Et encore une fois tu ne comprends pas les implications du RGPD et que l’application n’est PAS la seule chose à vérifier pour la conformité d’un projet.
Typiquement je ne PEUX pas auditer ton code sans accepter les CGU de github et violer Schrems II et TU es responsable en tant que responsable de traitement, github étant ici co-responsable de traitement.
Le manque de sécurité de l’application elle-même, avec des libs dépréciées depuis 3 ans, est aussi un manque de l’obligation de sécurité du RGPD et de la doctrine de suivi de version donné par la CNIL en décembre dernier. Et c’est de TA faute.
Et je peux continuer encore comme ça longtemps hein…
Pourquoi est-que la v1.42.2 de décembre dernier embarque du react 17.0.2 de 3 ans d’âge (22/03/2021) quand les dernières versions sont en 18.x ? Du use-debounce 3.4.3 livré en 2020 quand il y a dorénavant du 10.0.0 (🤯) ? Du ws 7.5.9 de 2 ans quand on est en 8.16.0 dorénavant ? Bordel quoi…
Delta Chat est un client mail, il n'est pas lié à un service en ligne spécifique : c'est l'hébergeur mail que tu configures qui traite tes données.
C’est faux. Delta-chat, en tant que fournisseur d’un logiciel en Europe, ne peut pas se défausser sur « il avait qu’à faire attention, l’utilisateur ».
Le simple fait que le code source ne soit dispo que sur github est une violation de Schrems II. Le fait qu’on télécharge des .deb chez vous est un traitement de données dont vous êtes responsable de traitement et avez au moins en Europe l’obligation de collecte des données de connexion.
Le fait de le déployer sur le play store fait que Google est un co-responsable de traitement dont vous endossez aussi la responsabilité des CGU tacitement (non) acceptées par vos utilisateurs, et comme déjà sanctionné 5-6× par des APD.
Vous fournissez un .deb sans aucune signature crypto. Pour un soft prétendant faire de la sécurité.
J’ai aussi le droit de défoncer devant une APD exactement de la même manière un logiciel de mail qui a une privacy policy aussi pétée et qui n’incite pas DU TOUT à aller plus loin. Si ta landing page est dans cet état, je ne veux même pas aller voir la gueule de ton service. Quand tu me mets « AES128 v3 » dans ta privacy policy avec un site web qui supporte encore du non PFS avec du chiffrement RSA 2048 bits, laisse-moi douter TRÈS FORTEMENT de ta capacité à faire de la crypto proprement et encore pire en end-to-end.
Et ça a été exactement pareil par exemple sur la fédération/intéropérabilité…
T’as LQDN qui fait des pieds et des mains pendant 10 ans sur ce sujet, qui fait une pétition et un appel national, et quand t’as Meta qui se pointe « bonjour, on peut fédérer du coup ? », y’a la moitié du bordel qui l’insta-strike !
Ça montre de plus en plus que les arguments avancés par tout ce milieu sont juste des PRÉTEXTES pour distordre la concurrence et que quand il faut appliquer tout ça à soi-même, y’a aquaponey.
Et donc parce que je prouve que delta-chat se torche avec le RGPD, faudrait dire « non mais les GAFAM font pareil donc on continue » ?
On me dit que c’est propre, j’ouvre juste le truc et je fais une syncope. On m’explique ?
Même TLS qui est un truc qui a subit un gros bordel en 2014-2016 est pas à jour quoi… 😑😡
Encore une nième fois, ça ne fait que confirmer ce que je dis dans mon blog. « Être libre » est dorénavant une excuse pour ne rien faire, se foutre de la gueule du monde et espérer un totem d’immunité et de sympathie pour ne pas avoir à respecter la loi…
Je ne suis pas en train de te parler d’une loi random fait par des machins yolo remplis de lobbying, j’suis en train de te parler d’un réglement qui est une des rares où la Commission a tenu tête à des lobbyings pendant 6 ans, n’a reculé sur rien, pour défendre des sujets qu’on a nous-même demandé et qui ont été poussé par la majorité sinon la totalité des associations libristes et assimilées depuis 20 ans, et qu’aujourd’hui qu’on l’a enfin en application « non mais j’ai piscine, totem d’immunité GPL-MIT-BSD ».
Et j’espère bien pouvoir en parler ici un jour, pour le moment légalement parlant c’est compliqué, mais j’ai quelques autres exemples de projets libres qui ont assez mal tournés justement en se justifiant qu’ils l’étaient, de libre…
J’ajoute au pif non respect des exigences minimales de sécurité de l’ANSSI, utilisation de suite non PFS dépréciées depuis 10 ans. Pas de supporte de HSTS. Clef RSA de 2048 bits au lieu des 3072 minimums (surtout si pas de PFS).
This website is hosted by an external hoster (Hetzner GmbH).
C’est plutôt GreenHost pour le coup. Je ne peux pas vérifié, mais je suppose que le DPA que vous avez signé avec votre hébergeur est comme 99.999% des cas illicites (la plupart des standards dispo sur le net par les providers le sont). Et que vous ne conduisez aucun des audits annuels/bi-annuels nécessaires à la conformité RGPD (sanction de EDF par la CNIL de mémoire).
for other administrative purposes.
Clause illicite, les « other » ou « par exemple » sont illégaux et chaque finalité doit être explicitement détaillé.
The legal basis for the data processing is Art.6 (1) lit.f GDPR.
Faux, au moins 2 sont des obligations légales (sécurité des SI et journalisation des accès) et non des intérêts légitimes.
Idem, difficile à juger de loin, mais avez-vous bien passer les triples tests (nécessité, proportionnalité, balance des droits) de justification de l’intérêt légitime pour éviter une requalification en consentement par une APD ?
Ensuring a convenient use of our website
Généralement clause considérée comme problématique par EDPB, pas assez spécifique ni éclairée
At the end of the fifth calendar year after these posts were written or after the deletion of your user account, anonymization will take place
Délai trop long, la suppression est supposée être opérée avant 2 ans, et à la date anniversaire de suppression, pas à la fin de l’année calendaire (sinon celles du 1er janvier sont conservés 6 ans en pratique)
In addition, to prevent bots and spam
Interdit sous le régime du « nécessaire au contrat » invoqué au 6(1)b, et la jurisprudence EDPB/CJUE indique plutôt une obligation de consentement, l’intérêt légitime étant trop intrusif sur la balance des droits (3ème test de l’IL qui ne passe pas)
Your user behavior is recorded in server log files in order to analyze technical problems and possible abuse. The legal basis for this processing to protect our legitimate interests is Art.6 (1) lit.b and f GDPR.
User behavior = données sensibles article 9 donc intérêt légitime difficile à passer.
« analyze technical problem or possible abuse » déclarés trop vague par EDPB dans ses lignes directrices.
processing to improve the forum, to prevent advertising bots and spammers
IL fragile relativement souvent requalifié en consentement par les APD
Among other things, your (presumed) interests and preferences may be recorded to display personalized advertising.
Violation ePrivacy + violation encadrement de la sous-traitance article 28
Tout le § est globalement faux, laissant sous-entendre que delta.chat n’est responsable de rien, alors qu’il reste 100% responsable de traitement de l’intégralité des transferts de données générés par ses recommandations ou usages.
The legal basis for this processing is Art.6 (1) lit.f and b GDPR
Publicité ciblée interdite en Europe sur le fondement de l’IL explicitement depuis au moins juin 2023 et la décision urgente de EDPB envers Meta.
Twitter/Youtube
Je développe pas hein… (Schrems II, tout ça…)
The legal basis for this is found in Art. 6 (1) lit. c and f GDPR.
Un traitement ne doit être fondé que sur une et une seule base légale. Ici c’est donc une clause illicite.
You can therefore usually contact the supervisory authority of your usual place of residence or workplace or our registered office
Illégal. Le mécanisme du One-Stop-Shop impose que seule l’APD de la personne concernée soit saisi, charge à elle de transmettre à l’APD du responsable de traitement derrière
128-bit v3
Non sens technique
This data protection declaration is valid as of November 2021
A priori pas d’update de la privacy policy depuis 2 ans, dont des changements majeures de réglementation Schrems II & cie sur le sujet entre temps.
Une PP pas mise à jour au moins chaque année, c’est louche déjà
Je viens de retrouver un lien intéressant. Voilà ce qui a été rédigé par des assos qu’on qualifiera assez difficilement d’être des dangereux extrémistes néo-nazis qui veulent défendre des trucs illégitimes : https://santaclaraprinciples.org/#3-appeal
Donc voilà, même des entités aussi importantes que l’ACLU et l’EFF, ou encore le centre pour la démocratie et la technologie ou la coalition national contre la censure, ont rédigé des principes de modérations en 2018 bien avant le DSA/DMA et pourtant qui en sont 100% compatibles.
Et actent donc que la modération de Mastodon/du Fediverse c’est juste du gros n’importe quoi et que ça ne respecte pas vraiment les principes démocratiques de base.
Oui ok, du coup c’est pas forcément bien appliqué. Mais c’est quoi le mieux du coup ?
Des entités comme Mastodon qui disent « yolo les principes rédigés par les entités les plus respectables en la matière de défense des libertés fondamentales et de la démocratie, on s’en cogne c’est pour les faibles/les méchants et ils ont tord » ou ceux qui ont au moins fait l’effort de signer la charte et donc a priori tentent d’en respecter les principes (même si c’est manifestement perfectible) ?
C’est quoi du coup qui est illégitime ? Le DSA/DMA qui ne fait que reprendre des principes initiés par l’EFF et l’ACLU ? Ou les gus de Mastodon qui chient dessus par pilées de 12 ?
Non, mais que les avantages supposés du libre n’en sont plus vraiment en 2024 voire sont même des problèmes EN PLUS à gérer…
Je ne dis pas que le libre ne peut pas faire correctement les choses, je dis juste qu’aujourd’hui l’argument du libre est beaucoup trop utilisé pour se justifier de ne pas respecter la loi…
Et que par exemple si techniquement la fédération est plus intéressante, couplée à la législation en vigueur (et pour de bonnes raisons), elle n’est pas forcément la plus souhaitable une fois qu’on fait le compromis avec le côté juridique, sauf à aller dans des modèles ultra-décentralisés et de la fédération d’instances de 1-2 personnes maximum, ce qui apporte alors tout un tas d’autres problèmes humains (capacité à s’auto-héberger & cie) aussi à prendre en compte.
Et les propos que tu tiens ne font que confirmer ce que je dis dans mon article.
« Le libre » devient un argument en soit, sans réflexion des avantages ou inconvénients apportés, et le fait qu’on est gêné par la loi et que parce qu’on est « libre » ou « fédéré » on devrait ne pas avoir à la respecter. Sans jamais d’abord poser la question de savoir si ce que « le libre » ou « la fédération » cherche à faire est réellement légitime/morale/légal/whatever.
« Je fais du libre donc je ne peux pas être du mauvais côté ». Et derrière j’entend déjà « oui bon le RGPD est une merde du coup et faut le changer » ou autre « l’article 8 de la CEDH c’est pas pour nous ». Comme les GAFAM quoi… L’aspect financier en moins…
Je pourrais aussi citer Shinigami Eyes qui s’est juste pris un taquet monstrueux de la part de la plus grande autorité de protection des données d’Europe, saisie par l’APD qui fait le mieux son taff en Europe (la Norvège), mais que au motif que c’était pour taper sur les transphobes, fallait surtout plus être trop trop regardant sur le respect de la vie privée et qu’on était forcément du côté du bien.
Ben non en fait, Bob… T’es juste à foutre dans le même sac que les autres hein ! Et c’est pas parce que tu fais du libre ou que tu penses que tu fais le bien que c’est l’absolution totem d’immunité !
Et que oui, des p**** de gens continuent d’utiliser cette extension libre (licence MIT) qui s’est juste fait démonter par EDPB pour de bonnes raisons légitimes et morales et est littéralement interdite en Norvège (à défaut qu’EDPB ait pu l’interdire dans toute l’Europe) !!!! Et ça ne choque… personne… 😑
Une fois que les données sont chez un autre admin, c'est de la responsabilité de l'autre admin.
Non justement. Le RGPD dit spécifiquement l’inverse. Ta transmission en tant que responsable de traitement à un autre responsable de traitement n’éteint pas ta responsabilité. LES DEUX en deviennent responsables, et en particulier le 1er est supposé continue à propager les demandes d’accès/rectification/effacement et a l’obligation de prouver qu’il fait le taff et propage bien toutes les demandes.
Et on impose pas par exemple gmail de supprimer les emails de tartampion@hotmail.com qui ont été envoyés à des addresses gmail parce que monsieur tartampion demande à hotmail de supprimer son compte et ses données.
Cas très différent de la fédération. Le mail est décentralisé, mais pas fédéré.
Le destinataire final conserve aussi des intérêts puisqu’il s’agit bien d’une correspondance dont il est destinataire explicite.
La RGPD n'est tout simplement pas federation ready.
Tu te trompes et inverse juste le problème. Et tient exactement les mêmes propos que les GAFAM (juste que eux disent « le RGPD n’est tout simplement pas business ready »).
La fédération n’est effectivement pas RGPD ready.
Et ce n’est pas forcément le RGPD qu’il faut revoir. Le DSA a même été spécifiquement conçu pour justement ne pas permettre l’évitement des réglementations via des prétextes de fédération.
Déjà au DSA qui impose une procédure d’appel neutre et impartial jusqu’à 6 mois après le blocage. Ça implique donc ne de certainement pas supprimer les données dès le ban, comme l’autorise (et en abuse) actuellement certains admins de Mastodon et parce que Mastodon a implémenté ça comme ça (avec une check-box DELETE juste à côté du bouton BAN, qui ne devrait donc légalement pas exister, ou exclusivement pour des admins/super-modo et pour des usages très spécifiques, certainement pas accessible à un modo standard).
Et il faut que je retrouve la jurisprudence qui avait acté que le bannissement d’un service ne pouvait faire s’éteindre les droits de la personne concernée (donc 15-22 continuent à être 100% applicable jusqu’à la fin même banni)
Si je prend encore une fois l’exemple de Mastodon parce que c’est le plus facile à expliquer, dire « ta modération ne respecte pas le RGPD » impose de forker Mastodon et de :
tracer l’intégralité des actions administrateurs, ce que la plupart juste refusent de mettre en œuvre au motif que les admins ne doivent avoir de compte à rendre à personne, décision limite fondatrice du projet initial
mettre en place une politique d’appel, complexe à mettre en œuvre dans un environnement fédéré et incompatible avec la vision actuelle d’Eugen en particulier et des admins du Fediverse en général sur le sujet, en lien avec le point 1 d’indépendance des modérateurs
virer les notes de profil qui ont été une grande demande de la part des utilisateurs, en tout cas pas sans mise-en-œuvre des article 14 et 21 qui ne sont actuellement pas possible par le protocole ActivityPub
interdire les bannissements express et la destruction du contenu, en permettant aux personnes bloquées la continuité de l’exercice de leur droit, ce qui implique par exemple la continuité de la portabilité (contenu compris, donc)
modifier activitypub pour permettre une réelle mise en œuvre des article 14, 15, 16, 17, 18, 20 et 23, qui actuellement sont (mal) traités exclusivement par l’instance primaire émettant le contenu et aucunement propagés ni propageables aux instances secondaires le recevant
le tout en assurant la stricte compatibilité avec un soft illicite qui va rester probablement l’instance mainstream par excellence et que vu la population et la demande actuelle sur le fédiverse, ton fork va être utilisé par toi-même exclusivement
Non seulement ça ne ressemblerait plus du tout à Mastodon, mais ton propre réseau n’a plus ou moins aucune chance d’avoir le moindre visiteur.
Et c’est aussi pour ça que la justice du droit de la concurrence commence à regarder du côté du RGPD, parce que la non conformité est une atteinte et une distorsion de la concurrence : un soft RGPD-conforme est non-concurrentiel par rapport à un soft violant le RGPD pouvant proposer de facto plus de fonctionnalités mais illicites ou d’attrait pour les utilisateurs.
Encore une fois non. Parce qu’actuellement je me fritte BEAUCOUP plus avec le libre qui brandit justement son côté libre pour ne RIEN faire niveau conformité (« parce que je ne peux pas être méchant, je suis libre », « oui mais le RGPD c’est pour les GAFAM, moi si je l’applique je meurt et comme je suis libre, ça serait pas bien tu vois » qu’avec des outils proprios.
Sur le papier le libre est supposé un argument EN PLUS mais en pratique il est un argument INDUIT. Les forks ne fonctionnent pas en pratique, les softs libres mais pourris pullulent, même les trucs comme Mozilla sont bardés de tracker.
Comme dit, j’ai pas un soft libre que je ne devrais pas éclater à la bombe atomique devant une APD avec une plainte de 80 pages, et me dire « ben t’as qu’à forker » est un non sens. Non seulement j’ai pas le temps pour ça, mais en plus ton produit est tellement construit sur ces non conformités que le taff à abattre pour le mettre en conformité est plus important que de tout refaire from scratch à supposer même que ce que tu cherches à faire soit en réalité légalement possible…
Encore une fois le terme « libre » n’apporte juste plus aucune plus-value à l’équation.
Ah non j’ai dit « vous faites un truc pas légal et voilà comment vous pourriez faire pour être légal » et on m’a rembarré en me disant « nan mais si on fait ça on pourra jamais concurrencer les GAFAM » (à peu près).
Pour sortir du seul cas de Mastodon, je pourrais prendre plus ou moins n’importe quel projet libre et on serait plus ou moins dans la même situation.
Des devs qui n’ont jamais lu la moindre ligne du RGPD et qui font les trucs naïvement totalement illégalement. Et ça sans compter les projets hostés exclusivement sous Github (violation Schrems II), utilisant des media de support US (discord), déployant sur des infras US (Cloudflare, AWS, gitlab.io…), avec une privacy policy inexistante ou illicite, avec des features illicites (même Mozilla a foutu non seulement du tracking d’audience illice mais en plus passant par Google…), etc.
Et c’est plus ou moins le sens de mon propos d’ailleurs : au motif qu’on a foutu « GPL » dans une licence, tout le monde se croit autorisé à faire n’importe quoi et à ne jamais réfléchir au moins sur les obligations légales…
Et donc que « libre » n’est pas un argument en soi. Ça n’apporte STRICTEMENT RIEN à une décision concernant un choix de soft en 2024.
GNU/Social n’en est pas au même point. L’arrivée de Mastodon a complètement stérilisé le développement de ce projet… La communauté a suivi côté Mastodon parce que c’était le plus gros réseau. Ça a explosé le projet et tu n’en trouveras presque plus une miette.
On parle aujourd’hui d’un relicat d’une 20aine d’instances et de moins de 1000 personnes.
Non seulement nul n’est sensé ignorer la loi, mais j’ai aussi beaucoup de mal avec les gens qui commencent en mode « yolo j’ai 23 piges balek me renseigner sur mes obligations légales, moi je vais faire le bien donc je peux pas faire de la merde ». Google/Facebook a pas commencé mieux à l’origine 🤣.
Ça n’est en aucune manière ne serait-ce qu’un début d’excuse pour Eugen. Surtout quand tu développes ça justement pour casser du GAFAM et après tout le merdier qu’on connaît sur les données persos.
Juste GNU/Social ? 🤔
Mastodon s’est pointé en 2017 en ne supportant que OStatus, en ne respectant rien de ce qui existait, a implémenté des features non compatibles aux forceps (message « privé » Mastodon qui du coup était public côté GNU/Social…), puis a forcé ActivityPub, avant de virer le support de OStatus et de massacrer GNU/Social qui ne s’en est jamais remis.
Google n’aurait pas fait mieux…
Le RGPD, c’est approbation du texte par le Parlement UE en décembre 2015, entrée en vigueur en mai 2016, avec mise en application des sanctions en 2018, le tout alors qu’il existait du coup déjà la directive 95 depuis 1995 qui était plus ou moins équivalente…
Quand t’as un projet qui démarre, qui veut faire la nique aux GAFAM, la 1ère chose à peut-être faire… c’est de ne juste pas inclure DU TOUT de violation dès le départ ?
On ne parle ici pas de se mettre en conformité avec un soft existant de 20 ans d’âge et une législation qui a évolué depuis que tu l’as lancé. Mais d’un nouveau produit qui se lance sur le marché dont le 1er commit date du 20 février 2016 donc APRÈS l’approbation du texte et 4 mois avant l’entrée en vigueur, et avec encore 2 ans pour virer tes non conformités avant les sanctions…
Mastodon alors que c'est enfin un service décentralisé qui laisse beaucoup de choix, et qui est celui qui est le plus respectueux des utilisateurs.
Non. C’est juste que c’est celle qui te convient TOI le mieux à ta définition de ce qu’est le respect des utilisateurs mais ce n’est PAS un système qui respecte ses utilisateurs. Certainement pas.
Tu as même le choix au niveau des instances. Peut être qu'il n'y en a aucune à ton goût ou qui serait assez respectueuses des utilisateurs et du RGPD.
Tu pourrais monter la tienne ou donner un coup de main à une instance existante?
J’ai la mienne depuis… bien avant que Mastodon existe ? Il se trouve que Mastodon a démoli l’intégralité du réseau où j’étais bien avant que le Mammouth dégomme tout sur son passage et atomise l’existant avec du Embrace Extend Extinguish.
Quand aux coups de main, j’ai tenté à plusieurs reprises de faire de l’accompagnement juridique et cie pour mettre ça dans le bon chemin du RGPD et du DSA. Je me suis fait rembarrer à chaque fois. Et bien vénère. Parce qu’ils en ont en pratique réellement strictement rien à foutre.
Du coup s’il faut foutre des plaintes aussi sur ces plateformes et témoigner contre elles, je le ferais. Ce n’est pas de la revanche personnelle ou autre, juste le strict respect des mêmes lois qu’on demande aux GAFAM de respecter.
C’est pas parce que t’es une asso ou que tu fais du libre que tu bénéficieras plus de bienveillance là-dessus.
D’ailleurs soit dit en passant, c’est là qu’on voit que la Commission EU a pensé à prendre en compte la décentralisation/fédération/libre et cie. C’est a priori volontaire d’avoir parlé de « personnes occupées » et non de « personnes employées ». Tes modos bénévoles ou tes contributeurs au code comptent dedans…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -3 (+1/-5).
Et encore une fois tu ne comprends pas les implications du RGPD et que l’application n’est PAS la seule chose à vérifier pour la conformité d’un projet.
Typiquement je ne PEUX pas auditer ton code sans accepter les CGU de github et violer Schrems II et TU es responsable en tant que responsable de traitement, github étant ici co-responsable de traitement.
Le manque de sécurité de l’application elle-même, avec des libs dépréciées depuis 3 ans, est aussi un manque de l’obligation de sécurité du RGPD et de la doctrine de suivi de version donné par la CNIL en décembre dernier. Et c’est de TA faute.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
Et je peux continuer encore comme ça longtemps hein…
Pourquoi est-que la v1.42.2 de décembre dernier embarque du react 17.0.2 de 3 ans d’âge (22/03/2021) quand les dernières versions sont en 18.x ? Du use-debounce 3.4.3 livré en 2020 quand il y a dorénavant du 10.0.0 (🤯) ? Du ws 7.5.9 de 2 ans quand on est en 8.16.0 dorénavant ? Bordel quoi…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
C’est faux. Delta-chat, en tant que fournisseur d’un logiciel en Europe, ne peut pas se défausser sur « il avait qu’à faire attention, l’utilisateur ».
Le simple fait que le code source ne soit dispo que sur github est une violation de Schrems II. Le fait qu’on télécharge des .deb chez vous est un traitement de données dont vous êtes responsable de traitement et avez au moins en Europe l’obligation de collecte des données de connexion.
Le fait de le déployer sur le play store fait que Google est un co-responsable de traitement dont vous endossez aussi la responsabilité des CGU tacitement (non) acceptées par vos utilisateurs, et comme déjà sanctionné 5-6× par des APD.
Vous fournissez un .deb sans aucune signature crypto. Pour un soft prétendant faire de la sécurité.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
J’ai aussi le droit de défoncer devant une APD exactement de la même manière un logiciel de mail qui a une privacy policy aussi pétée et qui n’incite pas DU TOUT à aller plus loin. Si ta landing page est dans cet état, je ne veux même pas aller voir la gueule de ton service. Quand tu me mets « AES128 v3 » dans ta privacy policy avec un site web qui supporte encore du non PFS avec du chiffrement RSA 2048 bits, laisse-moi douter TRÈS FORTEMENT de ta capacité à faire de la crypto proprement et encore pire en end-to-end.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+1/-2).
Et ça a été exactement pareil par exemple sur la fédération/intéropérabilité…
T’as LQDN qui fait des pieds et des mains pendant 10 ans sur ce sujet, qui fait une pétition et un appel national, et quand t’as Meta qui se pointe « bonjour, on peut fédérer du coup ? », y’a la moitié du bordel qui l’insta-strike !
Ça montre de plus en plus que les arguments avancés par tout ce milieu sont juste des PRÉTEXTES pour distordre la concurrence et que quand il faut appliquer tout ça à soi-même, y’a aquaponey.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2 (+3/-2).
Et donc parce que je prouve que delta-chat se torche avec le RGPD, faudrait dire « non mais les GAFAM font pareil donc on continue » ?
On me dit que c’est propre, j’ouvre juste le truc et je fais une syncope. On m’explique ?
Même TLS qui est un truc qui a subit un gros bordel en 2014-2016 est pas à jour quoi… 😑😡
Encore une nième fois, ça ne fait que confirmer ce que je dis dans mon blog. « Être libre » est dorénavant une excuse pour ne rien faire, se foutre de la gueule du monde et espérer un totem d’immunité et de sympathie pour ne pas avoir à respecter la loi…
Je ne suis pas en train de te parler d’une loi random fait par des machins yolo remplis de lobbying, j’suis en train de te parler d’un réglement qui est une des rares où la Commission a tenu tête à des lobbyings pendant 6 ans, n’a reculé sur rien, pour défendre des sujets qu’on a nous-même demandé et qui ont été poussé par la majorité sinon la totalité des associations libristes et assimilées depuis 20 ans, et qu’aujourd’hui qu’on l’a enfin en application « non mais j’ai piscine, totem d’immunité GPL-MIT-BSD ».
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1 (+1/-1).
Et j’espère bien pouvoir en parler ici un jour, pour le moment légalement parlant c’est compliqué, mais j’ai quelques autres exemples de projets libres qui ont assez mal tournés justement en se justifiant qu’ils l’étaient, de libre…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+1/-2).
Ce n’est pas un seul exemple, vu que j’ai aussi parlé du HDH dans mon article et du play integrity framework.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+2/-4).
https://cryptcheck.fr/https/delta.chat
J’ajoute au pif non respect des exigences minimales de sécurité de l’ANSSI, utilisation de suite non PFS dépréciées depuis 10 ans. Pas de supporte de HSTS. Clef RSA de 2048 bits au lieu des 3072 minimums (surtout si pas de PFS).
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+2/-4).
C’est plutôt GreenHost pour le coup. Je ne peux pas vérifié, mais je suppose que le DPA que vous avez signé avec votre hébergeur est comme 99.999% des cas illicites (la plupart des standards dispo sur le net par les providers le sont). Et que vous ne conduisez aucun des audits annuels/bi-annuels nécessaires à la conformité RGPD (sanction de EDF par la CNIL de mémoire).
Clause illicite, les « other » ou « par exemple » sont illégaux et chaque finalité doit être explicitement détaillé.
Faux, au moins 2 sont des obligations légales (sécurité des SI et journalisation des accès) et non des intérêts légitimes.
Idem, difficile à juger de loin, mais avez-vous bien passer les triples tests (nécessité, proportionnalité, balance des droits) de justification de l’intérêt légitime pour éviter une requalification en consentement par une APD ?
Généralement clause considérée comme problématique par EDPB, pas assez spécifique ni éclairée
Délai trop long, la suppression est supposée être opérée avant 2 ans, et à la date anniversaire de suppression, pas à la fin de l’année calendaire (sinon celles du 1er janvier sont conservés 6 ans en pratique)
Interdit sous le régime du « nécessaire au contrat » invoqué au 6(1)b, et la jurisprudence EDPB/CJUE indique plutôt une obligation de consentement, l’intérêt légitime étant trop intrusif sur la balance des droits (3ème test de l’IL qui ne passe pas)
User behavior = données sensibles article 9 donc intérêt légitime difficile à passer.
« analyze technical problem or possible abuse » déclarés trop vague par EDPB dans ses lignes directrices.
IL fragile relativement souvent requalifié en consentement par les APD
https://www.google.com/{persistent-cookie:SOCS}
https://google.com/{persistent-cookie:__Secure-3PSIDCC}
https://google.com/{persistent-cookie:__Secure-1PSIDCC}
Transfert internationaux vers Google, violation Schrems II
je n’arrive pas à comprendre d’où ça sort exactement, mais ça sort, µMatrix les chope à chaque refresh (à investiguer, clairement ça m’intrigue…)
Violation ePrivacy + violation encadrement de la sous-traitance article 28
Tout le § est globalement faux, laissant sous-entendre que delta.chat n’est responsable de rien, alors qu’il reste 100% responsable de traitement de l’intégralité des transferts de données générés par ses recommandations ou usages.
Publicité ciblée interdite en Europe sur le fondement de l’IL explicitement depuis au moins juin 2023 et la décision urgente de EDPB envers Meta.
Je développe pas hein… (Schrems II, tout ça…)
Un traitement ne doit être fondé que sur une et une seule base légale. Ici c’est donc une clause illicite.
Illégal. Le mécanisme du One-Stop-Shop impose que seule l’APD de la personne concernée soit saisi, charge à elle de transmettre à l’APD du responsable de traitement derrière
Non sens technique
A priori pas d’update de la privacy policy depuis 2 ans, dont des changements majeures de réglementation Schrems II & cie sur le sujet entre temps.
Une PP pas mise à jour au moins chaque année, c’est louche déjà
Pas mis à jour depuis 2013, donc même pas pour être conforme au RGPD de 2016.
Voilà déjà pour la privacy policy, j’ai même pas encore attaqué le service… 😑
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+1/-2).
Je viens de retrouver un lien intéressant. Voilà ce qui a été rédigé par des assos qu’on qualifiera assez difficilement d’être des dangereux extrémistes néo-nazis qui veulent défendre des trucs illégitimes : https://santaclaraprinciples.org/#3-appeal
Donc voilà, même des entités aussi importantes que l’ACLU et l’EFF, ou encore le centre pour la démocratie et la technologie ou la coalition national contre la censure, ont rédigé des principes de modérations en 2018 bien avant le DSA/DMA et pourtant qui en sont 100% compatibles.
Et actent donc que la modération de Mastodon/du Fediverse c’est juste du gros n’importe quoi et que ça ne respecte pas vraiment les principes démocratiques de base.
Devine qui a signé ces Santa Clara Principles ? Apple, Google, Twitter, Facebook…
https://www.eff.org/wp/who-has-your-back-2019
Oui ok, du coup c’est pas forcément bien appliqué. Mais c’est quoi le mieux du coup ?
Des entités comme Mastodon qui disent « yolo les principes rédigés par les entités les plus respectables en la matière de défense des libertés fondamentales et de la démocratie, on s’en cogne c’est pour les faibles/les méchants et ils ont tord » ou ceux qui ont au moins fait l’effort de signer la charte et donc a priori tentent d’en respecter les principes (même si c’est manifestement perfectible) ?
C’est quoi du coup qui est illégitime ? Le DSA/DMA qui ne fait que reprendre des principes initiés par l’EFF et l’ACLU ? Ou les gus de Mastodon qui chient dessus par pilées de 12 ?
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1 (+2/-2). Dernière modification le 20 février 2024 à 18:09.
Non, mais que les avantages supposés du libre n’en sont plus vraiment en 2024 voire sont même des problèmes EN PLUS à gérer…
Je ne dis pas que le libre ne peut pas faire correctement les choses, je dis juste qu’aujourd’hui l’argument du libre est beaucoup trop utilisé pour se justifier de ne pas respecter la loi…
Et que par exemple si techniquement la fédération est plus intéressante, couplée à la législation en vigueur (et pour de bonnes raisons), elle n’est pas forcément la plus souhaitable une fois qu’on fait le compromis avec le côté juridique, sauf à aller dans des modèles ultra-décentralisés et de la fédération d’instances de 1-2 personnes maximum, ce qui apporte alors tout un tas d’autres problèmes humains (capacité à s’auto-héberger & cie) aussi à prendre en compte.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+2/-3).
Et les propos que tu tiens ne font que confirmer ce que je dis dans mon article.
« Le libre » devient un argument en soit, sans réflexion des avantages ou inconvénients apportés, et le fait qu’on est gêné par la loi et que parce qu’on est « libre » ou « fédéré » on devrait ne pas avoir à la respecter. Sans jamais d’abord poser la question de savoir si ce que « le libre » ou « la fédération » cherche à faire est réellement légitime/morale/légal/whatever.
« Je fais du libre donc je ne peux pas être du mauvais côté ». Et derrière j’entend déjà « oui bon le RGPD est une merde du coup et faut le changer » ou autre « l’article 8 de la CEDH c’est pas pour nous ». Comme les GAFAM quoi… L’aspect financier en moins…
Je pourrais aussi citer Shinigami Eyes qui s’est juste pris un taquet monstrueux de la part de la plus grande autorité de protection des données d’Europe, saisie par l’APD qui fait le mieux son taff en Europe (la Norvège), mais que au motif que c’était pour taper sur les transphobes, fallait surtout plus être trop trop regardant sur le respect de la vie privée et qu’on était forcément du côté du bien.
Ben non en fait, Bob… T’es juste à foutre dans le même sac que les autres hein ! Et c’est pas parce que tu fais du libre ou que tu penses que tu fais le bien que c’est l’absolution totem d’immunité !
Et que oui, des p**** de gens continuent d’utiliser cette extension libre (licence MIT) qui s’est juste fait démonter par EDPB pour de bonnes raisons légitimes et morales et est littéralement interdite en Norvège (à défaut qu’EDPB ait pu l’interdire dans toute l’Europe) !!!! Et ça ne choque… personne… 😑
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+2/-3).
Non justement. Le RGPD dit spécifiquement l’inverse. Ta transmission en tant que responsable de traitement à un autre responsable de traitement n’éteint pas ta responsabilité. LES DEUX en deviennent responsables, et en particulier le 1er est supposé continue à propager les demandes d’accès/rectification/effacement et a l’obligation de prouver qu’il fait le taff et propage bien toutes les demandes.
Cas très différent de la fédération. Le mail est décentralisé, mais pas fédéré.
Le destinataire final conserve aussi des intérêts puisqu’il s’agit bien d’une correspondance dont il est destinataire explicite.
Tu te trompes et inverse juste le problème. Et tient exactement les mêmes propos que les GAFAM (juste que eux disent « le RGPD n’est tout simplement pas business ready »).
La fédération n’est effectivement pas RGPD ready.
Et ce n’est pas forcément le RGPD qu’il faut revoir. Le DSA a même été spécifiquement conçu pour justement ne pas permettre l’évitement des réglementations via des prétextes de fédération.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 0 (+1/-2).
Déjà au DSA qui impose une procédure d’appel neutre et impartial jusqu’à 6 mois après le blocage. Ça implique donc ne de certainement pas supprimer les données dès le ban, comme l’autorise (et en abuse) actuellement certains admins de Mastodon et parce que Mastodon a implémenté ça comme ça (avec une check-box DELETE juste à côté du bouton BAN, qui ne devrait donc légalement pas exister, ou exclusivement pour des admins/super-modo et pour des usages très spécifiques, certainement pas accessible à un modo standard).
Et il faut que je retrouve la jurisprudence qui avait acté que le bannissement d’un service ne pouvait faire s’éteindre les droits de la personne concernée (donc 15-22 continuent à être 100% applicable jusqu’à la fin même banni)
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
Si je prend encore une fois l’exemple de Mastodon parce que c’est le plus facile à expliquer, dire « ta modération ne respecte pas le RGPD » impose de forker Mastodon et de :
tracer l’intégralité des actions administrateurs, ce que la plupart juste refusent de mettre en œuvre au motif que les admins ne doivent avoir de compte à rendre à personne, décision limite fondatrice du projet initial
mettre en place une politique d’appel, complexe à mettre en œuvre dans un environnement fédéré et incompatible avec la vision actuelle d’Eugen en particulier et des admins du Fediverse en général sur le sujet, en lien avec le point 1 d’indépendance des modérateurs
virer les notes de profil qui ont été une grande demande de la part des utilisateurs, en tout cas pas sans mise-en-œuvre des article 14 et 21 qui ne sont actuellement pas possible par le protocole ActivityPub
interdire les bannissements express et la destruction du contenu, en permettant aux personnes bloquées la continuité de l’exercice de leur droit, ce qui implique par exemple la continuité de la portabilité (contenu compris, donc)
modifier activitypub pour permettre une réelle mise en œuvre des article 14, 15, 16, 17, 18, 20 et 23, qui actuellement sont (mal) traités exclusivement par l’instance primaire émettant le contenu et aucunement propagés ni propageables aux instances secondaires le recevant
le tout en assurant la stricte compatibilité avec un soft illicite qui va rester probablement l’instance mainstream par excellence et que vu la population et la demande actuelle sur le fédiverse, ton fork va être utilisé par toi-même exclusivement
Non seulement ça ne ressemblerait plus du tout à Mastodon, mais ton propre réseau n’a plus ou moins aucune chance d’avoir le moindre visiteur.
Et c’est aussi pour ça que la justice du droit de la concurrence commence à regarder du côté du RGPD, parce que la non conformité est une atteinte et une distorsion de la concurrence : un soft RGPD-conforme est non-concurrentiel par rapport à un soft violant le RGPD pouvant proposer de facto plus de fonctionnalités mais illicites ou d’attrait pour les utilisateurs.
https://consultation.avocat.fr/blog/maxime-hardouin/article-45666-un-manquement-au-rgpd-peut-constituer-un-acte-de-concurrence-deloyale.html
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -2 (+0/-3). Dernière modification le 20 février 2024 à 16:40.
Encore une fois non. Parce qu’actuellement je me fritte BEAUCOUP plus avec le libre qui brandit justement son côté libre pour ne RIEN faire niveau conformité (« parce que je ne peux pas être méchant, je suis libre », « oui mais le RGPD c’est pour les GAFAM, moi si je l’applique je meurt et comme je suis libre, ça serait pas bien tu vois » qu’avec des outils proprios.
Sur le papier le libre est supposé un argument EN PLUS mais en pratique il est un argument INDUIT. Les forks ne fonctionnent pas en pratique, les softs libres mais pourris pullulent, même les trucs comme Mozilla sont bardés de tracker.
Comme dit, j’ai pas un soft libre que je ne devrais pas éclater à la bombe atomique devant une APD avec une plainte de 80 pages, et me dire « ben t’as qu’à forker » est un non sens. Non seulement j’ai pas le temps pour ça, mais en plus ton produit est tellement construit sur ces non conformités que le taff à abattre pour le mettre en conformité est plus important que de tout refaire from scratch à supposer même que ce que tu cherches à faire soit en réalité légalement possible…
Encore une fois le terme « libre » n’apporte juste plus aucune plus-value à l’équation.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -3 (+0/-4).
Ah non j’ai dit « vous faites un truc pas légal et voilà comment vous pourriez faire pour être légal » et on m’a rembarré en me disant « nan mais si on fait ça on pourra jamais concurrencer les GAFAM » (à peu près).
Pour sortir du seul cas de Mastodon, je pourrais prendre plus ou moins n’importe quel projet libre et on serait plus ou moins dans la même situation.
Des devs qui n’ont jamais lu la moindre ligne du RGPD et qui font les trucs naïvement totalement illégalement. Et ça sans compter les projets hostés exclusivement sous Github (violation Schrems II), utilisant des media de support US (discord), déployant sur des infras US (Cloudflare, AWS, gitlab.io…), avec une privacy policy inexistante ou illicite, avec des features illicites (même Mozilla a foutu non seulement du tracking d’audience illice mais en plus passant par Google…), etc.
Et c’est plus ou moins le sens de mon propos d’ailleurs : au motif qu’on a foutu « GPL » dans une licence, tout le monde se croit autorisé à faire n’importe quoi et à ne jamais réfléchir au moins sur les obligations légales…
Et donc que « libre » n’est pas un argument en soi. Ça n’apporte STRICTEMENT RIEN à une décision concernant un choix de soft en 2024.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 1 (+2/-2).
GNU/Social n’en est pas au même point. L’arrivée de Mastodon a complètement stérilisé le développement de ce projet… La communauté a suivi côté Mastodon parce que c’était le plus gros réseau. Ça a explosé le projet et tu n’en trouveras presque plus une miette.
On parle aujourd’hui d’un relicat d’une 20aine d’instances et de moins de 1000 personnes.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -5 (+0/-6).
Non seulement nul n’est sensé ignorer la loi, mais j’ai aussi beaucoup de mal avec les gens qui commencent en mode « yolo j’ai 23 piges balek me renseigner sur mes obligations légales, moi je vais faire le bien donc je peux pas faire de la merde ». Google/Facebook a pas commencé mieux à l’origine 🤣.
Ça n’est en aucune manière ne serait-ce qu’un début d’excuse pour Eugen. Surtout quand tu développes ça justement pour casser du GAFAM et après tout le merdier qu’on connaît sur les données persos.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
Juste GNU/Social ? 🤔
Mastodon s’est pointé en 2017 en ne supportant que OStatus, en ne respectant rien de ce qui existait, a implémenté des features non compatibles aux forceps (message « privé » Mastodon qui du coup était public côté GNU/Social…), puis a forcé ActivityPub, avant de virer le support de OStatus et de massacrer GNU/Social qui ne s’en est jamais remis.
Google n’aurait pas fait mieux…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -1 (+1/-3).
Le RGPD, c’est approbation du texte par le Parlement UE en décembre 2015, entrée en vigueur en mai 2016, avec mise en application des sanctions en 2018, le tout alors qu’il existait du coup déjà la directive 95 depuis 1995 qui était plus ou moins équivalente…
Quand t’as un projet qui démarre, qui veut faire la nique aux GAFAM, la 1ère chose à peut-être faire… c’est de ne juste pas inclure DU TOUT de violation dès le départ ?
On ne parle ici pas de se mettre en conformité avec un soft existant de 20 ans d’âge et une législation qui a évolué depuis que tu l’as lancé. Mais d’un nouveau produit qui se lance sur le marché dont le 1er commit date du 20 février 2016 donc APRÈS l’approbation du texte et 4 mois avant l’entrée en vigueur, et avec encore 2 ans pour virer tes non conformités avant les sanctions…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à -4 (+1/-6).
Non. C’est juste que c’est celle qui te convient TOI le mieux à ta définition de ce qu’est le respect des utilisateurs mais ce n’est PAS un système qui respecte ses utilisateurs. Certainement pas.
J’ai la mienne depuis… bien avant que Mastodon existe ? Il se trouve que Mastodon a démoli l’intégralité du réseau où j’étais bien avant que le Mammouth dégomme tout sur son passage et atomise l’existant avec du Embrace Extend Extinguish.
Quand aux coups de main, j’ai tenté à plusieurs reprises de faire de l’accompagnement juridique et cie pour mettre ça dans le bon chemin du RGPD et du DSA. Je me suis fait rembarrer à chaque fois. Et bien vénère. Parce qu’ils en ont en pratique réellement strictement rien à foutre.
Du coup s’il faut foutre des plaintes aussi sur ces plateformes et témoigner contre elles, je le ferais. Ce n’est pas de la revanche personnelle ou autre, juste le strict respect des mêmes lois qu’on demande aux GAFAM de respecter.
C’est pas parce que t’es une asso ou que tu fais du libre que tu bénéficieras plus de bienveillance là-dessus.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 2 (+1/-0).
D’ailleurs soit dit en passant, c’est là qu’on voit que la Commission EU a pensé à prendre en compte la décentralisation/fédération/libre et cie. C’est a priori volontaire d’avoir parlé de « personnes occupées » et non de « personnes employées ». Tes modos bénévoles ou tes contributeurs au code comptent dedans…
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Aeris (site web personnel) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 3 (+2/-0).
Oui, en théorie tu peux les poursuivre en justice. (C’est long, chiant et pénible et c’est pour ça que c’est rare…)