Non justement. Le RGPD dit spécifiquement l’inverse. Ta transmission en tant que responsable de traitement à un autre responsable de traitement n’éteint pas ta responsabilité. LES DEUX en deviennent responsables, et en particulier le 1er est supposé continue à propager les demandes d’accès/rectification/effacement et a l’obligation de prouver qu’il fait le taff et propage bien toutes les demandes.
Étant donné qu'une instance Mastodon correctement configuré n'a qu'un cache limité dans le temps sur les données qui lui sont propagées, je ne vois pas trop en qu'est-ce qu'il manque? Si un utilisateur édite sont message, l'édition est propagée. C'est juste un cache. S'il ferme son compte et quitte l'instance mastodon d'origine, ses changements de statut vont disparaitre non? Qu'est-ce qu'il manque selon toi?
Cas très différent de la fédération. Le mail est décentralisé, mais pas fédéré.
Bien sûr que si que le mail est fédéré.
Le destinataire final conserve aussi des intérêts puisqu’il s’agit bien d’une correspondance dont il est destinataire explicite.
Dans le cas d'un statut mastodon aussi on pourrait rétorquer que c'est invocable, surtout quand il y a des mentions.
(avec une check-box DELETE juste à côté du bouton BAN, qui ne devrait donc légalement pas exister, ou exclusivement pour des admins/super-modo et pour des usages très spécifiques, certainement pas accessible à un modo standard).
Je dirais que tout modo qui n'authorise pas les accès depuis l'europe peut l'utiliser.
Déjà au DSA qui impose une procédure d’appel neutre et impartial jusqu’à 6 mois après le blocage.
Ça les GAFAM ne les respectent pas.
Ils gardent sans doute les données 6 mois mais si tu es ban ton unique recourt c'est de faire assez de bruit sur les autres réseaux sociaux pour que ça fasse un scandale et qu'un humain passe par une procédure manuelle.
modifier activitypub pour permettre une réelle mise en œuvre des article 14, 15, 16, 17, 18, 20 et 23, qui actuellement sont (mal) traités exclusivement par l’instance primaire émettant le contenu et aucunement propagés ni propageables aux instances secondaires le recevant
Même si la propagation automatique serait idéale, je ne crois pas que instance 1 pourrait être poursuivie parce que instance 2 a récupéré des trucs et n'a pas conscience que @bidule@instance1 veut, par exemple, que telle ou telle donnée soit corrigée. Une fois que les données sont chez un autre admin, c'est de la responsabilité de l'autre admin.
Et on impose pas par exemple gmail de supprimer les emails de tartampion@hotmail.com qui ont été envoyés à des addresses gmail parce que monsieur tartampion demande à hotmail de supprimer son compte et ses données.
La RGPD n'est tout simplement pas federation ready.
GNU Social était il me semble le plus vieux projet de réseau social centralisé libre. Pump.io donc Activity Pub, a été créé bien avant Mastodon et des réseaux comme identi.ca ont fait le switch avant l'arrivée de Mastodon.
GNU Social n'était déjà pas très dynamique. Mastodon ne l'a pas tué. Il était tout simplement déjà mort mais ne le savait pas encore.
Ça veut juste dire que tu ne peux pas invoquer l'ignorance dans le cadre d'un procès. Dans les fait la majorité des gens ignorent la majorité des lois.
Du reste je n'explique pas, je comprends. Plein d'autres auraient fait pareil. Et ce qui compte c'est ce qu'on en fait maintenant.
Ah mais je ne dis pas qu'ils n'ont pas été nuls sur ce point hein.
Maintenant à la date du 1er commit en 2016, le sieur Rochko était un étudiant de 23 ans, pas un chef d'entreprise avec un département légal à même de lui expliquer les tenants et aboutissants de la RGPD.
Parce que bon à l'époque, j'en ai vu des services informatiques complètement perdus par les questions de conformités à la RGPD (et des services étatiques) et je connais encore dans ma boite actuelle des services qui se mettent seulement en conformité (mais qui sont peu visibles et peu sujet à plaintes puisqu'ils n'ont comme clients que des entreprises signant contrat avec eux) et je ne doute pas qu'il y a plein de trucs pas vu / pas pensés dans des milliers d'entreprises.
J’ai la mienne depuis… bien avant que Mastodon existe ? Il se trouve que Mastodon a démoli l’intégralité du réseau où j’étais bien avant que le Mammouth dégomme tout sur son passage
Aaah en fait c'était personnel! Fallait le dire avant.
Je ne connais aucun réseau qui a été démoli par Mastodon soit-dit en passant.
Étant donné que la plupart (je n'ai pas tout lu) des tickets sont ouverts et pas fermés "won't fix", je trouve que c'est malhonnête de ta part de dire que les auteurs s'en foutent.
Il y a clairement un manque de prise en compte de la RGPD et une réactivité très molle, se défaussant sur le fait que si c'est pas utilisé par une entreprise la RGPD ne s'y applique pas.
Mastodon n'est pas un réseau social, c'est un serveur activity pub qui peut s'interconnecter avec d'autre. Il serait certe mieux de promouvoir un outil qui permet à chaque admin de respecter la RGPD facilement, mais ça reste une responsabilité individuelle de chaque admin.
Maintenant l'Union Européenne a sa propre instance Mastodon (mais pas avec ouverture de compte ouverte), donc je pense que comme dans chaque changement de législation il y a un délai de mise en conformité accordé à tous les acteurs. J'imagine qu'on peut accepter qu'un logiciel libre développé par une petite équipe financée par des dons avec un budget annuel de 10000€ n'ait pas la même vitesse de mise en comformité.
C'est plutôt des services comme masto.host qui vendent de l'hébergement Mastodon qu'il faut se plaindre je dirais.
Est-ce qu'il y a deux niveaux d'accès aux contacts? (lecture seule ou lecture + upload)?
Ça ne peut pas exister ce type de permission (lecture + upload) et je ne vois pas vraiment comment ça pourrait être mis en place.
Une appli a accès au réseau ou pas.
Une appl a accès aux contacts ou pas.
Ce sont deux permissions distinctes et indépendantes.
Note que dans tous les cas c'est l'utilisateur qui donne l'accord à l'utilisation d'accéder ou non aux contacts. Ce n'est pas caché. Google veut en plus qu'on déclare qu'on collecte des données sur un serveur tiers…même si on ne le fait pas.
D'où le niveau de permission qui me semble tout à fait logique: permettez-vous à l'appli d'accéder à vos contacts et d'en faire ce que le développeur veut bien en faire?
On ne parle pas de permission mais d'annoncer une potentielle collecte. Ou pas.
On ne peut pas donner tort à l'auteur sur le fait qu'ils auraient très bien pu ne pas accepter la mise à jour et laisser la version précédente dans leur store.
Je crois que son appli n'a pas été bannie sur une maj en particulier. C'est plutôt au niveau de google que le contrôle a du changer. La fonctionnalité existait il me semble déjà.
Avec Linphone on collecte les contacts et on envoie les numéros de téléphone à un serveur (de manière sécurisée), et on a jamais eu de soucis avec Google et le Play Store.
Mais vous le dites:
Image de l'icône
Cette appli peut recueillir ces types de données
Informations personnelles, Contacts et Appareil ou autres ID
L'auteur de Conversation ne voulait pas le dire parce que c'est faux et que son appli n'utilise les contacts que localement.
Google part du principe que si ton applis a l'accès aux contacts et au réseau, c'est pour les aspirer et les garder sur ton serveur. Parce que accessoirement c'est ce qu'eux-même et la plupart des entreprises font. L'idée qu'une appli ne puisse utiliser les contacts que localement leur est totalement étrangère.
À vrai dire ils s'en foutent que tu le fasses, ils veulent juste te forcer à le dire pour se protéger légalement.
Sortie de boite la dernière fois que j'avais vérifié ce n'était possible qu'avec mklink, pas dans l'explorateur de fichier. Ça n'a jamais été destiné à l'utilisateur final.
De toute manière il faut partir du principe que toute base de donnée en ligne est compromise un jour ou l'autre. La question est uniquement de savoir quand.
il faut se mettre d’accord sur un certain nombre de règles et il faut que tout le groupe joue le jeu.
Ça tombe bien sur de la doc je n'ai jamais vu aucune équipe s'accorder là-dessus. Le seul endroit où j'ai vu de l'étiquetage imposé c'est sur des trucs comme des resources d'infrastructures en ligne comme AWS ou Azure.
Et l'erreur étant humaine, sur lesdites resources, on est quand même obligé d'avoir un programme qui vient taper sur toutes nos resources pour vérifier un certains nombre d'étiquettes obligatoires sont bel et bien renseignées. On devrait se dire que c'est inutile avec de l'infra as code mais à priori pas.
Non, c'est de la modération automatisée assez simple:
La logique c'est appli demande accès aux contacts mais ne déclare pas qu'elle aspire tous les contacts = ban
tiktok aspire tous tes contacts, mais ils le déclarent dans leur eula = autorisé.
converation lit les contacts mais ne déclare rien = out.
La bonne foi, la revue du code, osef.
Du coup l'auteur a le choix entre ne plus demander l'autorisation d'accès aux contacts (dans ce cas les trombines des contacts n'apparaissent pas dans conversayion)[1] ou faussement déclarer qu'il aspire et stocke vos contacts même si ce n'est pas le cas. Oui c'est con.
Rasoir d'Hanlon, etc.
[1] d'après l'auteur c'est la seule raison pour laquelle l'appli demande accès aux contacts.
On me dirait: mais ça c'est pour les dev et il faut comprendre git mais n'importe qui peut éditer des fichiers markdown dans une forge avec un éditeur intégré qui commit automatiquement. J'irais même jusqu'à dire que bitbucket est un meilleur moteur de wiki que confluence!
Nous on met la doc dans des repos git et elle se génère automatiquement avec mkdocs via notre outil d'integration continue à chaque commit.
Personnellement je préfère le diagram as code avec mermaidjs mais certains collègues utilisent quand même drawio, la plupart utilisant le plugin pour vscode.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
Étant donné qu'une instance Mastodon correctement configuré n'a qu'un cache limité dans le temps sur les données qui lui sont propagées, je ne vois pas trop en qu'est-ce qu'il manque? Si un utilisateur édite sont message, l'édition est propagée. C'est juste un cache. S'il ferme son compte et quitte l'instance mastodon d'origine, ses changements de statut vont disparaitre non? Qu'est-ce qu'il manque selon toi?
Bien sûr que si que le mail est fédéré.
Dans le cas d'un statut mastodon aussi on pourrait rétorquer que c'est invocable, surtout quand il y a des mentions.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
L'expérience montre que ceux qui l'ont signé ont réutilisé le document comme papier toilette alors ça vaut à peu près…rien.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0). Dernière modification le 21 février 2024 à 07:52.
Je dirais que tout modo qui n'authorise pas les accès depuis l'europe peut l'utiliser.
Ça les GAFAM ne les respectent pas.
Ils gardent sans doute les données 6 mois mais si tu es ban ton unique recourt c'est de faire assez de bruit sur les autres réseaux sociaux pour que ça fasse un scandale et qu'un humain passe par une procédure manuelle.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0). Dernière modification le 20 février 2024 à 17:38.
Même si la propagation automatique serait idéale, je ne crois pas que instance 1 pourrait être poursuivie parce que instance 2 a récupéré des trucs et n'a pas conscience que @bidule@instance1 veut, par exemple, que telle ou telle donnée soit corrigée. Une fois que les données sont chez un autre admin, c'est de la responsabilité de l'autre admin.
Et on impose pas par exemple gmail de supprimer les emails de tartampion@hotmail.com qui ont été envoyés à des addresses gmail parce que monsieur tartampion demande à hotmail de supprimer son compte et ses données.
La RGPD n'est tout simplement pas federation ready.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
J'aimerai bien savoir à quel article tu te réfères là d'ailleurs.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+6/-0).
Si tu veux interdire les bannissement express tu peux bannir tout internet hein.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 10 (+7/-0).
GNU Social était il me semble le plus vieux projet de réseau social centralisé libre. Pump.io donc Activity Pub, a été créé bien avant Mastodon et des réseaux comme identi.ca ont fait le switch avant l'arrivée de Mastodon.
GNU Social n'était déjà pas très dynamique. Mastodon ne l'a pas tué. Il était tout simplement déjà mort mais ne le savait pas encore.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 7 (+4/-0).
Ça veut juste dire que tu ne peux pas invoquer l'ignorance dans le cadre d'un procès. Dans les fait la majorité des gens ignorent la majorité des lois.
Du reste je n'explique pas, je comprends. Plein d'autres auraient fait pareil. Et ce qui compte c'est ce qu'on en fait maintenant.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
GNU Social en est au même point qu'il ne l'était à l'époque. Mastodon ne l'a pas démoli, et n'en a jamais eu le pouvoir.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+6/-0).
Ah mais je ne dis pas qu'ils n'ont pas été nuls sur ce point hein.
Maintenant à la date du 1er commit en 2016, le sieur Rochko était un étudiant de 23 ans, pas un chef d'entreprise avec un département légal à même de lui expliquer les tenants et aboutissants de la RGPD.
Parce que bon à l'époque, j'en ai vu des services informatiques complètement perdus par les questions de conformités à la RGPD (et des services étatiques) et je connais encore dans ma boite actuelle des services qui se mettent seulement en conformité (mais qui sont peu visibles et peu sujet à plaintes puisqu'ils n'ont comme clients que des entreprises signant contrat avec eux) et je ne doute pas qu'il y a plein de trucs pas vu / pas pensés dans des milliers d'entreprises.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+7/-1). Dernière modification le 20 février 2024 à 15:12.
Aaah en fait c'était personnel! Fallait le dire avant.
Je ne connais aucun réseau qui a été démoli par Mastodon soit-dit en passant.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
Étant donné que la plupart (je n'ai pas tout lu) des tickets sont ouverts et pas fermés "won't fix", je trouve que c'est malhonnête de ta part de dire que les auteurs s'en foutent.
Il y a clairement un manque de prise en compte de la RGPD et une réactivité très molle, se défaussant sur le fait que si c'est pas utilisé par une entreprise la RGPD ne s'y applique pas.
Mastodon n'est pas un réseau social, c'est un serveur activity pub qui peut s'interconnecter avec d'autre. Il serait certe mieux de promouvoir un outil qui permet à chaque admin de respecter la RGPD facilement, mais ça reste une responsabilité individuelle de chaque admin.
Maintenant l'Union Européenne a sa propre instance Mastodon (mais pas avec ouverture de compte ouverte), donc je pense que comme dans chaque changement de législation il y a un délai de mise en conformité accordé à tous les acteurs. J'imagine qu'on peut accepter qu'un logiciel libre développé par une petite équipe financée par des dons avec un budget annuel de 10000€ n'ait pas la même vitesse de mise en comformité.
C'est plutôt des services comme masto.host qui vendent de l'hébergement Mastodon qu'il faut se plaindre je dirais.
# En parlant de mondes virtuels...
Posté par Psychofox (Mastodon) . En réponse au journal Web 4.0 : L'union européenne et les mondes virtuels. Évalué à 4 (+1/-0).
…j'ai vu que Mozilla abandonne la plateforme Mozilla Hubs dont personne ne connaissait l'existence!
# L'auteur oublie l'essentiel...
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 10 (+13/-1).
…l'état n'est pas obligé de passer par un prestataire externe et pourrait s'autohéberger, avoir ses propres datacenter et IT.
C'est un choix d'aller chercher ailleurs.
# développement
Posté par Psychofox (Mastodon) . En réponse à la dépêche Sortie de LuneOS « Eiskaffee ». Évalué à 8 (+5/-0).
Merci pour la nouvelle, je pensais que le projet était abandonné.
[^] # Re: Description objective du problème?
Posté par Psychofox (Mastodon) . En réponse au journal Google retire Conversations du magasin Play (Play Store). Évalué à 6 (+4/-1). Dernière modification le 15 février 2024 à 18:47.
Ça ne peut pas exister ce type de permission (lecture + upload) et je ne vois pas vraiment comment ça pourrait être mis en place.
Une appli a accès au réseau ou pas.
Une appl a accès aux contacts ou pas.
Ce sont deux permissions distinctes et indépendantes.
Note que dans tous les cas c'est l'utilisateur qui donne l'accord à l'utilisation d'accéder ou non aux contacts. Ce n'est pas caché. Google veut en plus qu'on déclare qu'on collecte des données sur un serveur tiers…même si on ne le fait pas.
[^] # Re: Description objective du problème?
Posté par Psychofox (Mastodon) . En réponse au journal Google retire Conversations du magasin Play (Play Store). Évalué à 5 (+2/-0).
On ne parle pas de permission mais d'annoncer une potentielle collecte. Ou pas.
Je crois que son appli n'a pas été bannie sur une maj en particulier. C'est plutôt au niveau de google que le contrôle a du changer. La fonctionnalité existait il me semble déjà.
[^] # Re: Description objective du problème?
Posté par Psychofox (Mastodon) . En réponse au journal Google retire Conversations du magasin Play (Play Store). Évalué à 5 (+3/-1).
Mais vous le dites:
Image de l'icône
Cette appli peut recueillir ces types de données
Informations personnelles, Contacts et Appareil ou autres ID
L'auteur de Conversation ne voulait pas le dire parce que c'est faux et que son appli n'utilise les contacts que localement.
[^] # Re: Description objective du problème?
Posté par Psychofox (Mastodon) . En réponse au journal Google retire Conversations du magasin Play (Play Store). Évalué à 10 (+11/-0). Dernière modification le 15 février 2024 à 17:02.
Google part du principe que si ton applis a l'accès aux contacts et au réseau, c'est pour les aspirer et les garder sur ton serveur. Parce que accessoirement c'est ce qu'eux-même et la plupart des entreprises font. L'idée qu'une appli ne puisse utiliser les contacts que localement leur est totalement étrangère.
À vrai dire ils s'en foutent que tu le fasses, ils veulent juste te forcer à le dire pour se protéger légalement.
C'est aussi simple que ça.
[^] # Re: Confluence, la recherche convergente et le chemin thématique
Posté par Psychofox (Mastodon) . En réponse au journal Atlassian SaaS.... Évalué à 4 (+1/-0).
Sortie de boite la dernière fois que j'avais vérifié ce n'était possible qu'avec mklink, pas dans l'explorateur de fichier. Ça n'a jamais été destiné à l'utilisateur final.
Il existe une extension qui ajoute la fonctionnalité cela-dit:
https://schinagl.priv.at/nt/hardlinkshellext/linkshellextension.html
[^] # Re: "Possible" ?
Posté par Psychofox (Mastodon) . En réponse au lien Possible piratage massif de comptes d'allocataires de la CAF. Évalué à 6 (+3/-0).
De toute manière il faut partir du principe que toute base de donnée en ligne est compromise un jour ou l'autre. La question est uniquement de savoir quand.
[^] # Re: Confluence, la recherche convergente et le chemin thématique
Posté par Psychofox (Mastodon) . En réponse au journal Atlassian SaaS.... Évalué à 3 (+0/-0).
Ça tombe bien sur de la doc je n'ai jamais vu aucune équipe s'accorder là-dessus. Le seul endroit où j'ai vu de l'étiquetage imposé c'est sur des trucs comme des resources d'infrastructures en ligne comme AWS ou Azure.
Et l'erreur étant humaine, sur lesdites resources, on est quand même obligé d'avoir un programme qui vient taper sur toutes nos resources pour vérifier un certains nombre d'étiquettes obligatoires sont bel et bien renseignées. On devrait se dire que c'est inutile avec de l'infra as code mais à priori pas.
[^] # Re: Et en parlant de messagerie mobile
Posté par Psychofox (Mastodon) . En réponse au lien L'UE n'imposera pas à Apple de rendre iMessage interopérable. Évalué à 7 (+4/-0).
Non, c'est de la modération automatisée assez simple:
La logique c'est appli demande accès aux contacts mais ne déclare pas qu'elle aspire tous les contacts = ban
tiktok aspire tous tes contacts, mais ils le déclarent dans leur eula = autorisé.
converation lit les contacts mais ne déclare rien = out.
La bonne foi, la revue du code, osef.
Du coup l'auteur a le choix entre ne plus demander l'autorisation d'accès aux contacts (dans ce cas les trombines des contacts n'apparaissent pas dans conversayion)[1] ou faussement déclarer qu'il aspire et stocke vos contacts même si ce n'est pas le cas. Oui c'est con.
Rasoir d'Hanlon, etc.
[1] d'après l'auteur c'est la seule raison pour laquelle l'appli demande accès aux contacts.
[^] # Re: Personne n'a lu ...
Posté par Psychofox (Mastodon) . En réponse au journal Atlassian SaaS.... Évalué à 3 (+0/-0).
On me dirait: mais ça c'est pour les dev et il faut comprendre git mais n'importe qui peut éditer des fichiers markdown dans une forge avec un éditeur intégré qui commit automatiquement. J'irais même jusqu'à dire que bitbucket est un meilleur moteur de wiki que confluence!
[^] # Re: Personne n'a lu ...
Posté par Psychofox (Mastodon) . En réponse au journal Atlassian SaaS.... Évalué à 5 (+2/-0).
Nous on met la doc dans des repos git et elle se génère automatiquement avec mkdocs via notre outil d'integration continue à chaque commit.
Personnellement je préfère le diagram as code avec mermaidjs mais certains collègues utilisent quand même drawio, la plupart utilisant le plugin pour vscode.