Le contenu de la section lien est devenu très majoritairement HS.
Pour les journaux: dans les 12 derniers, il y a un HS (Star Wars, culture geek), deux négatifs (logiciels vibe-codés non libres), deux annonces Linuxfr, deux discussions IA/LLM, une discussion vie privée/bloctel, et le reste totalement dans la charte. Je ne vois aucune indication qu'il y ait un quelconque problème avec les journaux.
Pour les liens, je ne vois que trois liens clairement HS ("Mairie de Vierzon", "Maréchal nous voila" et "Patrimoine spolié"), le reste c'est du logiciel ou de la culture informatique (y compris AI et réseaux sociaux).
On ne va pas se le cacher, la qualité du contenu "logiciel" sur Linuxfr est bien descendue; je me rappelle de l'époque où tous les contenus décrivaient les nouvelles sorties de Gnome, KDE, Emacs, les distributions, les nouvelles versions du kernel, avec des logs longs comme le bras et des listes de matériel supporté. Tout ça a bien disparu, probablement parce que les gens ont un peu de mal à faire gratuitement la promotion de trucs libres mais commerciaux (les nouvelles versions d'Android ou d'Ubuntu peuvent être annoncées par les services marketting des boites concernées, c'est un minimum). Il y a aussi moins de passionnés de Cobol ou de Haskell qui viennent présenter leur marotte, c'est la vie.
Sur le fond, je serais aussi favorable au masquage du contenu politique/polémique et clairement HS, parce que ça me fait perdre du temps (je n'aime pas laisser les gens qui ont tort sur Internet sans contrepartie, j'ai toujours l'impression qu'un lecteur a "le droit" de voir un commentaire qui n'est pas d'accord). Mais il y a un truc qui n'a pas changé : tous les partisans du logiciel libre sont toujours persuadés qu'il y a une homogénéité politique, et que c'est la leur. Moi j'ai toujours connu des libristes trotkystes, ultra-libéraux-technophiles, décroissants, ou survivalistes, et ils sont tous convaincus d'être ultra-majoritaires parmi les libristes, c'est "marrant", mais pas très constructif. Avant la vague des dépêches sur l'AI il y avait le Bitcoin, avant le Bitcoin il y a eu les DRM, Wikipédia, Canonical, etc., toute une histoire de série de "fixettes" et de discussions sur le thème "c'est exactement ça le libre / mais pas du tout!". Ça crée une identité pour le site, mais quand les contenus techniques disparaissent il risque de n'y avoir plus que ça.
il serait incapable de tenter des trucs et s'enfoncerait dans la première idée qui lui vient.
J'ai cru comprendre que certains modèles agent utilisent en fait plusieurs agents indépendants, avec un superviseur et des "supervisés" qui n'ont pas le même prompt. Est-il courant par exemple que le superviseur demande plusieurs implémentations à partir de la même requête, et choisit entre elles? Par exemple il pourrait compiler et benchmarker pour la vitesse, avant de retourner la solution la plus efficace?
Comme ça, sans trop y réflechir, j'ai quand même l'impression que le meilleur moyen de générer de la diversité serait de donner un prompt différent aux sous-agents, plutôt que de reposer uniquement sur la température. Par exemple un agent pourrait être "Dev expérimenté avec une grosse expérience du C" alors qu'un autre pourrait être "ingénieur sorti de l'école avec à son actif des contributions en rust et go", ce genre de trucs devrait largement contribuer à générer des bouts de code qui diffèrent en conception, sans vouloir espérer sortir des solutions drastiquement différentes à partir de l'algo du LLM, qui me semble quand même assez difficile à maitriser (notamment parce que si le corpus d'apprentissage est biaisé, tu vas quand même avoir un peu toujours la même chose).
Normalement, la température, c'est la quantité de hasard introduite dans les réponses. Si ta température est de zéro, le modèle devient déterministe.
Je n'ai pas l'habitude du paramétrage des agents, je ne sais pas si le degré d'autonomie se "règle" avec un paramètre, mais au moins ça se gère dans le prompt d'un chatbot. "Tu es un stagiaire, tu as peur de faire des erreurs, et tu préfères demander plutôt que de risquer de faire quelque chose de faux" vs "Tu agis comme un développeur expérimenté, tu ne vas pas ennuyer ton supérieur avec des questions, tu es autonome sur les décisions techniques et si tu fais une erreur, tu l'assumeras avec professionnalisme sans la cacher" va mener à des comportements très différents.
C'est pas la généralisation des truc-phones qui sont conçus pour ne fonctionner qu'avec un seul OS qui va changer les choses…
Il semble y avoir eu un changement de doctrine sur la vente liée; la jurisprudence européenne semble considérer que l'information du consommateur suffit. Le vendeur te dit clairement qu'il te vend un ensemble de trucs, soit tu achètes cet ensemble en connaissance de cause, soit tu refuses, mais le droit d'acheter des bouts du truc sans les autres n'est pas validé.
on développera des langages dédiés à la communication avec les machines, qui ne laissent pas de place à l'ambiguïté,
Justement, ça me semble paradoxal avec l'utilisation d'un LLM. Un LLM est très tolérant aux ambiguités, et c'est d'ailleurs pour ça que ça a autant de succès : il va prendre tout un tas de micro-décisions de manière autonome pour ne pas de demander 50 détails insignifiants. Si tu lui demandes "remplace les printf par des cout dans ce code C++", il ne va pas te demander "est-ce que je remplace aussi les sprintf?", puis "est-ce que je remplace aussi les fprintf?", puis "est-ce que tu veux que je remplace aussi les printf(stderr, …) par cerr?", etc. C'est un coup à devenir dingue, tu vas finir par écrire "ARRETE DE POSER DES QUESTIONS ET REMPLACE TOUS CES P*** DE PRINTF".
Ces modèles souffrent du même problème que les humains, ils n'arrivent pas à quantifier leur incertitude. Tu as beau leur demander "surtout, ne fais rien si tu n'es pas sûr", bah ils sont souvent sûrs, et ils se trompent. Je ne sais pas réellement si c'est possible de résoudre ce biais, il arrivera toujours un moment où soit lui soit toi feront une erreur d'interprétation. Là il avait une tâche à faire et il s'en est donné les moyens, il n'a pas pensé qu'il pouvait y avoir un danger.
C'est leur métier. Le responsable de ce bordel receuille les avis des actionnaires, les avis du service marketting, peut-être même les remontées des agences, les retours du service client, le rapport des juristes, les évaluations des services de gestion, les assurances, et … l'avis des responsables sécurité. Il prend tout ça, et ça fait des chocapics. Peu de chance que les chocapics correspondent seulement aux contraintes de sécurité.
On peut tomber d'accord sur le fait que quelques geeks libristes sans grande expérience du secteur bancaire n'auraient pas pris les mêmes décisions que les banques. Ça, pas de problème. On peut discuter de pourquoi. Je ne sais pas pourquoi, donc je trouve ça intéressant. Je trouverais intéressant par exemple de comprendre dans quelle mesure la sécurité théorique de ces dispositifs diffèrent de la sécurité en pratique, etc (bon, j'ai quand même ma petite idée, parce que les histoires de modèles de visage à l'imprimante 3d etc, ça ne va pas vraiment impressionner les assurances :-) ). Mais ce qui me fait réagir, c'est l'explication "c'est tous des bouffons", parce que s'il fallait choisir comme ça à froid entre les deux, il semble bien plus vraisemblable que les bouffons sont ceux qui parlent de ce qu'ils ne connaissent pas.
Pour le côté "on peut te forcer à tirer de l'argent", une application concrête de l'analyse d'image pourrait de refuser de distribuer de l'argent quand plusieurs personnes sont devant le distributeur. Bien sûr, on peut te menacer avec une arme à feu à distance ou prendre ton chihuahua en otage, mais concrêtement ça éviterait quand même une partie des retraits d'argent avec contrainte (et notamment le coup de l'empreinte digitale).
"quand on voit qu’il est question de remplacer (ou tout au moins de les ajouter comme moyen d’identification) les codes pin des cartes de paiement par des empreintes digitales parce que « c’est plus sûr »"
Je ne vois pas moyen d'interpréter ça autrement que "les empreintes sont moins sûres".
Quoi qu'il en soit, j'ai du mal à concevoir comment on pourrait t'obliger à donner tes empreintes, donc si tu ne veux pas tu ne fais pas.
Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.
Possibilité 1: "Oh pardon, nous tenons absolument à ce que nos clients qui font tourner un LinuxFromScratch sur Raspberry puissent modifier leur plafond de carte bancaire avec un script bash dans leur crontab, nous allons de ce pas modifier notre API et nous vous prions de présider à partir de maintenant notre service international de sécurité informatique qui, nous vous faisons confiance, conçoit la sécurité de nos applications avec leur cul, une faille de sécurité que vous avez d'ailleurs pu détecter sans même installer notre application sur le smartphone que vous n'avez pas, ce qui ne peut que prouver sans aucun doute possible votre sagacité hors du commun."
Possibilité 2: "Suite à votre demande, nous avons activé le contrat "Senior EHPAD noelec" sur votre compte, destiné à nos ainés qui ne sont pas à l'aise avec la validation électronique de leurs transactions. Vous aurez accès à un carnet de chèque par an, un relevé papier tous les deux mois, ainsi qu'à trois virements par trimestres validables par pigeon voyageur, pour seulement 47€99 par quinzaine."
Le sarcasme n'est pas un argument. Tu as des sources sérieuses qui pourraient confirmer que les empreintes digitales sont moins sûres qu'un code pin à 4 chiffres?
On parle de l'efficacité relative entre plusieurs systèmes. Quelle que soit l'efficacité absolue de l'identification par empreintes, la question est de savoir si elle est plus grande de l'identification par pin de 4 chiffres.
Dans ce cas, pourquoi la banque ne fournit-elle pas le matériel dûment audité
Parce que les clients ne sont pas prêts à payer pour ça? Sans compter que pour la majorité des clients ça serait plutôt considéré comme une galère de devoir utiliser un machin électronique monofonction. Je ne peux qu'imaginer, mais je pense que si tu es dans une grosse banque Suisse et muni d'un compte au solde comportant 6 ou 7 chiffres, tu as tout le matériel que tu veux, y compris un smartphone uniquement dédié à ça, qui sera enfermé dans ton coffre. Si tu veux payer moins de 5€ de frais de tenue de compte par mois, tu vas utiliser du matériel personnel, mais dans les conditions restreintes autorisées par ta banque.
Les libristes sont les premiers à aller donner des leçons à tout le monde sur la manière dont les banques devraient gérer leurs API, genre "si j'étais vous je ferais tout pour satisfaire les clients comme moi". On ne peut pas vivre comme ça, ce monde théorique est infernal. Tu ne peux pas passer ta vie à dire à la maitresse de tes gamins "si j'étais vous je ferais comme ça". Ou à ton plombier "si j'étais vous je mettrais de la graisse de porc plutôt que de la pâte à joint". Ou au cuistot du resto du coin "si j'étais vous je mettrais de l'échalotte plutôt que des oignons". Et ça, c'est indépendant du fait d'avoir raison ou tort.
En tout cas, si j'étais votre banque, je vous enverrais chier, parce que je n'ai pas envie qu'1% de mes clients me bouffe 50% de mon budget de sécurité informatique pour maintenir de multiples interfaces compatibles avec du hardware improbable qui tourne sous Hurd. Si j'étais une banque, ce que je voudrais, c'est des clients pas chiants qui ont tous le même iPhone pour acheter des millions de merdouilles sur Amazon en activant le cashback qui va me permettre de revendre les informations sur les habitudes d'achat, qui vont me rapporter beaucoup plus que les petites miettes des frais de tenue de compte. Et les clients qui veulent un service sur mesure, ils iront voir les banques qui offrent des services sur mesure, et ils verront bien le coût d'un service sur mesure.
L'argument est donc que les banques favorisent l'utilisation d'applications smartphone parce que l'intégralité de leur chaine de décision est incompétente.
Ça a l'avantage d'être une explication tellement pratique qu'elle ne nécessite même pas de réflechir.
Bon, maintenant, en vrai, il faut bien avoir en tête que c'est les banques (ou leurs assurances, ce qui revient plus ou moins au même) qui couvrent le coût de la fraude bancaire. Il faut aussi réaliser que les tribunaux, régulièrement, prennent position contre les banques sur la définition de la faute du client. Vous avez là l'ensemble de l'équation : les banques veulent contrôler la totalité de la chaine de sécurité, car si vous pouvez faire une transaction avec une partie de la chaine moins sécurisée que la procédure standard, alors c'est pour la tronche de la banque. Par exemple, si vous avez installé par mégarde un tracker sur votre smartphone dégooglisé et que vous vous êtes fait aspirer votre pin, bah la fraude sera pour la banque (à moins de pouvoir convaincre le tribunal qu'avoir un smartphone dégooglisé est une faute de la part du client, ce qui me semble chaud). Il est donc totallement rationnel de la part de la banque d'interdire toute transaction qui implique n'importe quel matériel ou logiciel non-audité.
Moi je suis super pour la liberté de choisir sa banque en fonction de valeurs ou en fonction des services fournis. Je préfère utiliser l'interface web que l'application par exemple, et si ma banque cessait de fournir une interface web, j'imagine que je pourrais changer. Mais il faut aussi que je sois prêt à payer plus cher pour un service. C'est le principe même du commerce, si je veux une coupe de cheveux, je vais payer plus cher que pour la barbe. Bah là c'est pareil, je veux quelque chose en plus, cette chose a objectivement un coût (équipe de développement, service client, documentation…), et j'ai du mal à comprendre sur quel principe je devrais pouvoir bénéficier d'un service supplémentaire sans raquer derrière si la banque a pris la décision que de me garder parmi leurs clients ne justifiait pas un geste commercial. À ma connaissance, la nature de l'OS utilisé ne fait pas partie des critères de discrimination, et "pouvoir accéder à mes comptes sous Linux" n'est pas un droit garanti par la loi…
C'est tout à fait vrai, et il y a plein de situations absurdes comme ça dans la vie où la loi oblige quelqu'un à faire quelque chose mais ne prévoit pas de sanction ni de procédure dérogatoire. C'est même souvent le cas pour les documents administratifs, la loi impose tout un tas de délais (pour avoir un RDV à la préfecture, pour un jugement, etc), mais il n'existe aucun mécanisme pour forcer l'administration en question à respecter ces délais (le mieux que tu puisses espérer est de faire condamner l'État, bon courage).
Là, on est dans le cadre du droit du commerce, la loi impose à un commerçant de faire quelque chose, et le commerçant refuse. Ça pourrait être payer en liquide, séparer deux articles dans le cadre d'une vente liée, n'importe quoi, c'est le même principe. Tu peux saisir la répression des fraudes, tu peux changer de crêmerie, tu peux poursuivre au tribunal si tu considères que tu as été lésé, mais rien de ceci ne résoudra ton problème. Concrêtement, tu es là, chez le boulanger, avec ton billet de 10€, et le boulanger te dit qu'il ne le prend pas, il a tort, il est pourtant obligé, tu peux lui prouver, mais il te dit "non" quand même. C'est la vie réelle, c'est un rapport de force, il est objectivement absurde, lui fait le pari que tu vas lacher l'affaire, et c'est probablement l'intérêt de toutes les parties que tu lâches l'affaire.
En l'occurrence, pour l'histoire des appli bancaires, il semble tout à fait possible que la banque perde moins d'argent en perdant un client qu'en maintenant un système d'identification rarement utilisé tout en restant sensible au niveau de la sécurité. En étant même plus cynique, il est peut-être possible que ton profil de clients n'est pas réellement celui qu'ils recherchent (pas de smartphone = probablement pas un acheteur compulsif qui va activer les options du retrocashback Amazon, dont la revente des données associées rapporte probablement bien plus que les activités bancaires). Est-ce ton intérêt de rester client d'une banque qui souhaite se débarrasser de toi? À court terme, c'est casse-pieds de changer de banque, mais de toutes manières ils trouveront bien un moyen de te "rentabiliser" (c'est même un devoir pour une entreprise commerciale), éventuellement en augmentant les frais bancaires pour tout le monde, et en accordant un discount de 90% pour les utilisateurs du retrochashback…).
et ce qui est partagé entre les parents d’élèves via whatsapp n’a pas vocation à finir sur on ne sait quels réseaux sociaux
C'est un problème encore différent. Les groupes Whatsapp ont parfois un règlement, mais je n'ai aucune idée de si ce règlement est opposable (qu'est-ce qui se passe si on ne le respecte pas?).
où on voit que ce que font signer les établissements scolaires c’est en gros l’« open bar » pour se dédouaner
Je ne suis pas sûr, il faudrait avoir une copie du formulaire. Ça m'étonnerait que la diffusion des informations au public soit autorisée, par exemple, ça n'aurait aucun sens. On ne peut pas non plus prévoir de dérogation à la RGPD dans l'autorisation (par exemple, on n'a pas le droit de demander aux gens d'autoriser à stocker les informations personnelles sans respecter la RGPD, de renoncer à son droit de retrait, de conserver au-delà de l'année scolaire, etc).
Si c'est vrai, c'est très risqué, car la loi est très claire sur la spécificité des autorisations. D'ailleurs, les modèles que j'ai trouvé sur Internet sont au contraire très spécifiques, avec une dizaine d'items (démarches administratives oui/non, trombinoscope oui/non, photo de classe oui/non, illustration des sorties scolaires oui/non, portail public de l'ENT oui/non, portail privé de l'ENT oui/non, etc). J'ai du mal à imaginer qu'un chef d'établissement prenne le risque d'inventer son propre formulaire, avec le risque d'une non-spécificité qui annulerait sa portée.
En tout cas, tous les documents que j'ai consultés confirment qu'il n'y a aucune nécessité pédagogique pour les photographies. Il est donc tout à fait possible de renoncer à fournir une photographie et de refuser toutes les autorisations.
Je pense que c'est pas mal de mettre un avertissement. Par contre je trouve que tu as fusionné deux avertissements différents: celui du développeur, qui avertit l'admin de la machine de l'existence de règles strictes sur les données personnelles (avec peut-être un petit "disclaimer" pour bien préciser que le développeur n'est absolument pas responsable à la place de l'utilisateur pour vérifier la conformité de l'utilisation à la loi); et celui de l'admin de la machine, qui avertit ses utilisateurs, dans son contexte de travail, des conditions dans lesquelles le chef d'établissement a autorisé l'exploitation de ces données.
Je trouve aussi que tu te mouilles trop : tu sembles donner des préconisations d'utilisation qui sont conformes au RGPD, ce qui ne me semble pas très prudent (tu ne peux pas garantir ça, c'est un boulot de juriste, et tu ne sauras jamais quand ces recommandations deviendront obsolètes si le cadre du RGPD change).
Encore faudrait-il connaitre le contenu du document d'autorisation signé par les élèves ou leurs familles. Normalement, il y a une liste d'items autorisés, qui spécifient les usages internes ou externes. C'est fréquent par exemple que les écoles diffusent les photos d'évènements (fête de l'école, etc).
Mais encore une fois, je pense que si diffusion, poursuites, et condamnation il y a, ça sera contre le chef d'établissement, et pas envers le pékin qui a mis les photos sur son laptop personnel. Libre ensuite à l'éducation nationale de se retourner contre un agent pour l'accuser d'une faute, mais elle ne le fera pas (il ne faudrait pas trop que la justice s'intéresse à cette manie qu'a l'État de ne pas fournir à ses agents les équipements nécessaires aux tâches qu'ils sont censées effectuer…).
Je ne voudrais pas m'avancer, mais si c'est dans le cadre de ses fonctions, c'est son employeur qui est responsable. L'employeur ne peut se désolidariser que s'il y a une faute, il faut donc que la faute soit mentionnée dans un document quelconque (règlement, code de la fonction publique…). Pour les insultes, je pense que c'est quelque part dans le code de la fonction publique, mais pour le traitement des données privées, j'ai l'impression que sans charte ou règlement, c'est à l'État d'assumer; le fonctionnaire pourra démontrer par exemple qu'on lui a fourni ces fichiers sans aucune instructions sur leur finalité ou leur réutilisation.
La preuve sera faite non pas par le téléchargement en lui-même, mais par la mise à disposition illégale des œuvres. Une œuvre téléchargée en peer-to-peer devient en effet disponible pour d'autres internautes qui utilisent la même technique.
Justement, parce que l'infraction de téléchargement est difficilement caractérisable. Tu peux t'être trompé de fichier, interrompu immédiatement le téléchargement, suivi une redirection automatique… Mais plus prosaïquement, c'est juste un truc purement légal : en France il est illicite d'inciter à une infraction, or en P2P, la seule manière de te chopper en train de "downloader" est de te proposer le fichier, ce qui te permettrait très facilement de faire sauter les poursuites. Pour l'upload c'est une autre histoire, puisque mettre un fichier à disposition est constitutif d'une contrefaçon, et que tu l'as fait spontanément, sans qu'on ne t'y incite.
Donc voila, en France, personne n'a jamais été attrappé par un système automatique pour avoir téléchargé seulement, parce que 1) l'infraction n'est pas facile à caractériser, et 2) il y aurait nécessairement des recours (par exemple, si tu as déja le DVD chez toi, c'est de la copie privée et c'est légal). Ceci dit, si un disque dur se fait saisir lors d'une perquisition pour des délits liés au droit d'auteur, rien ne garantit en effet que ça ne va pas aller plus loin.
Note quand même que c'est loin de respecter le RGPD, mais c'est une question de gestion du risque. Si les infos ne sortent pas, personne ne saura que vous ne respectez pas le RGPD.
Mouais, alors je ne sais pas trop où tu veux en venir, mais si une boite recueille des données privées et en fait n'importe quoi, les salariés ne risquent rien, c'est les responsables de la boîte qui vont avoir des problèmes. Dans une administration c'est pareil, si les profs n'ont aucune formation et aucune éthique des données privées et qu'ils les recueillent, les manipulent, les diffusent, les copient, les perdent dans la nature, etc. sans rien contrôler, c'est le directeur d'établissement qui rend des comptes.
Si tu t'introduis dans un système informatique sans en avoir l'autorisation (en piquant les codes des profs), c'est une autre histoire.
La charte info fait partie du règlement intérieur, c'est ce qui permet de pouvoir se retourner contre un salarié qui aurait fait une faute. Si un prof se fait piquer son laptop et que les photos des élèves se retrouvent sur X/Twitter, en absence de charte et de règlement RGPD, j'ai du mal à voir comment la faute pourrait être retenue ; l'employé a juste fait comme d'habitude et n'a violé aucune règle interne, il n'est pas censé connaitre le RGPD et l'appliquer s'il n'en a pas reçu la consigne.
Oui, je suis d'accord, le cas que tu décris est probablement possible. Les données sont installées sur des postes déterminés, seul l'admin a accès à la base de données.
Les élèves et leurs parents doivent aussi savoir que ce logiciel existe,
Je pense en effet que c'est le point central. Les élèves et leurs parents doivent avoir été informés de l'existence du logiciel et donné leur accord pour l'utilisation de leurs données dans ce cadre.
L'application parfaite du RGPD est difficile, et nécessite souvent de trouver un équilibre avec les usages de terrain.
Certes, mais on est d'accord que la copie de fichiers d'origine pas claire sur les ordinateurs personnels des profs pour faire des quizz n'est pas une application imparfaite du RGPD, c'est un torchage magistral avec le principe même de la protection des données privées.
Ça n'est pas l'objectif, puisque le serveur n'est pas public. Tu ne donnes l'accès au serveur qu'aux agents dûment identifiés pour qui l'accès à ces données est nécessaire. Ils sont employés, ils ont signé une charte, s'ils font des captures d'écran ou n'importe quoi tu pourras te retourner contre eux, c'est exactement le même problème que pour toute donnée confidentielle dans n'importe quelle entreprise.
Bah c'est là où on aurait besoin d'un spécialiste, mais j'ai l'impression que les lois, l'usage, et la jurisprudence, ne considèrent pas les copies techniques temporaires (le cache, en gros) comme des copies au sens de la loi.
Ce qui ne résoud pas complètement le problème de la sécurité. Si tu accèdes par exemple à des données personnelles par une interface web, le site peut être parfaitement sécurisé, l'admin sys ne peut pas contrôler ce que fait ni ton système ni ton navigateur. Si tu as monté .mozilla/firefox sur le serveur de la CIA, les données vont se balader en clair, mais c'est aussi clairement une copie non-autorisée.
À partir du moment où tu autorises quelqu'un à accéder à des données, ce quelqu'un peut les copier et les revendre aux espions Russes. Il n'empêche que c'est interdit (il y a une différence entre "interdire" et "empêcher"), et c'est ça qui compte au final.
[^] # Re: Non
Posté par arnaudus . En réponse au sondage Continuer à publier une série de dépêche dédiée à la veille générale sur des intelligences artificielles ?. Évalué à 3 (+1/-1).
Pour les journaux: dans les 12 derniers, il y a un HS (Star Wars, culture geek), deux négatifs (logiciels vibe-codés non libres), deux annonces Linuxfr, deux discussions IA/LLM, une discussion vie privée/bloctel, et le reste totalement dans la charte. Je ne vois aucune indication qu'il y ait un quelconque problème avec les journaux.
Pour les liens, je ne vois que trois liens clairement HS ("Mairie de Vierzon", "Maréchal nous voila" et "Patrimoine spolié"), le reste c'est du logiciel ou de la culture informatique (y compris AI et réseaux sociaux).
On ne va pas se le cacher, la qualité du contenu "logiciel" sur Linuxfr est bien descendue; je me rappelle de l'époque où tous les contenus décrivaient les nouvelles sorties de Gnome, KDE, Emacs, les distributions, les nouvelles versions du kernel, avec des logs longs comme le bras et des listes de matériel supporté. Tout ça a bien disparu, probablement parce que les gens ont un peu de mal à faire gratuitement la promotion de trucs libres mais commerciaux (les nouvelles versions d'Android ou d'Ubuntu peuvent être annoncées par les services marketting des boites concernées, c'est un minimum). Il y a aussi moins de passionnés de Cobol ou de Haskell qui viennent présenter leur marotte, c'est la vie.
Sur le fond, je serais aussi favorable au masquage du contenu politique/polémique et clairement HS, parce que ça me fait perdre du temps (je n'aime pas laisser les gens qui ont tort sur Internet sans contrepartie, j'ai toujours l'impression qu'un lecteur a "le droit" de voir un commentaire qui n'est pas d'accord). Mais il y a un truc qui n'a pas changé : tous les partisans du logiciel libre sont toujours persuadés qu'il y a une homogénéité politique, et que c'est la leur. Moi j'ai toujours connu des libristes trotkystes, ultra-libéraux-technophiles, décroissants, ou survivalistes, et ils sont tous convaincus d'être ultra-majoritaires parmi les libristes, c'est "marrant", mais pas très constructif. Avant la vague des dépêches sur l'AI il y avait le Bitcoin, avant le Bitcoin il y a eu les DRM, Wikipédia, Canonical, etc., toute une histoire de série de "fixettes" et de discussions sur le thème "c'est exactement ça le libre / mais pas du tout!". Ça crée une identité pour le site, mais quand les contenus techniques disparaissent il risque de n'y avoir plus que ça.
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 3 (+0/-0).
J'ai cru comprendre que certains modèles agent utilisent en fait plusieurs agents indépendants, avec un superviseur et des "supervisés" qui n'ont pas le même prompt. Est-il courant par exemple que le superviseur demande plusieurs implémentations à partir de la même requête, et choisit entre elles? Par exemple il pourrait compiler et benchmarker pour la vitesse, avant de retourner la solution la plus efficace?
Comme ça, sans trop y réflechir, j'ai quand même l'impression que le meilleur moyen de générer de la diversité serait de donner un prompt différent aux sous-agents, plutôt que de reposer uniquement sur la température. Par exemple un agent pourrait être "Dev expérimenté avec une grosse expérience du C" alors qu'un autre pourrait être "ingénieur sorti de l'école avec à son actif des contributions en rust et go", ce genre de trucs devrait largement contribuer à générer des bouts de code qui diffèrent en conception, sans vouloir espérer sortir des solutions drastiquement différentes à partir de l'algo du LLM, qui me semble quand même assez difficile à maitriser (notamment parce que si le corpus d'apprentissage est biaisé, tu vas quand même avoir un peu toujours la même chose).
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 4 (+1/-0).
Normalement, la température, c'est la quantité de hasard introduite dans les réponses. Si ta température est de zéro, le modèle devient déterministe.
Je n'ai pas l'habitude du paramétrage des agents, je ne sais pas si le degré d'autonomie se "règle" avec un paramètre, mais au moins ça se gère dans le prompt d'un chatbot. "Tu es un stagiaire, tu as peur de faire des erreurs, et tu préfères demander plutôt que de risquer de faire quelque chose de faux" vs "Tu agis comme un développeur expérimenté, tu ne vas pas ennuyer ton supérieur avec des questions, tu es autonome sur les décisions techniques et si tu fais une erreur, tu l'assumeras avec professionnalisme sans la cacher" va mener à des comportements très différents.
[^] # Re: ils remboursent, mais ca vaut pas trop le coup, et c'est peu prudent.
Posté par arnaudus . En réponse au message Remboursement Windows. Évalué à 5 (+2/-0).
C'est pas la généralisation des truc-phones qui sont conçus pour ne fonctionner qu'avec un seul OS qui va changer les choses…
Il semble y avoir eu un changement de doctrine sur la vente liée; la jurisprudence européenne semble considérer que l'information du consommateur suffit. Le vendeur te dit clairement qu'il te vend un ensemble de trucs, soit tu achètes cet ensemble en connaissance de cause, soit tu refuses, mais le droit d'acheter des bouts du truc sans les autres n'est pas validé.
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 6 (+3/-0).
Justement, ça me semble paradoxal avec l'utilisation d'un LLM. Un LLM est très tolérant aux ambiguités, et c'est d'ailleurs pour ça que ça a autant de succès : il va prendre tout un tas de micro-décisions de manière autonome pour ne pas de demander 50 détails insignifiants. Si tu lui demandes "remplace les printf par des cout dans ce code C++", il ne va pas te demander "est-ce que je remplace aussi les sprintf?", puis "est-ce que je remplace aussi les fprintf?", puis "est-ce que tu veux que je remplace aussi les printf(stderr, …) par cerr?", etc. C'est un coup à devenir dingue, tu vas finir par écrire "ARRETE DE POSER DES QUESTIONS ET REMPLACE TOUS CES P*** DE PRINTF".
Ces modèles souffrent du même problème que les humains, ils n'arrivent pas à quantifier leur incertitude. Tu as beau leur demander "surtout, ne fais rien si tu n'es pas sûr", bah ils sont souvent sûrs, et ils se trompent. Je ne sais pas réellement si c'est possible de résoudre ce biais, il arrivera toujours un moment où soit lui soit toi feront une erreur d'interprétation. Là il avait une tâche à faire et il s'en est donné les moyens, il n'a pas pensé qu'il pouvait y avoir un danger.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à -1 (+0/-4).
C'est leur métier. Le responsable de ce bordel receuille les avis des actionnaires, les avis du service marketting, peut-être même les remontées des agences, les retours du service client, le rapport des juristes, les évaluations des services de gestion, les assurances, et … l'avis des responsables sécurité. Il prend tout ça, et ça fait des chocapics. Peu de chance que les chocapics correspondent seulement aux contraintes de sécurité.
On peut tomber d'accord sur le fait que quelques geeks libristes sans grande expérience du secteur bancaire n'auraient pas pris les mêmes décisions que les banques. Ça, pas de problème. On peut discuter de pourquoi. Je ne sais pas pourquoi, donc je trouve ça intéressant. Je trouverais intéressant par exemple de comprendre dans quelle mesure la sécurité théorique de ces dispositifs diffèrent de la sécurité en pratique, etc (bon, j'ai quand même ma petite idée, parce que les histoires de modèles de visage à l'imprimante 3d etc, ça ne va pas vraiment impressionner les assurances :-) ). Mais ce qui me fait réagir, c'est l'explication "c'est tous des bouffons", parce que s'il fallait choisir comme ça à froid entre les deux, il semble bien plus vraisemblable que les bouffons sont ceux qui parlent de ce qu'ils ne connaissent pas.
Pour le côté "on peut te forcer à tirer de l'argent", une application concrête de l'analyse d'image pourrait de refuser de distribuer de l'argent quand plusieurs personnes sont devant le distributeur. Bien sûr, on peut te menacer avec une arme à feu à distance ou prendre ton chihuahua en otage, mais concrêtement ça éviterait quand même une partie des retraits d'argent avec contrainte (et notamment le coup de l'empreinte digitale).
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+0/-2).
"quand on voit qu’il est question de remplacer (ou tout au moins de les ajouter comme moyen d’identification) les codes pin des cartes de paiement par des empreintes digitales parce que « c’est plus sûr »"
Je ne vois pas moyen d'interpréter ça autrement que "les empreintes sont moins sûres".
Quoi qu'il en soit, j'ai du mal à concevoir comment on pourrait t'obliger à donner tes empreintes, donc si tu ne veux pas tu ne fais pas.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 8 (+5/-0).
C'est sûr qu'avec cette possibilité ça va booster la carrière des femmes dans les DSI des banques.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+0/-1). Dernière modification le 28 avril 2026 à 15:29.
Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+2/-3).
Possibilité 1: "Oh pardon, nous tenons absolument à ce que nos clients qui font tourner un LinuxFromScratch sur Raspberry puissent modifier leur plafond de carte bancaire avec un script bash dans leur crontab, nous allons de ce pas modifier notre API et nous vous prions de présider à partir de maintenant notre service international de sécurité informatique qui, nous vous faisons confiance, conçoit la sécurité de nos applications avec leur cul, une faille de sécurité que vous avez d'ailleurs pu détecter sans même installer notre application sur le smartphone que vous n'avez pas, ce qui ne peut que prouver sans aucun doute possible votre sagacité hors du commun."
Possibilité 2: "Suite à votre demande, nous avons activé le contrat "Senior EHPAD noelec" sur votre compte, destiné à nos ainés qui ne sont pas à l'aise avec la validation électronique de leurs transactions. Vous aurez accès à un carnet de chèque par an, un relevé papier tous les deux mois, ainsi qu'à trois virements par trimestres validables par pigeon voyageur, pour seulement 47€99 par quinzaine."
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+0/-2).
Le sarcasme n'est pas un argument. Tu as des sources sérieuses qui pourraient confirmer que les empreintes digitales sont moins sûres qu'un code pin à 4 chiffres?
Par exemple, j'ai trouvé une page du service de sécurité informatique du CERN (https://home.cern/fr/news/news/computing/computer-security-swipes-vs-pins-vs-passwords-vs-you) qui classe la sécurité dans l'ordre motif < code < empreintes < scan visage.
On parle de l'efficacité relative entre plusieurs systèmes. Quelle que soit l'efficacité absolue de l'identification par empreintes, la question est de savoir si elle est plus grande de l'identification par pin de 4 chiffres.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+2/-2).
Sur une échelle de 10-20 à 10-6, quelle est la probabilité que cette proposition soit vraie?
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 0 (+1/-4).
Parce que les clients ne sont pas prêts à payer pour ça? Sans compter que pour la majorité des clients ça serait plutôt considéré comme une galère de devoir utiliser un machin électronique monofonction. Je ne peux qu'imaginer, mais je pense que si tu es dans une grosse banque Suisse et muni d'un compte au solde comportant 6 ou 7 chiffres, tu as tout le matériel que tu veux, y compris un smartphone uniquement dédié à ça, qui sera enfermé dans ton coffre. Si tu veux payer moins de 5€ de frais de tenue de compte par mois, tu vas utiliser du matériel personnel, mais dans les conditions restreintes autorisées par ta banque.
Les libristes sont les premiers à aller donner des leçons à tout le monde sur la manière dont les banques devraient gérer leurs API, genre "si j'étais vous je ferais tout pour satisfaire les clients comme moi". On ne peut pas vivre comme ça, ce monde théorique est infernal. Tu ne peux pas passer ta vie à dire à la maitresse de tes gamins "si j'étais vous je ferais comme ça". Ou à ton plombier "si j'étais vous je mettrais de la graisse de porc plutôt que de la pâte à joint". Ou au cuistot du resto du coin "si j'étais vous je mettrais de l'échalotte plutôt que des oignons". Et ça, c'est indépendant du fait d'avoir raison ou tort.
En tout cas, si j'étais votre banque, je vous enverrais chier, parce que je n'ai pas envie qu'1% de mes clients me bouffe 50% de mon budget de sécurité informatique pour maintenir de multiples interfaces compatibles avec du hardware improbable qui tourne sous Hurd. Si j'étais une banque, ce que je voudrais, c'est des clients pas chiants qui ont tous le même iPhone pour acheter des millions de merdouilles sur Amazon en activant le cashback qui va me permettre de revendre les informations sur les habitudes d'achat, qui vont me rapporter beaucoup plus que les petites miettes des frais de tenue de compte. Et les clients qui veulent un service sur mesure, ils iront voir les banques qui offrent des services sur mesure, et ils verront bien le coût d'un service sur mesure.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 4 (+3/-2).
L'argument est donc que les banques favorisent l'utilisation d'applications smartphone parce que l'intégralité de leur chaine de décision est incompétente.
Ça a l'avantage d'être une explication tellement pratique qu'elle ne nécessite même pas de réflechir.
Bon, maintenant, en vrai, il faut bien avoir en tête que c'est les banques (ou leurs assurances, ce qui revient plus ou moins au même) qui couvrent le coût de la fraude bancaire. Il faut aussi réaliser que les tribunaux, régulièrement, prennent position contre les banques sur la définition de la faute du client. Vous avez là l'ensemble de l'équation : les banques veulent contrôler la totalité de la chaine de sécurité, car si vous pouvez faire une transaction avec une partie de la chaine moins sécurisée que la procédure standard, alors c'est pour la tronche de la banque. Par exemple, si vous avez installé par mégarde un tracker sur votre smartphone dégooglisé et que vous vous êtes fait aspirer votre pin, bah la fraude sera pour la banque (à moins de pouvoir convaincre le tribunal qu'avoir un smartphone dégooglisé est une faute de la part du client, ce qui me semble chaud). Il est donc totallement rationnel de la part de la banque d'interdire toute transaction qui implique n'importe quel matériel ou logiciel non-audité.
Moi je suis super pour la liberté de choisir sa banque en fonction de valeurs ou en fonction des services fournis. Je préfère utiliser l'interface web que l'application par exemple, et si ma banque cessait de fournir une interface web, j'imagine que je pourrais changer. Mais il faut aussi que je sois prêt à payer plus cher pour un service. C'est le principe même du commerce, si je veux une coupe de cheveux, je vais payer plus cher que pour la barbe. Bah là c'est pareil, je veux quelque chose en plus, cette chose a objectivement un coût (équipe de développement, service client, documentation…), et j'ai du mal à comprendre sur quel principe je devrais pouvoir bénéficier d'un service supplémentaire sans raquer derrière si la banque a pris la décision que de me garder parmi leurs clients ne justifiait pas un geste commercial. À ma connaissance, la nature de l'OS utilisé ne fait pas partie des critères de discrimination, et "pouvoir accéder à mes comptes sous Linux" n'est pas un droit garanti par la loi…
[^] # Re: N'est-ce pas un droit ?
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 4 (+3/-2).
C'est tout à fait vrai, et il y a plein de situations absurdes comme ça dans la vie où la loi oblige quelqu'un à faire quelque chose mais ne prévoit pas de sanction ni de procédure dérogatoire. C'est même souvent le cas pour les documents administratifs, la loi impose tout un tas de délais (pour avoir un RDV à la préfecture, pour un jugement, etc), mais il n'existe aucun mécanisme pour forcer l'administration en question à respecter ces délais (le mieux que tu puisses espérer est de faire condamner l'État, bon courage).
Là, on est dans le cadre du droit du commerce, la loi impose à un commerçant de faire quelque chose, et le commerçant refuse. Ça pourrait être payer en liquide, séparer deux articles dans le cadre d'une vente liée, n'importe quoi, c'est le même principe. Tu peux saisir la répression des fraudes, tu peux changer de crêmerie, tu peux poursuivre au tribunal si tu considères que tu as été lésé, mais rien de ceci ne résoudra ton problème. Concrêtement, tu es là, chez le boulanger, avec ton billet de 10€, et le boulanger te dit qu'il ne le prend pas, il a tort, il est pourtant obligé, tu peux lui prouver, mais il te dit "non" quand même. C'est la vie réelle, c'est un rapport de force, il est objectivement absurde, lui fait le pari que tu vas lacher l'affaire, et c'est probablement l'intérêt de toutes les parties que tu lâches l'affaire.
En l'occurrence, pour l'histoire des appli bancaires, il semble tout à fait possible que la banque perde moins d'argent en perdant un client qu'en maintenant un système d'identification rarement utilisé tout en restant sensible au niveau de la sécurité. En étant même plus cynique, il est peut-être possible que ton profil de clients n'est pas réellement celui qu'ils recherchent (pas de smartphone = probablement pas un acheteur compulsif qui va activer les options du retrocashback Amazon, dont la revente des données associées rapporte probablement bien plus que les activités bancaires). Est-ce ton intérêt de rester client d'une banque qui souhaite se débarrasser de toi? À court terme, c'est casse-pieds de changer de banque, mais de toutes manières ils trouveront bien un moyen de te "rentabiliser" (c'est même un devoir pour une entreprise commerciale), éventuellement en augmentant les frais bancaires pour tout le monde, et en accordant un discount de 90% pour les utilisateurs du retrochashback…).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 27 avril 2026 à 15:22.
C'est un problème encore différent. Les groupes Whatsapp ont parfois un règlement, mais je n'ai aucune idée de si ce règlement est opposable (qu'est-ce qui se passe si on ne le respecte pas?).
Je ne suis pas sûr, il faudrait avoir une copie du formulaire. Ça m'étonnerait que la diffusion des informations au public soit autorisée, par exemple, ça n'aurait aucun sens. On ne peut pas non plus prévoir de dérogation à la RGPD dans l'autorisation (par exemple, on n'a pas le droit de demander aux gens d'autoriser à stocker les informations personnelles sans respecter la RGPD, de renoncer à son droit de retrait, de conserver au-delà de l'année scolaire, etc).
Si c'est vrai, c'est très risqué, car la loi est très claire sur la spécificité des autorisations. D'ailleurs, les modèles que j'ai trouvé sur Internet sont au contraire très spécifiques, avec une dizaine d'items (démarches administratives oui/non, trombinoscope oui/non, photo de classe oui/non, illustration des sorties scolaires oui/non, portail public de l'ENT oui/non, portail privé de l'ENT oui/non, etc). J'ai du mal à imaginer qu'un chef d'établissement prenne le risque d'inventer son propre formulaire, avec le risque d'une non-spécificité qui annulerait sa portée.
En tout cas, tous les documents que j'ai consultés confirment qu'il n'y a aucune nécessité pédagogique pour les photographies. Il est donc tout à fait possible de renoncer à fournir une photographie et de refuser toutes les autorisations.
[^] # Re: proposition - informations RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Je pense que c'est pas mal de mettre un avertissement. Par contre je trouve que tu as fusionné deux avertissements différents: celui du développeur, qui avertit l'admin de la machine de l'existence de règles strictes sur les données personnelles (avec peut-être un petit "disclaimer" pour bien préciser que le développeur n'est absolument pas responsable à la place de l'utilisateur pour vérifier la conformité de l'utilisation à la loi); et celui de l'admin de la machine, qui avertit ses utilisateurs, dans son contexte de travail, des conditions dans lesquelles le chef d'établissement a autorisé l'exploitation de ces données.
Je trouve aussi que tu te mouilles trop : tu sembles donner des préconisations d'utilisation qui sont conformes au RGPD, ce qui ne me semble pas très prudent (tu ne peux pas garantir ça, c'est un boulot de juriste, et tu ne sauras jamais quand ces recommandations deviendront obsolètes si le cadre du RGPD change).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 27 avril 2026 à 09:24.
Encore faudrait-il connaitre le contenu du document d'autorisation signé par les élèves ou leurs familles. Normalement, il y a une liste d'items autorisés, qui spécifient les usages internes ou externes. C'est fréquent par exemple que les écoles diffusent les photos d'évènements (fête de l'école, etc).
Mais encore une fois, je pense que si diffusion, poursuites, et condamnation il y a, ça sera contre le chef d'établissement, et pas envers le pékin qui a mis les photos sur son laptop personnel. Libre ensuite à l'éducation nationale de se retourner contre un agent pour l'accuser d'une faute, mais elle ne le fera pas (il ne faudrait pas trop que la justice s'intéresse à cette manie qu'a l'État de ne pas fournir à ses agents les équipements nécessaires aux tâches qu'ils sont censées effectuer…).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 25 avril 2026 à 15:02.
Je ne voudrais pas m'avancer, mais si c'est dans le cadre de ses fonctions, c'est son employeur qui est responsable. L'employeur ne peut se désolidariser que s'il y a une faute, il faut donc que la faute soit mentionnée dans un document quelconque (règlement, code de la fonction publique…). Pour les insultes, je pense que c'est quelque part dans le code de la fonction publique, mais pour le traitement des données privées, j'ai l'impression que sans charte ou règlement, c'est à l'État d'assumer; le fonctionnaire pourra démontrer par exemple qu'on lui a fourni ces fichiers sans aucune instructions sur leur finalité ou leur réutilisation.
[^] # Re: C'est du recel non ?
Posté par arnaudus . En réponse au lien Pirater un pirate, est-ce du piratage ?. Évalué à 4 (+1/-0). Dernière modification le 24 avril 2026 à 17:39.
C'est une légende urbaine. Confirmé par https://www.service-public.gouv.fr/particuliers/vosdroits/F32108 par exemple:
La preuve sera faite non pas par le téléchargement en lui-même, mais par la mise à disposition illégale des œuvres. Une œuvre téléchargée en peer-to-peer devient en effet disponible pour d'autres internautes qui utilisent la même technique.
Justement, parce que l'infraction de téléchargement est difficilement caractérisable. Tu peux t'être trompé de fichier, interrompu immédiatement le téléchargement, suivi une redirection automatique… Mais plus prosaïquement, c'est juste un truc purement légal : en France il est illicite d'inciter à une infraction, or en P2P, la seule manière de te chopper en train de "downloader" est de te proposer le fichier, ce qui te permettrait très facilement de faire sauter les poursuites. Pour l'upload c'est une autre histoire, puisque mettre un fichier à disposition est constitutif d'une contrefaçon, et que tu l'as fait spontanément, sans qu'on ne t'y incite.
Donc voila, en France, personne n'a jamais été attrappé par un système automatique pour avoir téléchargé seulement, parce que 1) l'infraction n'est pas facile à caractériser, et 2) il y aurait nécessairement des recours (par exemple, si tu as déja le DVD chez toi, c'est de la copie privée et c'est légal). Ceci dit, si un disque dur se fait saisir lors d'une perquisition pour des délits liés au droit d'auteur, rien ne garantit en effet que ça ne va pas aller plus loin.
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 4 (+1/-0).
Note quand même que c'est loin de respecter le RGPD, mais c'est une question de gestion du risque. Si les infos ne sortent pas, personne ne saura que vous ne respectez pas le RGPD.
Normalement, le chef d'établissement est formé à ça, il y a quand même de la documentation de disponible https://eduscol.education.gouv.fr/6231/protection-des-donnees-personnelles-et-assistance. Il y a également un référent RGPD par académie. Et des indications très précises ici (https://www.reseau-canope.fr/les-donnees-a-caractere-personnel/le-responsable-de-traitement-et-ses-obligations.html) pour "les données recueillies au niveau de l’établissement dans des applications locales ou des services numériques développés indépendamment de l’administration centrale ou du rectorat" (donc exactement ce dont on parle ici).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Mouais, alors je ne sais pas trop où tu veux en venir, mais si une boite recueille des données privées et en fait n'importe quoi, les salariés ne risquent rien, c'est les responsables de la boîte qui vont avoir des problèmes. Dans une administration c'est pareil, si les profs n'ont aucune formation et aucune éthique des données privées et qu'ils les recueillent, les manipulent, les diffusent, les copient, les perdent dans la nature, etc. sans rien contrôler, c'est le directeur d'établissement qui rend des comptes.
Si tu t'introduis dans un système informatique sans en avoir l'autorisation (en piquant les codes des profs), c'est une autre histoire.
La charte info fait partie du règlement intérieur, c'est ce qui permet de pouvoir se retourner contre un salarié qui aurait fait une faute. Si un prof se fait piquer son laptop et que les photos des élèves se retrouvent sur X/Twitter, en absence de charte et de règlement RGPD, j'ai du mal à voir comment la faute pourrait être retenue ; l'employé a juste fait comme d'habitude et n'a violé aucune règle interne, il n'est pas censé connaitre le RGPD et l'appliquer s'il n'en a pas reçu la consigne.
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Oui, je suis d'accord, le cas que tu décris est probablement possible. Les données sont installées sur des postes déterminés, seul l'admin a accès à la base de données.
Je pense en effet que c'est le point central. Les élèves et leurs parents doivent avoir été informés de l'existence du logiciel et donné leur accord pour l'utilisation de leurs données dans ce cadre.
Certes, mais on est d'accord que la copie de fichiers d'origine pas claire sur les ordinateurs personnels des profs pour faire des quizz n'est pas une application imparfaite du RGPD, c'est un torchage magistral avec le principe même de la protection des données privées.
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Ça n'est pas l'objectif, puisque le serveur n'est pas public. Tu ne donnes l'accès au serveur qu'aux agents dûment identifiés pour qui l'accès à ces données est nécessaire. Ils sont employés, ils ont signé une charte, s'ils font des captures d'écran ou n'importe quoi tu pourras te retourner contre eux, c'est exactement le même problème que pour toute donnée confidentielle dans n'importe quelle entreprise.
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Bah c'est là où on aurait besoin d'un spécialiste, mais j'ai l'impression que les lois, l'usage, et la jurisprudence, ne considèrent pas les copies techniques temporaires (le cache, en gros) comme des copies au sens de la loi.
Ce qui ne résoud pas complètement le problème de la sécurité. Si tu accèdes par exemple à des données personnelles par une interface web, le site peut être parfaitement sécurisé, l'admin sys ne peut pas contrôler ce que fait ni ton système ni ton navigateur. Si tu as monté .mozilla/firefox sur le serveur de la CIA, les données vont se balader en clair, mais c'est aussi clairement une copie non-autorisée.
À partir du moment où tu autorises quelqu'un à accéder à des données, ce quelqu'un peut les copier et les revendre aux espions Russes. Il n'empêche que c'est interdit (il y a une différence entre "interdire" et "empêcher"), et c'est ça qui compte au final.