Aeris a écrit 435 commentaires

C'est comme pour les emails, je décide unilatéralement de bloquer des serveurs, des IP, des ranges, des domaines. C'est mon choix.

Alors non justement, c’est pas ton choix : https://www.freenews.fr/freenews-edition-nationale-299/services-web-180/anti-spam-justice-confirme-condamnation-de-free-blocage-excessif
Actuellement peu de procédures sont lancés là-dessus, mais non, les antispams, en tout cas ceux rejettant le trafic, sont juste en théorie interdits, chaque utilisateur est supposé avoir le droit de décider de lui-même du contenu qui atteint ou non, sa boîte de réception.

Alors ces 2 concepts, s’il y a bien un domaine où tu ne veux pas les mettre en œuvre, c’est bien celui-ci. Vraimente.

Les principes fondamentaux du RGPD et de ePrivacy découlent directement de l’article 8 de la Convention Européenne des Droits de l’Homme et sont justement le retour à la morale dans le droit. Beaucoup de domaines qui se pensaient justement moraux se sont pris ce truc dans les dents derrière et que ben non, pas de bol, t’avais oublié tout un pan de la morale… Le libre est un de ces domaines-là.

Idem côté lettre et esprit de la loi. Pas du tout le bon plan d’aller jouer avec ça du côté du RGPD, la CJUE est encore plus aggressive que ça sur sa lecture de l’esprit de la loi et rend des décisions parfois même très très surprenante. Cf sa jurisprudence sur 2(2)c ou encore la dépublication des registres de transparence.

Alors elle est aussi un problème légal pour le coup.
Mastodon avait déjà un problème de légalité avec à cause du comportement d’Eugen (qui fait que de facto le DSA s’appliquerait à lui en tant que gate-keeper, cf article de Contexte), mais que ça va être encore pire à partir du 1er mars où il entre aussi en vigueur pour tout le monde et plus exclusivement pour les GK.
Le simple fait qu’il n’existe aucune procédure propre, correcte et neutre d’appel en cas de blocage fait que Mastodon va devenir encore plus illicite à partir du 1er mars.

Je répète : sinon les instances auto-hébergées (et encore, en théorie arrêt de la CJUE sur les réseaux sociaux, l’exemption du RGPD au titre du 2(2)c pour usage strictement personnel et domestique n’est pas possible ici), tout le reste est ILLÉGAL en Europe.
Chapril compris !

Et lire aussi ici ce que j’ai du faire pour une de mes assos pour (tenter de) me mettre en conformité : https://wiki.asso-purr.eu.org/registre#firefish

Tweet de Alexandre Archambault, avocat numérique français :

Des nouvelles de la modération par les geeks (Usenet hier, Discord aujourd'hui). Les mecs partent en vrille à la moindre contrariété froissant leur petit égo.
Et le jour où la justice s'intéressera aux pratiques des shérifs numériques sur Mastodon, ça va être un festival.

Et une des réponses :

L'existence même de ces shérifs sur Mastodon (à l'insu des utilisateurs un serveur plus loin) est une raison suffisante à ne pas y aller.
Et qui veut aller dans la brousse de Mastodon, Bluesky ou Threads lorsque tout se passe sur X?

Encore une fois, c’est toi qui dit qu’il faudrait tout jeter.
Moi j’ai juste dit que sur des gros projets d’envergure, on n’avait plus que le choix entre des trucs pas conformes US et des trucs encore plus pas conformes EU, avec en plus en Europe souvent un gros retard au niveau fonctionnalités.
Et donc que rationnellement il faut faire dorénavant un choix, et que juste dire « ah ben oui mais c’est libre/souverain » est juste un mauvais argument pour faire ce choix. Être libre ou souverain ne veut plus RIEN dire (surtout en 2024 hein…) et n’est PAS un argument sinon un totem d’immunité sans aucun intérêt ni technique, ni moral, ni éthique, ni conformité, ni rien.

Et quand à dire « oui mais c’est l’instance qui doit respecter », déjà c’est faux, Mastodon agit en co-responsabilité de traitement (ils définissent et les moyens et des finalités sans demander l’avis préalables de toutes les instances, et en particulier ne permettent pas à une instance de ne pas activer les nouvelles fonctionnalités sans perdre les mises à jour de sécurité) et donc pas en sous-traitant et conserve donc la responsabilité mais en plus même si c’était vrai, ça sert à quoi de développer un soft européen si PERSONNE n’a légalement le droit de s’en servir sans devoir tout recoder ?

C’est toi qui est de mauvaise foi ici.
Je te cite une position WTF de Eugen, qui n’a pas changé depuis. Je t’ai cité tout un article de Contexte qui étudie le problème. Je t’ai cité un avocat du numérique parmi le plus réputé en France sur ce sujet qui te dit qu’il y en a un.
Je peux continuer encore hein.

Mastodon ne réfléchit pas et utilise du local storage en violation de ePrivacy : https://github.com/mastodon/mastodon/issues/28477
Mastodon ne réfléchit pas et inclut hCaptcha malgré la décision de la CNIL et d’autres APD sur le sujet : https://github.com/mastodon/mastodon/issues/25025
Mastodon refuse toujours de virer hCaptcha au motif de « on n’a pas le temps, on doit shiper » : https://github.com/mastodon/mastodon/issues/25023
Mastodon implémente n’importe comment le droit à la portabilité et bloque le droit à l’effacement : https://github.com/mastodon/mastodon/issues/22042
Mastodon n’est pas complet sur l’article 22 et l’article 15 : https://github.com/mastodon/mastodon/issues/14719
Mastodon viole les 22 arrêts de la CJUE sur la durée de rétention des durées de connexion : https://github.com/mastodon/mastodon/pull/22393
Mastodon viole le RGPD via l’intégration des embeded youtube : https://github.com/mastodon/mastodon/issues/29164
Mastodon viole le RGPD avec des outils pouvant être abusifs et sans protection, comme pourtant imposés par le RGPD : https://github.com/mastodon/mastodon/issues/14718
Mastodon implémente les notes sur un profil en violation du RGPD et malgré les alertes : https://github.com/mastodon/mastodon/issues/11797
Mastodon implémente le blocage des comptes d’une manière incompatible avec le RGPD : https://github.com/mastodon/mastodon/issues/8760

Je peux continuer comme ça longtemps, il y en a littéralement des tonnes…

Bon, sinon, Framasoft, zéro amendes pour violation de RGPD, et pourtant leur forge logicielle a même été utilisé pour notre gouvernement pour les codes de Parcours Sup.

Ne pas avoir d’amende ne veut pas dire que tu es conforme avec la loi
Sais-tu que la CNIL (qui est une APD déficiente d’ailleurs, au même titre que la DPC) recommande actuellement un logiciel (libre) pour l’éducation nationale qui représente actuellement un contrôle là-bas pour la violation de la totalité du RGPD de l’article 5 à l’article 50 et un joli dossier de plus d’une centaine de pages de violation RGPD diverses et variés ? Et même a priori qu’elle ne veut pas le sanctionner et abuse de délais de réponse effroyables et de pirouettes juridiques pour éviter d’avoir à le faire ? Certainement pour cause d’ordre politique d’ailleurs… T’aurais été chez Pronote t’aurais eu moins de problème…

Il y a des centaines d'instances Mastodon, tu sais trouver des exemples d'instances qui se foutent du RGPD, et tu en conclus que c'est la techno et le modèle qui sont pétés ?

Toute sauf les self-hosted mono utilisateur (exemption de RGPD article 2(2)c, et encore c’est compliqué). Actuellement des fonctionnalités sont en dur dans le code en violation du RGPD (les notes libres sur un compte utilisateur violent l’article 13 du RGPD et les lignes directrices de la CNIL sur les champs libres). Le manque de certaines fonctions aussi (auditabilité des accès et action administrateur qui violent les principes d’accountability et sont une obligation légale). À ma connaissance aucune instance n’a un DPA digne de ce nom et encore moins légal avec leur sous-traitants, tout ceux dispos en ligne étant illicites puisqu’il manque des clauses obligatoires (et que la CNIL en a déjà condamné 2 ou 3 des comme ça). La quasi totalité des instances n’ont aucune privacy policy ou juste pas licites. Aucune instance ne sait répondre à une demande d’accès article 15, les registres de traitement sont inexistants, le droit à la portabilité est incomplet…
Les instances principales ont basculés sur Cloudflare, en violation de Schrems II. D’autres ont activé reCaptcha, aussi en violation de Schrems II et des sanctions CNIL sur le sujet.
Eugen et sa clique refusent voire réfutent l’applicabilité du DSA (https://www.contexte.com/actualite/tech/plateformes-le-mastodon-dans-la-piece-2_160879.html)
Les propos même de Eugen font extrêmement peur. Le mec est littéralement le développeur principal d’un réseau social mais vient annoncer la bouche en cœur qu’il ne traite aucune DCP… https://github.com/mastodon/mastodon/issues/7280#issuecomment-385376837
Ça devrait juste allumer des warnings de partout que ce mec ne sait juste absolument pas de quoi il parle…

Et on ne parle pas d’un choix à faire entre 2 réseaux légaux avec leurs avantages et leurs défauts, mais bien d’un non choix entre 2 réseaux illicites qui finiront je l’espère, DANS LES DEUX CAS par avoir des comptes à rendre à la justice.

Mon sujet est justement qu’on ne devrait prendre ni l’un ni l’autre.
Et construire un truc autre. Certainement pas se ruer sur Mastodon au motif que c’est libre, décentralisé ou souverain.

Et quand on parle par exemple de Mastodon : https://twitter.com/AlexArchambault/status/1759533906783535532

Je n’ai pas dis qu’ils rempliraient à la perfection les cases de sécurité.

Je dis que de tous les systèmes que j’ai pu auditer, de près ou de loin, en interne comme en externe, ceux qui ont actuellement sur les tables d’autopsie des autorités de protection des données les dossiers les plus petits de ma part sont les GAFAM.
Et que la plupart des problèmes auxquels ils font face sont généré in fine par leurs propres clients et non par leur business direct.
À l’inverse les dossiers les plus importants que j’ai eu à faire sont ceux concernant des entreprises FR ou du logiciel libre. Je galère plus avec des admins ou développeurs d’instances Mastodon pour leur faire comprendre le RGPD qu’à des gus de chez Google ou de l’IAB, ils sont moins de mauvaise foi.

Qui a été capable de répondre correctement et dans les temps à une demande d’accès RGPD ? Les GAFAM.
Qui a été capables de propager des demandes d’opposition correctement et efficacement ? Les GAFAM.
Qui est capable de détecter le mésusage des interfaces d’administration grâce à du SIEM et procèdent au licenciement de plusieurs milliers d’employés indélicats chaque année ? Les GAFAM.
Qui ont des mécanismes capables de gérer les droits d’effacement et d’opposition jusque dans les systèmes de sauvegarde avec la mise en place de clefs de chiffrement individualisées dont il suffit de détruire la clef pour détruire les backups ? Les GAFAM.
Oui leurs pubs est pas cool mais qui a été capables de me filer tous les affichages de mon profil et l’ensemble des annonceurs concernées ? Les GAFAM. En face en France les boîtes se font sanctionner par la CNIL pour avoir refuser de communiquer les annonceurs…

C’est pas parfait, la preuve, ils se prennent des amendes. Mais quand tu vois toutes les amendes qui tombent, surtout dans les pays avec des APD fonctionnelles, ça pique fort sur les non GAFAM. Plus fort.
L’Espagne qui a une des APD les plus efficaces, Google c’est 1 sanction, Facebook 0. À l’inverse Vodafone c’est 75 condamnations, les banques 11, les assos on en est déjà à 25 sanctions, et même les particuliers on en est à 154. Si on les lâchait en France, ça serait des amendes pour tout le monde ou presque.

Et rappelons aussi un truc que les gens oublient vachement beaucoup : les GAFAM ne se rémunèrent pas par la pub. Pas dans le sens que les gens le pense. Les GAFAM se rémunèrent sur le pourcentage qu’ils touchent de leurs clients qui vendent d’un côté des placements produits et de l’autre des emplacements publicitaires.
Demande au marketing de chez toi ce que ça fait si Facebook ne leur envoie plus leur KPI de placement produit que eux ont demandé de cibler, tu vas voir, ils vont pleurer.

Le vrai problème des GAFAM est surtout leur taille, qui induit effectivement des effets de masses à la con.

Transparence des conditions générales d’utilisation des réseaux

Les CGU de la plupart des instances sont illicites.
Donc transparence c’est cool, mais si c’est parce que t’as oublié les ¾ des mentions obligatoires…

Droit à la portabilité des données pour les internautes

Qui n’est pas complète et donc illicite.
Actuellement on perd le contenu.
Même Twitter est meilleur. Mon ancien compte est dispo ici : https://twitter.imirhil.fr/.
Mon ancienne instance Mastodon par contre…

Conditions adaptées pour les utilisateurs de moins de 15 ans
Obligation d’autorisation parentale pour l’inscription des mineur

Existe chez la plupart des GAFAM.

Et tu as oublié l’article 15, respecté par les GAFAM et pas par Mastodon, l’article 13 dont Mastodon refuse la mise en œuvre (et pas les GAFAM), etc.

Oh c’est toujours vivant. Exemple encore jeudi dernier : https://xdaforums.com/t/kernel-t2s-exynos-5-4-242-expara-kernel-kernelsu.4656566/

J'ai failli répondre aussi sur les Chatons et Framasoft.
La preuve qu'une poignée de bénévoles, et quelques salariés associatifs peuvent fournir
des services pertinents et efficaces.

Mais illégaux. Comme déjà signalé par NOYB et j’en fais aussi le constat, la plupart des systèmes y compris libres violent la majorité du temps la plupart des obligations légales de sécurité.
Typiquement Mastodon viole frontalement le RGPD par pilées de 12, ça leur a déjà été remonté, et ils en ont rien à foutre.

Je suppose qu’on lâcherait une APD fonctionnelle sur les Chatons, soit les opérateurs soit les utilisateurs se prendraient des prunes dans les mêmes volumes.
Aller, pour rigoler, combien de Chatons ont un SIEM, un IAM ou juste simplement des interfaces d’administration dédiées au niveau matériel et non exposées au net ?

C’est pas tant de dire que tout est foutu mais que la décision du HDH n’est pas forcément si débile que ça. Oui on peut encore réagir, mais à date, ça va être difficile. Et si tu ne veux pas accumuler du retard côté santé, faut AUSSI avancé sur le HDH.

Déjà que leur juridiction a vocation supra-nationale

Question simple : as-tu déjà vu réellement un débordement de FISA ou du Cloud Act ? La réponse est assez simple a priori : ça n’existe juste pas. Manhack avait débunké ça dans son article cité dans le mien, et les gens se font tout un patakès d’un truc qui en vrai sont juste des accès juridiques rapides comme il en existe des tonnes un peu partout dans le monde et en Europe. Ce n’est pas une porte ouverte à toutes les fenêtres.
Cet argument est juste un argument pour aller taper gratuitement sur les US sans avoir à se justifier plus que ça (et je reconnais moi-même l’utiliser en ce sens), mais sans action AUSSI côté EU, Schrems II est un non argument.
Qu’est-ce qu’un gouvernement étranger peut faire de mes données de santé ? Globalement rien.J’ai bien plus peur d’une action de mon gouvernement qui peut me foutre en zonzon quand il a envie sans avoir à se justifier que d’un gouvernement étranger qui voudrait en faire de même.

Je veux dire, quitte à choisir entre la peste et le scorbut, prends le scorbut
et achète des fruits, au final tu t'en sortiras mieux, et pour moins cher !
Je pige toujours pas l'argument moi.

Tu supposes qu’on a des fruits. On n’en a pas.

de l'autre on pourrait faire des appels à projet et des subventions, qui pour
une fois pourraient ne pas être perdus, et reviendraient moins cher. Parce que
bon, ça coûte une blinde de se faire plumer.

Ça aurait été vrai si on avait agit au départ. On a dorénavant une 15aine d’années sinon plus de retard sur les systèmes US et rattraper le retard coûtera HORRIBLEMENT plus cher que de continuer à engraisser l’Oncle Sam.

Oui, on peut encore agir, mais ça va faire VRAIMENT SA MÈRE mal.
On parle de rattraper au moins 15 à 20 ans de subventions à 2 milliards d’euro sur un seul projet pour quatre hébergeurs. Soit au bas mot une enveloppe de quelques centaines sinon milliers de milliards à foutre sur la table en quelques années. Et en provisionnant déjà les subventions à venir et à maintenir chaque année.

C’est un peu différent pour les US. Ou la Chine d’ailleurs. Ils ont fait en sorte d’avoir des entreprises nationales qui répondent à leurs besoins et ne les tiennent pas en vie sous perfusion aux soins palliatifs alors qu’elles sont totalement obsolètes. Au contraire ils injectent de l’argent pour les conserver dans la course au niveau décent attendu par l’état de l’art.

Pour faire le parallèle avec ce qu’on vit en France avec le parc nucléaire, c’est la différence entre maintenir dans la course ton fleuron industriel national en lui commandant chaque année des réacteurs en plus qui lui subventionnent les études de la prochaine génération et le maintenir sous perfusion d’argent public pour qu’il ne meurt pas parce que tu ne lui en as plus commandé depuis 20 ans et qu’il s’avère incapable d’en faire dorénavant…
Ça coûte le même pognon, sauf que dans un cas tu as de la Gen3 et tu attaques la R&D de la Gen4 et dans l’autre de la Gen2.5 où tu patauges à sortir de la Gen3…

C’est aussi tout le problème du truc, c’est que le jour où tu arrêtes la commande publique… le système s’effondre tout seul. A priori Google ou Amazon cessent d’exister tels qu’on les connaît si la commande publique disparaît.

Et oui, une fois que tu es compétitif par rapport à tout le reste, ben tu profites aussi de ta position dominante… Les Chinois et les Américains peuvent se tirer la bourre avec leur techno et envisager de striker le concurrent du marché, ils s’en foutent ils n’ont pas besoin du voisin et ça fait parti des négociations.
Quand t’es l’Europe et dépendant des 2 autres, c’est pas la même chose… Difficile de mettre dans la balance l’arrêt des imports ou des exports, t’as rien à leur proposer et ils savent que sans eux, tu crèves 🤣

Alors il n’y a pas beaucoup plus de volonté de certification de la part des éditeurs eux-mêmes hein.
C’est long, chiant, pénible, ça limite tes possibilités de développement et les entreprises préfèrent violer la loi que de la respecter, parce que sinon viser les 10% de croissance n’est plus possible…

Va demander à une boîte d’interdire à ses devs d’avoir le moindre accès à la prod. Pour quelques raisons que ce soit. Même pour debug, même pour avoir des logs. Même pour faire des déploiements. Ça va couiner. Beaucoup.
Et je sais de quoi je parle, c’est extrêmement galère au quotidien à gérer et faut encaisser la direction qui comprend pas pourquoi le moindre déploiement prend 7 jours juste pour ajouter un filtre dans un formulaire web.
Parce que tu dois avoir l’approbation de la Q/A, de la qualif PCI-DSS et les 3 paraphes de la DSI. Que les ¾ des libs disponibles sur Terre te sont interdites parce que ne passent pas les prérequis techniques minimaux.
Ajouter un lien sur le site web, ça a été 6 mois de taff, avec implication de la DSI, du responsable juridique, etc.
Après on a un énorme avantage : on a l’ACPR qui est un régulateur qui est « un poil » plus chiant que la CNIL. 2 contrôles annuels de fond en comble avec insta strike de tout ton business pendant X mois à la moindre case qui passe en rouge, ça motive assez sévère à envoyer chier la direction 🤣
Et on a 2 personnes à plein temps juste pour gérer les audits permanents.

Je ne vois aucune raison de privilégier plus les entreprises locales des entreprises étrangères. On est actuellement dans un monde globalisé où on s’en cogne un peu complètement de ta nationalité. Pourquoi est-ce qu’on irait payer plus cher un produit plus merdique juste parce qu’il est FR alors que le concurrent DE ou US fait mieux pour moins cher ?
Si encore le produit FR n’est pas foncièrement trop éloigné des caractéristiques et des coûts de la concurrence, bon ok pourquoi pas faire un petit effort pour le privilégier et payer 10% de plus pour faire local avec peu ou prou les mêmes fonctionnalités. Mais quand les écarts sont juste abyssaux…

Sans parler que typiquement, s’il y a bien un truc que t’as pas spécialement envie de voir dans les mains de ton État, c’est bien tes données de santé…
Point Godwin, mais il n’y a pas si longtemps, la Stasi aurait été ravie d’avoir juste un select à faire dans une base de données pour choper tous les handicapés, les juifs ou les homosexuels de sa population et que c’est aussi ce genre de problème qui a conduit à la fondation de la CNIL en 1978…
Il y a du coup certainement un compromis à faire à ce niveau entre favoriser du national et se protéger d’un éventuel petit problème de changement de régime politique…

Le 100% FR n’est pas non plus une balle en argent. Surtout à l’approche de 2027…
Pour l’avoir vécu en direct avec la réquisition illicite de mes machines sur décision illicite d’un juge sur impulsion illicite politique après une décente de police illicite dans le datacenter d’un hébergeur français, les avoir héberger en Allemagne ou aux Pays-Bas m’aurait éviter beaucoup d’ennuis et de frais de justice…

Il faut savoir être honnête aussi : un tel système construit par l’État risque de coûter bien trop cher pour être financé exclusivement par l’impôt. Les partenariats public-privés sont aussi là en mode « nous on peut pas vous financer intégralement, vous financez le complément et vous repartez avec les bénéfices ».

Le problème en France est effectivement surtout qu’on est très mauvais pour réellement avoir des contrats donnant-donnant et qu’on finit souvent complètement plumé par le privé.

Autant je ne suis pas pour le protectionnisme, ou en tout cas pas à outrance, mais j’y suis carrément opposé quand c’est uniquement pour sauver des éco-systèmes qui n’ont juste pas réussi du tout à se tenir à jour.

Je ne saurai dire si ça relève d’un cercle vicieux du protectionnisme (US) qui appelle le protectionnisme (EU) ou si c’est juste qu’on a totalement été à côté de nos pompes, certainement un truc entre les 2 comme toujours. Mais aujourd’hui vouloir continuer à maintenir en vie des trucs qu’on devrait plutôt euthanasier parce qu’ils arrivent très clairement au bout du rouleau, c’est quand même assez con…
On est totalement passé à côté de la réalité concrète du bordel sur plein de sujet et on le paie dorénavant très cher.

On a le même problème avec la plupart des business modèles du moment qui sont juste totalement illégaux, mais on préfère avoir des politiques qui tentent de sauver les meubles quitte à juste reculer pour encore plus mal sauter que de juste dire « déso pas déso, mais pour vous c’est la fin ».
Mais forcément, un politique qui va annoncer des millions de licenciement et la remise à plat de tout le système… c’est pas méga vendeur…

Très clairement le problème est aussi politique de ce côté. Les GAFAM sont aussi ce qu’ils sont parce que les US font de la commande publique et des subventions à mort.
L’intégralité du budget de Google est déjà rempli pour les 10 prochaines années juste avec les contrats étatiques de l’armée américaine… 9 milliards de dollars à se partager entre les 4 fournisseurs cloud américains rien que pour le budget 2020 du JWCC. Etc.
Forcément que tu peux innover…

Être certifié n’est pas une garantie de ne pas se faire trouver.
Ne pas être certifié est l’assurance d’avoir des problèmes.

Les certifications, surtout en terme de sécurité quand on parle de PCI-DSS ou HDS sont quand même autrement moins bullshit que certaines autres et imposent surtout un minimum vital de respect de l’état de l’art.
Ce n’est par contre effectivement pas une garantie d’aucune sorte sur la qualité du truc derrière.