Et pour les exemptions, c’est seulement les « très petites entreprises » donc moins de 10 personnes « occupées » (avec la vraie problématique ici de la contribution aux sources en particulier en faveur de l’entreprise majoritaire dans le réseau et l’usage de bénévoles pour la modération) et moins de 2 millions de CA. Le tout sans devoir être gate-keeper donc pour une plateforme sous les 45 millions d’utilisateur actifs par mois ou en situation de distorsion de marché (ce que peut être doublement Mastodon).
Les destinataires du service devraient pouvoir contester facilement et efficacement certaines décisions des fournisseurs de plateformes en ligne, relatives à l’illicéité d’un contenu ou à son incompatibilité avec les conditions générales, qui ont une incidence négative pour eux. Il convient donc que les fournisseurs de plateformes en ligne soient tenus de prévoir des systèmes internes de traitement des réclamations, qui remplissent certaines conditions visant à garantir la facilité d’accès à ces systèmes ainsi que leur capacité d’aboutir à des résultats rapides, non discriminatoires, non arbitraires et équitables, et à garantir que ces systèmes fassent l’objet d’un réexamen par un être humain lorsque des moyens automatisés sont utilisés Ces systèmes devraient permettre à tous les destinataires du service d’introduire une réclamation et ne devraient pas fixer d’exigences formelles, telles que le renvoi à des dispositions juridiques spécifiques pertinentes ou à des explications juridiques compliquées. Les destinataires du service qui ont soumis une notification, au moyen du mécanisme de notification et d’action prévu par le présent règlement ou par l’intermédiaire du mécanisme de notification des contenus qui enfreignent les conditions générales du fournisseur de plateformes en ligne, devraient être autorisés à utiliser le mécanisme de réclamation pour contester la décision du fournisseur de plateformes en ligne concernant leurs notifications, y compris lorsqu’ils estiment que les mesures prises par ce fournisseur n’étaient pas adéquates. La possibilité d’introduire une réclamation visant à obtenir l’annulation de la décision contestée devrait être disponible pendant au moins six mois, à compter du moment auquel le fournisseur de plateformes en ligne a informé le destinataire du service de la décision.
Et article 14
Les fournisseurs de services intermédiaires incluent dans leurs conditions générales des renseignements relatifs aux éventuelles restrictions qu’ils imposent en ce qui concerne l’utilisation de leur service vis-à-vis des informations fournies par les destinataires du service. Ces renseignements comprennent des informations sur les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain, ainsi que sur le règlement intérieur de leur système interne de traitement des réclamations. Ils sont énoncés dans un langage clair, simple, intelligible, aisément abordable et dépourvu d’ambiguïté, et sont mis à la disposition du public dans un format facilement accessible et lisible par une machine.
« Très petite plateforme » ne s’applique de toute façon pas à Mastodon, que ça soit à titre individuelle pour les instances de plusieurs milliers de personnes, ou de toute façon à titre collectif, la décentralisation n’étant pas décomptée comme des entités séparées mais comme des entités communes (cf article Contexte).
Il faut que je retrouve d’ailleurs vu qu’on a parlé de moralité un peu plus bas ici aussi la convention de modération rédigée par l’ACLU et l’EFF et qui est supposé représenter une bonne vision de la moralité. Spoiler : l’obligation d’appel fait parti des exigences pour un respect de la démocratie.
Ne pas permettre une procédure d’appel (neutre, impartiale, etc) est donc non seulement illégal mais aussi immoral.
Alors ces 2 concepts, s’il y a bien un domaine où tu ne veux pas les mettre en œuvre, c’est bien celui-ci. Vraimente.
Les principes fondamentaux du RGPD et de ePrivacy découlent directement de l’article 8 de la Convention Européenne des Droits de l’Homme et sont justement le retour à la morale dans le droit. Beaucoup de domaines qui se pensaient justement moraux se sont pris ce truc dans les dents derrière et que ben non, pas de bol, t’avais oublié tout un pan de la morale… Le libre est un de ces domaines-là.
Idem côté lettre et esprit de la loi. Pas du tout le bon plan d’aller jouer avec ça du côté du RGPD, la CJUE est encore plus aggressive que ça sur sa lecture de l’esprit de la loi et rend des décisions parfois même très très surprenante. Cf sa jurisprudence sur 2(2)c ou encore la dépublication des registres de transparence.
Alors elle est aussi un problème légal pour le coup.
Mastodon avait déjà un problème de légalité avec à cause du comportement d’Eugen (qui fait que de facto le DSA s’appliquerait à lui en tant que gate-keeper, cf article de Contexte), mais que ça va être encore pire à partir du 1er mars où il entre aussi en vigueur pour tout le monde et plus exclusivement pour les GK.
Le simple fait qu’il n’existe aucune procédure propre, correcte et neutre d’appel en cas de blocage fait que Mastodon va devenir encore plus illicite à partir du 1er mars.
Je répète : sinon les instances auto-hébergées (et encore, en théorie arrêt de la CJUE sur les réseaux sociaux, l’exemption du RGPD au titre du 2(2)c pour usage strictement personnel et domestique n’est pas possible ici), tout le reste est ILLÉGAL en Europe.
Chapril compris !
Tweet de Alexandre Archambault, avocat numérique français :
Des nouvelles de la modération par les geeks (Usenet hier, Discord aujourd'hui). Les mecs partent en vrille à la moindre contrariété froissant leur petit égo.
Et le jour où la justice s'intéressera aux pratiques des shérifs numériques sur Mastodon, ça va être un festival.
Et une des réponses :
L'existence même de ces shérifs sur Mastodon (à l'insu des utilisateurs un serveur plus loin) est une raison suffisante à ne pas y aller.
Et qui veut aller dans la brousse de Mastodon, Bluesky ou Threads lorsque tout se passe sur X?
Encore une fois, c’est toi qui dit qu’il faudrait tout jeter.
Moi j’ai juste dit que sur des gros projets d’envergure, on n’avait plus que le choix entre des trucs pas conformes US et des trucs encore plus pas conformes EU, avec en plus en Europe souvent un gros retard au niveau fonctionnalités.
Et donc que rationnellement il faut faire dorénavant un choix, et que juste dire « ah ben oui mais c’est libre/souverain » est juste un mauvais argument pour faire ce choix. Être libre ou souverain ne veut plus RIEN dire (surtout en 2024 hein…) et n’est PAS un argument sinon un totem d’immunité sans aucun intérêt ni technique, ni moral, ni éthique, ni conformité, ni rien.
Et quand à dire « oui mais c’est l’instance qui doit respecter », déjà c’est faux, Mastodon agit en co-responsabilité de traitement (ils définissent et les moyens et des finalités sans demander l’avis préalables de toutes les instances, et en particulier ne permettent pas à une instance de ne pas activer les nouvelles fonctionnalités sans perdre les mises à jour de sécurité) et donc pas en sous-traitant et conserve donc la responsabilité mais en plus même si c’était vrai, ça sert à quoi de développer un soft européen si PERSONNE n’a légalement le droit de s’en servir sans devoir tout recoder ?
C’est toi qui est de mauvaise foi ici.
Je te cite une position WTF de Eugen, qui n’a pas changé depuis. Je t’ai cité tout un article de Contexte qui étudie le problème. Je t’ai cité un avocat du numérique parmi le plus réputé en France sur ce sujet qui te dit qu’il y en a un.
Je peux continuer encore hein.
Bon, sinon, Framasoft, zéro amendes pour violation de RGPD, et pourtant leur forge logicielle a même été utilisé pour notre gouvernement pour les codes de Parcours Sup.
Ne pas avoir d’amende ne veut pas dire que tu es conforme avec la loi
Sais-tu que la CNIL (qui est une APD déficiente d’ailleurs, au même titre que la DPC) recommande actuellement un logiciel (libre) pour l’éducation nationale qui représente actuellement un contrôle là-bas pour la violation de la totalité du RGPD de l’article 5 à l’article 50 et un joli dossier de plus d’une centaine de pages de violation RGPD diverses et variés ? Et même a priori qu’elle ne veut pas le sanctionner et abuse de délais de réponse effroyables et de pirouettes juridiques pour éviter d’avoir à le faire ? Certainement pour cause d’ordre politique d’ailleurs… T’aurais été chez Pronote t’aurais eu moins de problème…
Il y a des centaines d'instances Mastodon, tu sais trouver des exemples d'instances qui se foutent du RGPD, et tu en conclus que c'est la techno et le modèle qui sont pétés ?
Toute sauf les self-hosted mono utilisateur (exemption de RGPD article 2(2)c, et encore c’est compliqué). Actuellement des fonctionnalités sont en dur dans le code en violation du RGPD (les notes libres sur un compte utilisateur violent l’article 13 du RGPD et les lignes directrices de la CNIL sur les champs libres). Le manque de certaines fonctions aussi (auditabilité des accès et action administrateur qui violent les principes d’accountability et sont une obligation légale). À ma connaissance aucune instance n’a un DPA digne de ce nom et encore moins légal avec leur sous-traitants, tout ceux dispos en ligne étant illicites puisqu’il manque des clauses obligatoires (et que la CNIL en a déjà condamné 2 ou 3 des comme ça). La quasi totalité des instances n’ont aucune privacy policy ou juste pas licites. Aucune instance ne sait répondre à une demande d’accès article 15, les registres de traitement sont inexistants, le droit à la portabilité est incomplet…
Les instances principales ont basculés sur Cloudflare, en violation de Schrems II. D’autres ont activé reCaptcha, aussi en violation de Schrems II et des sanctions CNIL sur le sujet.
Eugen et sa clique refusent voire réfutent l’applicabilité du DSA (https://www.contexte.com/actualite/tech/plateformes-le-mastodon-dans-la-piece-2_160879.html)
Les propos même de Eugen font extrêmement peur. Le mec est littéralement le développeur principal d’un réseau social mais vient annoncer la bouche en cœur qu’il ne traite aucune DCP… https://github.com/mastodon/mastodon/issues/7280#issuecomment-385376837
Ça devrait juste allumer des warnings de partout que ce mec ne sait juste absolument pas de quoi il parle…
Et on ne parle pas d’un choix à faire entre 2 réseaux légaux avec leurs avantages et leurs défauts, mais bien d’un non choix entre 2 réseaux illicites qui finiront je l’espère, DANS LES DEUX CAS par avoir des comptes à rendre à la justice.
Mon sujet est justement qu’on ne devrait prendre ni l’un ni l’autre.
Et construire un truc autre. Certainement pas se ruer sur Mastodon au motif que c’est libre, décentralisé ou souverain.
Je n’ai pas dis qu’ils rempliraient à la perfection les cases de sécurité.
Je dis que de tous les systèmes que j’ai pu auditer, de près ou de loin, en interne comme en externe, ceux qui ont actuellement sur les tables d’autopsie des autorités de protection des données les dossiers les plus petits de ma part sont les GAFAM.
Et que la plupart des problèmes auxquels ils font face sont généré in fine par leurs propres clients et non par leur business direct.
À l’inverse les dossiers les plus importants que j’ai eu à faire sont ceux concernant des entreprises FR ou du logiciel libre. Je galère plus avec des admins ou développeurs d’instances Mastodon pour leur faire comprendre le RGPD qu’à des gus de chez Google ou de l’IAB, ils sont moins de mauvaise foi.
Qui a été capable de répondre correctement et dans les temps à une demande d’accès RGPD ? Les GAFAM.
Qui a été capables de propager des demandes d’opposition correctement et efficacement ? Les GAFAM.
Qui est capable de détecter le mésusage des interfaces d’administration grâce à du SIEM et procèdent au licenciement de plusieurs milliers d’employés indélicats chaque année ? Les GAFAM.
Qui ont des mécanismes capables de gérer les droits d’effacement et d’opposition jusque dans les systèmes de sauvegarde avec la mise en place de clefs de chiffrement individualisées dont il suffit de détruire la clef pour détruire les backups ? Les GAFAM.
Oui leurs pubs est pas cool mais qui a été capables de me filer tous les affichages de mon profil et l’ensemble des annonceurs concernées ? Les GAFAM. En face en France les boîtes se font sanctionner par la CNIL pour avoir refuser de communiquer les annonceurs…
C’est pas parfait, la preuve, ils se prennent des amendes. Mais quand tu vois toutes les amendes qui tombent, surtout dans les pays avec des APD fonctionnelles, ça pique fort sur les non GAFAM. Plus fort.
L’Espagne qui a une des APD les plus efficaces, Google c’est 1 sanction, Facebook 0. À l’inverse Vodafone c’est 75 condamnations, les banques 11, les assos on en est déjà à 25 sanctions, et même les particuliers on en est à 154. Si on les lâchait en France, ça serait des amendes pour tout le monde ou presque.
Et rappelons aussi un truc que les gens oublient vachement beaucoup : les GAFAM ne se rémunèrent pas par la pub. Pas dans le sens que les gens le pense. Les GAFAM se rémunèrent sur le pourcentage qu’ils touchent de leurs clients qui vendent d’un côté des placements produits et de l’autre des emplacements publicitaires.
Demande au marketing de chez toi ce que ça fait si Facebook ne leur envoie plus leur KPI de placement produit que eux ont demandé de cibler, tu vas voir, ils vont pleurer.
Le vrai problème des GAFAM est surtout leur taille, qui induit effectivement des effets de masses à la con.
Transparence des conditions générales d’utilisation des réseaux
Les CGU de la plupart des instances sont illicites.
Donc transparence c’est cool, mais si c’est parce que t’as oublié les ¾ des mentions obligatoires…
Droit à la portabilité des données pour les internautes
Qui n’est pas complète et donc illicite.
Actuellement on perd le contenu.
Même Twitter est meilleur. Mon ancien compte est dispo ici : https://twitter.imirhil.fr/.
Mon ancienne instance Mastodon par contre…
Conditions adaptées pour les utilisateurs de moins de 15 ans
Obligation d’autorisation parentale pour l’inscription des mineur
Existe chez la plupart des GAFAM.
Et tu as oublié l’article 15, respecté par les GAFAM et pas par Mastodon, l’article 13 dont Mastodon refuse la mise en œuvre (et pas les GAFAM), etc.
J'ai failli répondre aussi sur les Chatons et Framasoft.
La preuve qu'une poignée de bénévoles, et quelques salariés associatifs peuvent fournir
des services pertinents et efficaces.
Mais illégaux. Comme déjà signalé par NOYB et j’en fais aussi le constat, la plupart des systèmes y compris libres violent la majorité du temps la plupart des obligations légales de sécurité.
Typiquement Mastodon viole frontalement le RGPD par pilées de 12, ça leur a déjà été remonté, et ils en ont rien à foutre.
Je suppose qu’on lâcherait une APD fonctionnelle sur les Chatons, soit les opérateurs soit les utilisateurs se prendraient des prunes dans les mêmes volumes.
Aller, pour rigoler, combien de Chatons ont un SIEM, un IAM ou juste simplement des interfaces d’administration dédiées au niveau matériel et non exposées au net ?
C’est pas tant de dire que tout est foutu mais que la décision du HDH n’est pas forcément si débile que ça. Oui on peut encore réagir, mais à date, ça va être difficile. Et si tu ne veux pas accumuler du retard côté santé, faut AUSSI avancé sur le HDH.
Déjà que leur juridiction a vocation supra-nationale
Question simple : as-tu déjà vu réellement un débordement de FISA ou du Cloud Act ? La réponse est assez simple a priori : ça n’existe juste pas. Manhack avait débunké ça dans son article cité dans le mien, et les gens se font tout un patakès d’un truc qui en vrai sont juste des accès juridiques rapides comme il en existe des tonnes un peu partout dans le monde et en Europe. Ce n’est pas une porte ouverte à toutes les fenêtres.
Cet argument est juste un argument pour aller taper gratuitement sur les US sans avoir à se justifier plus que ça (et je reconnais moi-même l’utiliser en ce sens), mais sans action AUSSI côté EU, Schrems II est un non argument.
Qu’est-ce qu’un gouvernement étranger peut faire de mes données de santé ? Globalement rien.J’ai bien plus peur d’une action de mon gouvernement qui peut me foutre en zonzon quand il a envie sans avoir à se justifier que d’un gouvernement étranger qui voudrait en faire de même.
Je veux dire, quitte à choisir entre la peste et le scorbut, prends le scorbut
et achète des fruits, au final tu t'en sortiras mieux, et pour moins cher !
Je pige toujours pas l'argument moi.
Tu supposes qu’on a des fruits. On n’en a pas.
de l'autre on pourrait faire des appels à projet et des subventions, qui pour
une fois pourraient ne pas être perdus, et reviendraient moins cher. Parce que
bon, ça coûte une blinde de se faire plumer.
Ça aurait été vrai si on avait agit au départ. On a dorénavant une 15aine d’années sinon plus de retard sur les systèmes US et rattraper le retard coûtera HORRIBLEMENT plus cher que de continuer à engraisser l’Oncle Sam.
Oui, on peut encore agir, mais ça va faire VRAIMENT SA MÈRE mal.
On parle de rattraper au moins 15 à 20 ans de subventions à 2 milliards d’euro sur un seul projet pour quatre hébergeurs. Soit au bas mot une enveloppe de quelques centaines sinon milliers de milliards à foutre sur la table en quelques années. Et en provisionnant déjà les subventions à venir et à maintenir chaque année.
C’est un peu différent pour les US. Ou la Chine d’ailleurs. Ils ont fait en sorte d’avoir des entreprises nationales qui répondent à leurs besoins et ne les tiennent pas en vie sous perfusion aux soins palliatifs alors qu’elles sont totalement obsolètes. Au contraire ils injectent de l’argent pour les conserver dans la course au niveau décent attendu par l’état de l’art.
Pour faire le parallèle avec ce qu’on vit en France avec le parc nucléaire, c’est la différence entre maintenir dans la course ton fleuron industriel national en lui commandant chaque année des réacteurs en plus qui lui subventionnent les études de la prochaine génération et le maintenir sous perfusion d’argent public pour qu’il ne meurt pas parce que tu ne lui en as plus commandé depuis 20 ans et qu’il s’avère incapable d’en faire dorénavant…
Ça coûte le même pognon, sauf que dans un cas tu as de la Gen3 et tu attaques la R&D de la Gen4 et dans l’autre de la Gen2.5 où tu patauges à sortir de la Gen3…
C’est aussi tout le problème du truc, c’est que le jour où tu arrêtes la commande publique… le système s’effondre tout seul. A priori Google ou Amazon cessent d’exister tels qu’on les connaît si la commande publique disparaît.
Et oui, une fois que tu es compétitif par rapport à tout le reste, ben tu profites aussi de ta position dominante… Les Chinois et les Américains peuvent se tirer la bourre avec leur techno et envisager de striker le concurrent du marché, ils s’en foutent ils n’ont pas besoin du voisin et ça fait parti des négociations.
Quand t’es l’Europe et dépendant des 2 autres, c’est pas la même chose… Difficile de mettre dans la balance l’arrêt des imports ou des exports, t’as rien à leur proposer et ils savent que sans eux, tu crèves 🤣
Alors il n’y a pas beaucoup plus de volonté de certification de la part des éditeurs eux-mêmes hein.
C’est long, chiant, pénible, ça limite tes possibilités de développement et les entreprises préfèrent violer la loi que de la respecter, parce que sinon viser les 10% de croissance n’est plus possible…
Va demander à une boîte d’interdire à ses devs d’avoir le moindre accès à la prod. Pour quelques raisons que ce soit. Même pour debug, même pour avoir des logs. Même pour faire des déploiements. Ça va couiner. Beaucoup.
Et je sais de quoi je parle, c’est extrêmement galère au quotidien à gérer et faut encaisser la direction qui comprend pas pourquoi le moindre déploiement prend 7 jours juste pour ajouter un filtre dans un formulaire web.
Parce que tu dois avoir l’approbation de la Q/A, de la qualif PCI-DSS et les 3 paraphes de la DSI. Que les ¾ des libs disponibles sur Terre te sont interdites parce que ne passent pas les prérequis techniques minimaux.
Ajouter un lien sur le site web, ça a été 6 mois de taff, avec implication de la DSI, du responsable juridique, etc.
Après on a un énorme avantage : on a l’ACPR qui est un régulateur qui est « un poil » plus chiant que la CNIL. 2 contrôles annuels de fond en comble avec insta strike de tout ton business pendant X mois à la moindre case qui passe en rouge, ça motive assez sévère à envoyer chier la direction 🤣
Et on a 2 personnes à plein temps juste pour gérer les audits permanents.
Je ne vois aucune raison de privilégier plus les entreprises locales des entreprises étrangères. On est actuellement dans un monde globalisé où on s’en cogne un peu complètement de ta nationalité. Pourquoi est-ce qu’on irait payer plus cher un produit plus merdique juste parce qu’il est FR alors que le concurrent DE ou US fait mieux pour moins cher ?
Si encore le produit FR n’est pas foncièrement trop éloigné des caractéristiques et des coûts de la concurrence, bon ok pourquoi pas faire un petit effort pour le privilégier et payer 10% de plus pour faire local avec peu ou prou les mêmes fonctionnalités. Mais quand les écarts sont juste abyssaux…
Sans parler que typiquement, s’il y a bien un truc que t’as pas spécialement envie de voir dans les mains de ton État, c’est bien tes données de santé…
Point Godwin, mais il n’y a pas si longtemps, la Stasi aurait été ravie d’avoir juste un select à faire dans une base de données pour choper tous les handicapés, les juifs ou les homosexuels de sa population et que c’est aussi ce genre de problème qui a conduit à la fondation de la CNIL en 1978…
Il y a du coup certainement un compromis à faire à ce niveau entre favoriser du national et se protéger d’un éventuel petit problème de changement de régime politique…
Le 100% FR n’est pas non plus une balle en argent. Surtout à l’approche de 2027…
Pour l’avoir vécu en direct avec la réquisition illicite de mes machines sur décision illicite d’un juge sur impulsion illicite politique après une décente de police illicite dans le datacenter d’un hébergeur français, les avoir héberger en Allemagne ou aux Pays-Bas m’aurait éviter beaucoup d’ennuis et de frais de justice…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2. Dernière modification le 20 février 2024 à 13:46.
Et pour les exemptions, c’est seulement les « très petites entreprises » donc moins de 10 personnes « occupées » (avec la vraie problématique ici de la contribution aux sources en particulier en faveur de l’entreprise majoritaire dans le réseau et l’usage de bénévoles pour la modération) et moins de 2 millions de CA. Le tout sans devoir être gate-keeper donc pour une plateforme sous les 45 millions d’utilisateur actifs par mois ou en situation de distorsion de marché (ce que peut être doublement Mastodon).
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 3.
Pour le texte exact, c’est ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022R2065
Les points importants soulevés :
Considérant 58
Et article 14
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2.
« Très petite plateforme » ne s’applique de toute façon pas à Mastodon, que ça soit à titre individuelle pour les instances de plusieurs milliers de personnes, ou de toute façon à titre collectif, la décentralisation n’étant pas décomptée comme des entités séparées mais comme des entités communes (cf article Contexte).
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2.
C’est une obligation du DSA qui s’applique à toutes les plateformes en ligne depuis le 17 février, en particulier pour tout système de réseau social : https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act
Il faut que je retrouve d’ailleurs vu qu’on a parlé de moralité un peu plus bas ici aussi la convention de modération rédigée par l’ACLU et l’EFF et qui est supposé représenter une bonne vision de la moralité. Spoiler : l’obligation d’appel fait parti des exigences pour un respect de la démocratie.
Ne pas permettre une procédure d’appel (neutre, impartiale, etc) est donc non seulement illégal mais aussi immoral.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2.
Alors non justement, c’est pas ton choix : https://www.freenews.fr/freenews-edition-nationale-299/services-web-180/anti-spam-justice-confirme-condamnation-de-free-blocage-excessif
Actuellement peu de procédures sont lancés là-dessus, mais non, les antispams, en tout cas ceux rejettant le trafic, sont juste en théorie interdits, chaque utilisateur est supposé avoir le droit de décider de lui-même du contenu qui atteint ou non, sa boîte de réception.
[^] # Re: Deux concepts qui me semblent utiles au vu des discussions ici
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2.
Alors ces 2 concepts, s’il y a bien un domaine où tu ne veux pas les mettre en œuvre, c’est bien celui-ci. Vraimente.
Les principes fondamentaux du RGPD et de ePrivacy découlent directement de l’article 8 de la Convention Européenne des Droits de l’Homme et sont justement le retour à la morale dans le droit. Beaucoup de domaines qui se pensaient justement moraux se sont pris ce truc dans les dents derrière et que ben non, pas de bol, t’avais oublié tout un pan de la morale… Le libre est un de ces domaines-là.
Idem côté lettre et esprit de la loi. Pas du tout le bon plan d’aller jouer avec ça du côté du RGPD, la CJUE est encore plus aggressive que ça sur sa lecture de l’esprit de la loi et rend des décisions parfois même très très surprenante. Cf sa jurisprudence sur 2(2)c ou encore la dépublication des registres de transparence.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2.
Alors elle est aussi un problème légal pour le coup.
Mastodon avait déjà un problème de légalité avec à cause du comportement d’Eugen (qui fait que de facto le DSA s’appliquerait à lui en tant que gate-keeper, cf article de Contexte), mais que ça va être encore pire à partir du 1er mars où il entre aussi en vigueur pour tout le monde et plus exclusivement pour les GK.
Le simple fait qu’il n’existe aucune procédure propre, correcte et neutre d’appel en cas de blocage fait que Mastodon va devenir encore plus illicite à partir du 1er mars.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1. Dernière modification le 20 février 2024 à 10:52.
Je répète : sinon les instances auto-hébergées (et encore, en théorie arrêt de la CJUE sur les réseaux sociaux, l’exemption du RGPD au titre du 2(2)c pour usage strictement personnel et domestique n’est pas possible ici), tout le reste est ILLÉGAL en Europe.
Chapril compris !
Et lire aussi ici ce que j’ai du faire pour une de mes assos pour (tenter de) me mettre en conformité : https://wiki.asso-purr.eu.org/registre#firefish
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 3.
Tweet de Alexandre Archambault, avocat numérique français :
Et une des réponses :
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1.
Encore une fois, c’est toi qui dit qu’il faudrait tout jeter.
Moi j’ai juste dit que sur des gros projets d’envergure, on n’avait plus que le choix entre des trucs pas conformes US et des trucs encore plus pas conformes EU, avec en plus en Europe souvent un gros retard au niveau fonctionnalités.
Et donc que rationnellement il faut faire dorénavant un choix, et que juste dire « ah ben oui mais c’est libre/souverain » est juste un mauvais argument pour faire ce choix. Être libre ou souverain ne veut plus RIEN dire (surtout en 2024 hein…) et n’est PAS un argument sinon un totem d’immunité sans aucun intérêt ni technique, ni moral, ni éthique, ni conformité, ni rien.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1. Dernière modification le 20 février 2024 à 10:07.
Et quand à dire « oui mais c’est l’instance qui doit respecter », déjà c’est faux, Mastodon agit en co-responsabilité de traitement (ils définissent et les moyens et des finalités sans demander l’avis préalables de toutes les instances, et en particulier ne permettent pas à une instance de ne pas activer les nouvelles fonctionnalités sans perdre les mises à jour de sécurité) et donc pas en sous-traitant et conserve donc la responsabilité mais en plus même si c’était vrai, ça sert à quoi de développer un soft européen si PERSONNE n’a légalement le droit de s’en servir sans devoir tout recoder ?
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 3.
C’est toi qui est de mauvaise foi ici.
Je te cite une position WTF de Eugen, qui n’a pas changé depuis. Je t’ai cité tout un article de Contexte qui étudie le problème. Je t’ai cité un avocat du numérique parmi le plus réputé en France sur ce sujet qui te dit qu’il y en a un.
Je peux continuer encore hein.
Mastodon ne réfléchit pas et utilise du local storage en violation de ePrivacy : https://github.com/mastodon/mastodon/issues/28477
Mastodon ne réfléchit pas et inclut hCaptcha malgré la décision de la CNIL et d’autres APD sur le sujet : https://github.com/mastodon/mastodon/issues/25025
Mastodon refuse toujours de virer hCaptcha au motif de « on n’a pas le temps, on doit shiper » : https://github.com/mastodon/mastodon/issues/25023
Mastodon implémente n’importe comment le droit à la portabilité et bloque le droit à l’effacement : https://github.com/mastodon/mastodon/issues/22042
Mastodon n’est pas complet sur l’article 22 et l’article 15 : https://github.com/mastodon/mastodon/issues/14719
Mastodon viole les 22 arrêts de la CJUE sur la durée de rétention des durées de connexion : https://github.com/mastodon/mastodon/pull/22393
Mastodon viole le RGPD via l’intégration des embeded youtube : https://github.com/mastodon/mastodon/issues/29164
Mastodon viole le RGPD avec des outils pouvant être abusifs et sans protection, comme pourtant imposés par le RGPD : https://github.com/mastodon/mastodon/issues/14718
Mastodon implémente les notes sur un profil en violation du RGPD et malgré les alertes : https://github.com/mastodon/mastodon/issues/11797
Mastodon implémente le blocage des comptes d’une manière incompatible avec le RGPD : https://github.com/mastodon/mastodon/issues/8760
Je peux continuer comme ça longtemps, il y en a littéralement des tonnes…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -2. Dernière modification le 20 février 2024 à 00:20.
Ne pas avoir d’amende ne veut pas dire que tu es conforme avec la loi
Sais-tu que la CNIL (qui est une APD déficiente d’ailleurs, au même titre que la DPC) recommande actuellement un logiciel (libre) pour l’éducation nationale qui représente actuellement un contrôle là-bas pour la violation de la totalité du RGPD de l’article 5 à l’article 50 et un joli dossier de plus d’une centaine de pages de violation RGPD diverses et variés ? Et même a priori qu’elle ne veut pas le sanctionner et abuse de délais de réponse effroyables et de pirouettes juridiques pour éviter d’avoir à le faire ? Certainement pour cause d’ordre politique d’ailleurs… T’aurais été chez Pronote t’aurais eu moins de problème…
Toute sauf les self-hosted mono utilisateur (exemption de RGPD article 2(2)c, et encore c’est compliqué). Actuellement des fonctionnalités sont en dur dans le code en violation du RGPD (les notes libres sur un compte utilisateur violent l’article 13 du RGPD et les lignes directrices de la CNIL sur les champs libres). Le manque de certaines fonctions aussi (auditabilité des accès et action administrateur qui violent les principes d’accountability et sont une obligation légale). À ma connaissance aucune instance n’a un DPA digne de ce nom et encore moins légal avec leur sous-traitants, tout ceux dispos en ligne étant illicites puisqu’il manque des clauses obligatoires (et que la CNIL en a déjà condamné 2 ou 3 des comme ça). La quasi totalité des instances n’ont aucune privacy policy ou juste pas licites. Aucune instance ne sait répondre à une demande d’accès article 15, les registres de traitement sont inexistants, le droit à la portabilité est incomplet…
Les instances principales ont basculés sur Cloudflare, en violation de Schrems II. D’autres ont activé reCaptcha, aussi en violation de Schrems II et des sanctions CNIL sur le sujet.
Eugen et sa clique refusent voire réfutent l’applicabilité du DSA (https://www.contexte.com/actualite/tech/plateformes-le-mastodon-dans-la-piece-2_160879.html)
Les propos même de Eugen font extrêmement peur. Le mec est littéralement le développeur principal d’un réseau social mais vient annoncer la bouche en cœur qu’il ne traite aucune DCP… https://github.com/mastodon/mastodon/issues/7280#issuecomment-385376837
Ça devrait juste allumer des warnings de partout que ce mec ne sait juste absolument pas de quoi il parle…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1.
Et on ne parle pas d’un choix à faire entre 2 réseaux légaux avec leurs avantages et leurs défauts, mais bien d’un non choix entre 2 réseaux illicites qui finiront je l’espère, DANS LES DEUX CAS par avoir des comptes à rendre à la justice.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0.
Mon sujet est justement qu’on ne devrait prendre ni l’un ni l’autre.
Et construire un truc autre. Certainement pas se ruer sur Mastodon au motif que c’est libre, décentralisé ou souverain.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1.
Et quand on parle par exemple de Mastodon : https://twitter.com/AlexArchambault/status/1759533906783535532
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0.
Je n’ai pas dis qu’ils rempliraient à la perfection les cases de sécurité.
Je dis que de tous les systèmes que j’ai pu auditer, de près ou de loin, en interne comme en externe, ceux qui ont actuellement sur les tables d’autopsie des autorités de protection des données les dossiers les plus petits de ma part sont les GAFAM.
Et que la plupart des problèmes auxquels ils font face sont généré in fine par leurs propres clients et non par leur business direct.
À l’inverse les dossiers les plus importants que j’ai eu à faire sont ceux concernant des entreprises FR ou du logiciel libre. Je galère plus avec des admins ou développeurs d’instances Mastodon pour leur faire comprendre le RGPD qu’à des gus de chez Google ou de l’IAB, ils sont moins de mauvaise foi.
Qui a été capable de répondre correctement et dans les temps à une demande d’accès RGPD ? Les GAFAM.
Qui a été capables de propager des demandes d’opposition correctement et efficacement ? Les GAFAM.
Qui est capable de détecter le mésusage des interfaces d’administration grâce à du SIEM et procèdent au licenciement de plusieurs milliers d’employés indélicats chaque année ? Les GAFAM.
Qui ont des mécanismes capables de gérer les droits d’effacement et d’opposition jusque dans les systèmes de sauvegarde avec la mise en place de clefs de chiffrement individualisées dont il suffit de détruire la clef pour détruire les backups ? Les GAFAM.
Oui leurs pubs est pas cool mais qui a été capables de me filer tous les affichages de mon profil et l’ensemble des annonceurs concernées ? Les GAFAM. En face en France les boîtes se font sanctionner par la CNIL pour avoir refuser de communiquer les annonceurs…
C’est pas parfait, la preuve, ils se prennent des amendes. Mais quand tu vois toutes les amendes qui tombent, surtout dans les pays avec des APD fonctionnelles, ça pique fort sur les non GAFAM. Plus fort.
L’Espagne qui a une des APD les plus efficaces, Google c’est 1 sanction, Facebook 0. À l’inverse Vodafone c’est 75 condamnations, les banques 11, les assos on en est déjà à 25 sanctions, et même les particuliers on en est à 154. Si on les lâchait en France, ça serait des amendes pour tout le monde ou presque.
Et rappelons aussi un truc que les gens oublient vachement beaucoup : les GAFAM ne se rémunèrent pas par la pub. Pas dans le sens que les gens le pense. Les GAFAM se rémunèrent sur le pourcentage qu’ils touchent de leurs clients qui vendent d’un côté des placements produits et de l’autre des emplacements publicitaires.
Demande au marketing de chez toi ce que ça fait si Facebook ne leur envoie plus leur KPI de placement produit que eux ont demandé de cibler, tu vas voir, ils vont pleurer.
Le vrai problème des GAFAM est surtout leur taille, qui induit effectivement des effets de masses à la con.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -5.
Les CGU de la plupart des instances sont illicites.
Donc transparence c’est cool, mais si c’est parce que t’as oublié les ¾ des mentions obligatoires…
Qui n’est pas complète et donc illicite.
Actuellement on perd le contenu.
Même Twitter est meilleur. Mon ancien compte est dispo ici : https://twitter.imirhil.fr/.
Mon ancienne instance Mastodon par contre…
Existe chez la plupart des GAFAM.
Et tu as oublié l’article 15, respecté par les GAFAM et pas par Mastodon, l’article 13 dont Mastodon refuse la mise en œuvre (et pas les GAFAM), etc.
[^] # Re: Argument dérivé
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 3.
Oh c’est toujours vivant. Exemple encore jeudi dernier : https://xdaforums.com/t/kernel-t2s-exynos-5-4-242-expara-kernel-kernelsu.4656566/
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -4.
Mais illégaux. Comme déjà signalé par NOYB et j’en fais aussi le constat, la plupart des systèmes y compris libres violent la majorité du temps la plupart des obligations légales de sécurité.
Typiquement Mastodon viole frontalement le RGPD par pilées de 12, ça leur a déjà été remonté, et ils en ont rien à foutre.
Je suppose qu’on lâcherait une APD fonctionnelle sur les Chatons, soit les opérateurs soit les utilisateurs se prendraient des prunes dans les mêmes volumes.
Aller, pour rigoler, combien de Chatons ont un SIEM, un IAM ou juste simplement des interfaces d’administration dédiées au niveau matériel et non exposées au net ?
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1.
C’est pas tant de dire que tout est foutu mais que la décision du HDH n’est pas forcément si débile que ça. Oui on peut encore réagir, mais à date, ça va être difficile. Et si tu ne veux pas accumuler du retard côté santé, faut AUSSI avancé sur le HDH.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -4.
Question simple : as-tu déjà vu réellement un débordement de FISA ou du Cloud Act ? La réponse est assez simple a priori : ça n’existe juste pas. Manhack avait débunké ça dans son article cité dans le mien, et les gens se font tout un patakès d’un truc qui en vrai sont juste des accès juridiques rapides comme il en existe des tonnes un peu partout dans le monde et en Europe. Ce n’est pas une porte ouverte à toutes les fenêtres.
Cet argument est juste un argument pour aller taper gratuitement sur les US sans avoir à se justifier plus que ça (et je reconnais moi-même l’utiliser en ce sens), mais sans action AUSSI côté EU, Schrems II est un non argument.
Qu’est-ce qu’un gouvernement étranger peut faire de mes données de santé ? Globalement rien.J’ai bien plus peur d’une action de mon gouvernement qui peut me foutre en zonzon quand il a envie sans avoir à se justifier que d’un gouvernement étranger qui voudrait en faire de même.
Tu supposes qu’on a des fruits. On n’en a pas.
Ça aurait été vrai si on avait agit au départ. On a dorénavant une 15aine d’années sinon plus de retard sur les systèmes US et rattraper le retard coûtera HORRIBLEMENT plus cher que de continuer à engraisser l’Oncle Sam.
Oui, on peut encore agir, mais ça va faire VRAIMENT SA MÈRE mal.
On parle de rattraper au moins 15 à 20 ans de subventions à 2 milliards d’euro sur un seul projet pour quatre hébergeurs. Soit au bas mot une enveloppe de quelques centaines sinon milliers de milliards à foutre sur la table en quelques années. Et en provisionnant déjà les subventions à venir et à maintenir chaque année.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1.
C’est un peu différent pour les US. Ou la Chine d’ailleurs. Ils ont fait en sorte d’avoir des entreprises nationales qui répondent à leurs besoins et ne les tiennent pas en vie sous perfusion aux soins palliatifs alors qu’elles sont totalement obsolètes. Au contraire ils injectent de l’argent pour les conserver dans la course au niveau décent attendu par l’état de l’art.
Pour faire le parallèle avec ce qu’on vit en France avec le parc nucléaire, c’est la différence entre maintenir dans la course ton fleuron industriel national en lui commandant chaque année des réacteurs en plus qui lui subventionnent les études de la prochaine génération et le maintenir sous perfusion d’argent public pour qu’il ne meurt pas parce que tu ne lui en as plus commandé depuis 20 ans et qu’il s’avère incapable d’en faire dorénavant…
Ça coûte le même pognon, sauf que dans un cas tu as de la Gen3 et tu attaques la R&D de la Gen4 et dans l’autre de la Gen2.5 où tu patauges à sortir de la Gen3…
C’est aussi tout le problème du truc, c’est que le jour où tu arrêtes la commande publique… le système s’effondre tout seul. A priori Google ou Amazon cessent d’exister tels qu’on les connaît si la commande publique disparaît.
Et oui, une fois que tu es compétitif par rapport à tout le reste, ben tu profites aussi de ta position dominante… Les Chinois et les Américains peuvent se tirer la bourre avec leur techno et envisager de striker le concurrent du marché, ils s’en foutent ils n’ont pas besoin du voisin et ça fait parti des négociations.
Quand t’es l’Europe et dépendant des 2 autres, c’est pas la même chose… Difficile de mettre dans la balance l’arrêt des imports ou des exports, t’as rien à leur proposer et ils savent que sans eux, tu crèves 🤣
[^] # Re: Il n'a pas trop cherché
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0.
Alors il n’y a pas beaucoup plus de volonté de certification de la part des éditeurs eux-mêmes hein.
C’est long, chiant, pénible, ça limite tes possibilités de développement et les entreprises préfèrent violer la loi que de la respecter, parce que sinon viser les 10% de croissance n’est plus possible…
Va demander à une boîte d’interdire à ses devs d’avoir le moindre accès à la prod. Pour quelques raisons que ce soit. Même pour debug, même pour avoir des logs. Même pour faire des déploiements. Ça va couiner. Beaucoup.
Et je sais de quoi je parle, c’est extrêmement galère au quotidien à gérer et faut encaisser la direction qui comprend pas pourquoi le moindre déploiement prend 7 jours juste pour ajouter un filtre dans un formulaire web.
Parce que tu dois avoir l’approbation de la Q/A, de la qualif PCI-DSS et les 3 paraphes de la DSI. Que les ¾ des libs disponibles sur Terre te sont interdites parce que ne passent pas les prérequis techniques minimaux.
Ajouter un lien sur le site web, ça a été 6 mois de taff, avec implication de la DSI, du responsable juridique, etc.
Après on a un énorme avantage : on a l’ACPR qui est un régulateur qui est « un poil » plus chiant que la CNIL. 2 contrôles annuels de fond en comble avec insta strike de tout ton business pendant X mois à la moindre case qui passe en rouge, ça motive assez sévère à envoyer chier la direction 🤣
Et on a 2 personnes à plein temps juste pour gérer les audits permanents.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -2.
Je ne vois aucune raison de privilégier plus les entreprises locales des entreprises étrangères. On est actuellement dans un monde globalisé où on s’en cogne un peu complètement de ta nationalité. Pourquoi est-ce qu’on irait payer plus cher un produit plus merdique juste parce qu’il est FR alors que le concurrent DE ou US fait mieux pour moins cher ?
Si encore le produit FR n’est pas foncièrement trop éloigné des caractéristiques et des coûts de la concurrence, bon ok pourquoi pas faire un petit effort pour le privilégier et payer 10% de plus pour faire local avec peu ou prou les mêmes fonctionnalités. Mais quand les écarts sont juste abyssaux…
Sans parler que typiquement, s’il y a bien un truc que t’as pas spécialement envie de voir dans les mains de ton État, c’est bien tes données de santé…
Point Godwin, mais il n’y a pas si longtemps, la Stasi aurait été ravie d’avoir juste un select à faire dans une base de données pour choper tous les handicapés, les juifs ou les homosexuels de sa population et que c’est aussi ce genre de problème qui a conduit à la fondation de la CNIL en 1978…
Il y a du coup certainement un compromis à faire à ce niveau entre favoriser du national et se protéger d’un éventuel petit problème de changement de régime politique…
Le 100% FR n’est pas non plus une balle en argent. Surtout à l’approche de 2027…
Pour l’avoir vécu en direct avec la réquisition illicite de mes machines sur décision illicite d’un juge sur impulsion illicite politique après une décente de police illicite dans le datacenter d’un hébergeur français, les avoir héberger en Allemagne ou aux Pays-Bas m’aurait éviter beaucoup d’ennuis et de frais de justice…