Une juriste larguée qui fait ce qu'elle peut

Hello les chatons,

Je passe depuis quelques temps par ici et je me documente pas mal sur les projets de chaque chaton … et ce que vous faites est remarquable (même si je ne comprends pas tout)

Je suis juriste en protection des données à caractère personnel et je suis tombé sur votre collectif en essayant de compiler une offre de services alternative à proposer à mes clients dans le cadre de leur mise en conformité au RGPD sans pour autant perturber complètement leur travail au quotidien… et je me suis aperçu que si côté juridique ça allait plutôt bien, il me restait un peu de retard « tech » à rattraper pour me sentir entièrement légitime!

Donc en attendant de me mettre à la page côté tech, je me renseigne ce qui se propose et si je peux contribuer à vos initiatives en réalisant des fiches juridiques thématiques et/ou en essayant de répondre à certaines problématiques que vous rencontrez en lien avec le droit international, du numérique, de la protection des données, etc. n’hésitez pas :slight_smile:

16 « J'aime »

Salut @yasswhere ! Je parle en mon nom, mais j’ai le sentiment qu’il y a plein de questions juridiques qui se posent autour de nos activités, tu a, à mon avis, plus de matière que ce qu’il en faut pour toute une vie x)

L’éléphant dans la pièce c’est l’obligation de conservation des données de connexion pour les hébergeurs et fournisseurs d’accès internet. Ici deux problèmes : c’est abscons ce qui est demandé et il y a un conflit avec le droit européen. Ça fait 7 ans (voire plus) que la Quadrature mène la bataille, le dernier article en date est ici : Données de connexion : une victoire en retard – La Quadrature du Net . Un groupe de travail sur la question est évoqué ici : Lancement d'un groupe juridique CHATONS / FFDN . Clairement, des clarifications sur cette question, ça pourrait aider tout le monde x)

La question qui va arriver prochainement à coup sûr, c’est l’obligation de scan des fichiers par les hébergeurs, avec le CSAM : Scanning CSAM : Les mensonges de la Commission européenne dévoilés - La surveillance ne sauvera pas les enfants. - Moi ça me fait ultra peur cette histoire, et j’ai pas du tout envie de fliquer les gens, surtout que le dispositif technique qui est imposé est par essence boiteux.

Ensuite il y a la loi sur le retrait des contenus terroristes en 1h qui vient d’être promulguée le 16 août dernier : Loi 16 août 2022 retrait contenus terroristes sur internet dans l'heure | vie-publique.fr - Est-ce que ça veut dire qu’on doit préventivement censurer les groupes écolos parce que s’opposer à l’irrigation des golfs en période de sécheresse est de l’éco-terrorisme ? Et comment on fait quand on dort ?

Bref, tu parlais de faire des fiches juridiques thématiques, déjà sur ces 3 lois que je ne comprends pas bien, ça pourrait m’aider de fou :slight_smile: Et je n’en cite que trois, mais il y en a probablement d’autres. Évidemment, l’idéal serait de pouvoir s’y opposer mais là ça devient compliqué…

Tu pourras aussi trouver de l’inspiration sur d’autres sujets ici :

Et si les points précédents ne t’inspirent pas, je serais ravi de te partager toutes les questions légales qu’on se pose, que ce soit du droit d’auteur dans le cadre du libre (Les licenses EUPLet AGPL, en pratique, ça protège quoi ?), du question sur le droit des associations, etc.

Pour la partie tech’, pas d’inquiétude, on a notre jargon mais on peut expliquer les enjeux dans une langue accessible. Perso, je suis aussi prêt à passer du temps pour préciser les éléments tech’ qui peuvent être flous dans notre manière de fonctionner, du moins, du point de vue de l’association à laquelle j’appartiens. Je peux aussi te recommander des lectures, Stéphane Bortzmeyer, qui a écrit le livre « Cyberstructure, internet un espace politique », est très bon pour expliquer les enjeux derrière la technique sans avoir à rentrer dans les détails pratiques ; le journaliste Xavier de la Porte considère d’ailleurs S. Bortzmeyer comme « un passeur de savoir » . Mon conseil : ne laisse pas la technique être un frein à ta volonté d’implication dans le collectif, ce n’est pas du tout un pré-requis. Une dernière pour enfoncer le clou : je crois que PYG de Framasoft dit que ce qui est important pour les communautés du libre, ce sont les « touilleuses » et « touilleurs », c’est à dire, non pas les gens qui codent directement, mais toutes ces personnes qui font vivre la communauté, qui arrivent à se faire parler des gens d’horizons différents avec des compétences différentes, et in fine, qui connectent les besoins aux personnes techniques, etc. Il y en a déjà au sein du collectif, et tu pourrais rejoindre leurs rangs, pas besoin de se noyer dans la technique, et si tu veux apprendre la technique c’est possible aussi :slight_smile:

Bref, bienvenue sur le forum !

10 « J'aime »

Salut @quentin,

Je suis super heureuse de ce retour! ( un peu moins pour les problématiques )

Je travaille déjà sur ces thématiques pour ma veille personnelle et mes recherches … donc ce que je peux faire, ce sont des documents de synthèse plus lisibles que ce que j’ai à l’heure actuelle avec des recommandations de conduite en conclusion afin de les mettre à disposition dans la partie « legal » du forum. Je ne sais pas si ça répondra à toutes vos questions mais ça peut constituer une base, après je sais que LQDN fait déjà du très bon boulot so… je propose cette contribution de manière très humble :slight_smile:

Je vais me pencher sur les premières pistes que tu m’as cité sur mon temps libre au cours de ces prochaines semaines et on pourra défricher ensemble les autres problématiques qui se posent ou se poseront petit à petit , ça me permettra d’affiner mes connaissances de mon côté aussi.

Pour la partie tech’ je te remercie pour les pistes et la bienveillance, je vais sûrement lire ce que tu m’as recommandé … à vrai dire ça ne me freine pas du tout, bien au contraire, je me demande seulement comment j’ai pu autant me spécialiser sur la partie juridique et me contenter autant du striiiiiict minimum pour le reste! ça commence à pas mal m’handicaper lorsque je suis sur de gros projets mais comme tu dis ce qui fait vraiment avancer c’est la synergie des compétences et des volontés et j’ai l’impression que par ici, ça vous savez faire ^^

12 « J'aime »

Je pense que ça serait super intéressant pour nous en effet :slight_smile:

Oui, LQDN est très forte, mais elle concentre son action vers les institutions pour faire bouger le cadre légal, et pas spécialement vers les hébergeurs pour leur expliquer ce fameux cadre légal, leur faire un récapitulatif de où on est, qu’est ce qu’on risque en faisant quoi, quel est l’état exact des décrets en cours, etc. Par exemple je ne me sens pas de faire tout cet historique :

Et même en lisant, je suis pas sur de tout comprendre, ni d’avoir tous les détails techniques parce que ce n’est pas l’enjeu quand LQDN fait ses recours ?! Du coup j’ai le sentiment que ton travail pourrait être très complémentaire !

Pour la partie tech’, je ne sais pas trop ce que tu veux creuser, donc je ne voudrais pas t’envoyer sur de fausses pistes. Le livre de Bortzmeyer c’est un aperçu haut niveau de ce qui se passe, si tu cherches plus de la pratique, on a compilé quelques liens sur notre guide ici suite à un message sur le forum CHATONS de quelqu’un qui voulait se former à « l’administration système », ce qui est un métier central de « l’hébergement » : https://guide.deuxfleurs.fr/formations/sysadmin/.

En tout cas n’hésite pas à ouvrir un post sur le forum pour parler de ce que tu voudrais faire/explorer/apprendre, et on doit pouvoir aussi te présenter la partie technique de notre association (deuxfleurs.fr) en visio si tu le souhaites.

2 « J'aime »

Ca sera super interessant pour moi aussi je pense :grin:
j’ai déjà commencé à mettre de l’ordre dans ma veille, ça va me prendre un peu de temps pour arriver à un truc assez propre pour vous le partager mais je suis dessus!

MERCI :heart_eyes: Je serai ravie de faire une visio avec vous et ce guide est exactement ce que je cherchais! (j’ai quand même commencé à lire le livre de Bortzmeyer et il est également très riche en réflexion ! )

En fait mon but n’est pas de pouvoir changer de métier… La partie ingrate de mon métier est que je viens souvent perturber les habitudes des équipes avec qui je bosse et j’aimerai réussir à distinguer les « je ne veux pas faire ce que tu me dis parce que techniquement ce n’est pas possible/trop long/trop cher » et les « je ne veux pas faire parce que tu me dis parce que tu me saoules donc je vais te dire que techniquement ce n’est pas possible » …

Côté conformité web ma grande bataille actuellement c’est d’arrêter l’utilisation de typeform ou autre outil de quizz qui impliquent un transfert de données hors UE mais souvent les alternatives sont chères/ou ont une interface qui ne donnent pas envie aux clients de les remplir donc je préconise de coder sois-même un questionnaire mais les dev me disent souvent que c’est trop long/compliqué à faire (ce que je conçois parfaitement, mon rôle est d’apporter des solutions et non d’empêcher les gens de bosser sur leurs autres projets) mais du coup à chaque fois je me retrouve à insérer des clauses dans la politique de confidentialité déjà complexe afin de préciser que ces données sont transférées, etc. Donc, factuellement mon job est fait et le site est bien conforme au rgpd mais par contre je passe complètement à côté de ce qui m’a vraiment amené à faire ce métier, à savoir arrêter de filer de la donnée personnelle tout le temps à tout le monde sans vraiment savoir s’il était possible de faire autrement…

Bref je suis consciente que je pars de loin mais je veux qu’on arrête de se moquer des utilisateurs et qu’on ne se contente plus de rajouter encore et encore du texte juridique pour se protéger nous sans les protéger.

5 « J'aime »

Bonjour,

Tu trouveras certainement sur ce forum d’autres gens intéressés par ta démarche. Je pense notamment à @interhop dont le propos est de traiter d’autres données dites «sensibles» au sens RGPD du terme. C’est à dire des données de santé. Nous avions notamment échangé avec leur DPO dont le coeur de compétence est bien juridique avant d’être technique.

Je modérerais cette notion de «transfert hors UE» pour deux raisons.

  • Le gros du lobbying actuel auprès de la commission et du parlement européen est bien de rétablir un cadre légal aux transferts de données hors UE. Parce que ça freine le business . Et ce n’est pas porté uniquement par les GAFAM mais bien par une bonne partie de l’industrie «numérique» y compris full EU.
  • il semblerait qu’il y ait une décorrélation entre le lieu où sont hébergées les données et la législation qui s’y applique. C’est probablement le cas en Belgique Certains opérateurs auraient obtenu des garanties de la part de l’état local qui se rapproche du statut d’extraterritorialité d’une ambassade de pays tiers.

Et puis, quelques fois et en parfait imposteur, je m’interroge sur le métier «devops fullstack» qui a tendance à se réduire à «je sais utliliser l’api de telle ou telle plateform». J’ai pas mis de «e» pour faire le lien avec typeform :slight_smile: .

Du coup, ne te lasses jamais d’emmerder tes collègues même si c’est parfois ingrat. Iels comprendront plus tard.


Une ressource en français pour débuter de zéro https://developer.mozilla.org/fr/docs/Learn/Forms

2 « J'aime »

Une suggestion : ce serait chouette que ces documents de synthèse apparaissent aussi dans le wiki du collectif (là où l’on met toute notre documentation).

De plus, il y a 2 pages qui concernent le juridique sur ce wiki, mais elles mériteraient une bonne mise à jour car personne ne s’en est occupé depuis des années, donc si tu as l’envie et l’énergie, ce serait vraiment très bienvenu :

(pour pouvoir éditer les pages sur le wiki, il faut t’y créer un compte et me faire connaître ton id afin que je t’autorise la modification).

4 « J'aime »

J’adore le travail que fait @interhop et je suis ravie d’apprendre que leur DPO n’est pas très loin - J’ai été médecin avant de me reconvertir en droit donc je suis très sensible à leur boulot et si on peut créer des synergies entre nous j’en serai ravie.

Alors je te rejoins entièrement sur la partie lobbying par contre je ne suis pas sûre de comprendre ton propos concernant le second point (?)

Je te remercie pour ton lien en tout cas, il m’aidera à continuer d’embêter (encore mieux) mes collègues :smiley:

1 « J'aime »

Ça fait un petit moment que nous n’avons pas eu de nouvelle d’@interhop sur ce forum. Mais iels sont toujours actifs.

Ah mais je savais que tu étais médecin ! ( En vérité, non, mais ça s’appelle avoir de l’intuition après confirmation :slight_smile: ). Si tu nous dis avoir pour client Doctolib, je trouverais cela encore plus intéressant. :upside_down_face:

Cependant, pour revenir à ta proposition initiale de contribution, notre collectif informel est preneur de toutes les bonnes volontés de faire. @Angie a signalé deux exemples très pratico pratiques dans le post précédent. Peux-tu nous faire un retour explicite sur ces deux points ? ( Note que cela peut-être également expliciter un «frein» à contribuer au wiki.)

Enfin sur l’aspect synergies. As-tu lu ce fil de discussion ? et celui-ci ? Merci par avance pour tes réponses !

Bonjour à tous et à toutes.
Nous continuons en effet à travailler sur ces sujets, notamment sur les données de santé.
Au plaisir de poursuivre les discussions.

2 « J'aime »

@yasswhere @interhop

Bonjour,

Gozmail est très intéressé par ces initiatives et propositions. Nous souhaitons nous mettre en conformité RGPD, et en particulier nous cherchons à définir des politiques de conservation équilibrées par rapport au type de données que nous stockons (des données de compte utilisateur, des mails, blogs, etc).

Y a-t-il un groupe de travail actif sur le sujet, et à défaut, pouvons-nous le créer ?
Je pense que cela pourrait faire l’office de recommandations/modèles par type de service utilisable par tous les chatons.

Sekil, pour Gozmail

Tout à fait d’accord pour la création d’un groupe.
Il faut en discuter avec notre déléguée à la protection des données → interhop@riseup.net