pdf

N’hésitez pas à en faire une relecture et à m’indiquer s’il y a des modifications à faire (soit ici, soit directement sur le dépôt).

cf Comment candidater [Guide] | Je veux rejoindre le collectif | La litière ,
le git ne donne plus ces documents, mais le wiki peut aider