Psychofox a écrit 10741 commentaires

Accepter une clé RSA réputée "weak" ne signifie pas que tu l'imposes. Ma connection au site delta.chat utilise TLS 1.3 avec des cyphers élevés par exemple.

Et en l'occurence l'utilisateur de delta.chat ne transmet pas de données privées via cette connection. Il se connecte à des serveur SMTP.

1. Le fait que les sources sont sous github ne signifie pas que tu ne peux pas les obtenir autrement.

2. Lorsque tu télécharge les sources sur github, aucune donnée utilisateur n'est transmise par delta-chat.

Du coup on n'est pas du tout dans le cas d'un transfert de données entre zone EU et US et tu as une lecture toute particulière de Schrems II.

À priori tu ne sais pas ce que fais delta-chat.

Delta Chat n'est pas un service qui stocke les données utilisateurs. C'est une messagerie privé instantanée via l'email.

La RGPD ne définie pas un niveau minimum de taille de clés RSA.

« Le libre » devient un argument en soit, sans réflexion des avantages ou inconvénients apportés, et le fait qu’on est gêné par la loi et que parce qu’on est « libre » ou « fédéré » on devrait ne pas avoir à la respecter.

Je n'ai pas dis ça. Ne fait pas ton Zénitram

« Je fais du libre donc je ne peux pas être du mauvais côté ».

Je n'ai pas dit ça non plus.

Du restes c'est TOI qui fait un amalgame libre = non conformité à la RGPD.

La licence n'a rien à voir là-dedans, si Mastodon avait une licence proprio les problèmes seraient exactement les mêmes.

Tu te trompes et inverse juste le problème. Et tient exactement les mêmes propos que les GAFAM (juste que eux disent « le RGPD n’est tout simplement pas business ready »).
La fédération n’est effectivement pas RGPD ready.
Et ce n’est pas forcément le RGPD qu’il faut revoir. Le DSA a même été spécifiquement conçu pour justement ne pas permettre l’évitement des réglementations via des prétextes de fédération.

Je reviens là dessus.

Le principe de fédération, c'est un tout autre concept qu'un système de traitement de données par un sous-traitant ou vente de données internes à un client. Et je réitère que ça n'a pas été pris en compte dans la RGPD.

Une loi peut bel et bien ne pas être, ou partiellement (on n'est pas obligé de jeter toute l'eau du bain hein), adaptée à une société. Ce n'est pas pour rien que les lois sont longuement débatues et amendées. Je crois que tu ne me contrediras pas pour dire que la loi qui interdisait le port du pantalon aux femmes jusqu'en 2013 était complètement inadaptée à la société. On peut t'en sortir par centaines des lois mal branlées.

Non justement. Le RGPD dit spécifiquement l’inverse. Ta transmission en tant que responsable de traitement à un autre responsable de traitement n’éteint pas ta responsabilité. LES DEUX en deviennent responsables, et en particulier le 1er est supposé continue à propager les demandes d’accès/rectification/effacement et a l’obligation de prouver qu’il fait le taff et propage bien toutes les demandes.

Étant donné qu'une instance Mastodon correctement configuré n'a qu'un cache limité dans le temps sur les données qui lui sont propagées, je ne vois pas trop en qu'est-ce qu'il manque? Si un utilisateur édite sont message, l'édition est propagée. C'est juste un cache. S'il ferme son compte et quitte l'instance mastodon d'origine, ses changements de statut vont disparaitre non? Qu'est-ce qu'il manque selon toi?

Cas très différent de la fédération. Le mail est décentralisé, mais pas fédéré.

Bien sûr que si que le mail est fédéré.

Le destinataire final conserve aussi des intérêts puisqu’il s’agit bien d’une correspondance dont il est destinataire explicite.

Dans le cas d'un statut mastodon aussi on pourrait rétorquer que c'est invocable, surtout quand il y a des mentions.

L'expérience montre que ceux qui l'ont signé ont réutilisé le document comme papier toilette alors ça vaut à peu près…rien.

(avec une check-box DELETE juste à côté du bouton BAN, qui ne devrait donc légalement pas exister, ou exclusivement pour des admins/super-modo et pour des usages très spécifiques, certainement pas accessible à un modo standard).

Je dirais que tout modo qui n'authorise pas les accès depuis l'europe peut l'utiliser.

Déjà au DSA qui impose une procédure d’appel neutre et impartial jusqu’à 6 mois après le blocage.

Ça les GAFAM ne les respectent pas.

Ils gardent sans doute les données 6 mois mais si tu es ban ton unique recourt c'est de faire assez de bruit sur les autres réseaux sociaux pour que ça fasse un scandale et qu'un humain passe par une procédure manuelle.

modifier activitypub pour permettre une réelle mise en œuvre des article 14, 15, 16, 17, 18, 20 et 23, qui actuellement sont (mal) traités exclusivement par l’instance primaire émettant le contenu et aucunement propagés ni propageables aux instances secondaires le recevant

Même si la propagation automatique serait idéale, je ne crois pas que instance 1 pourrait être poursuivie parce que instance 2 a récupéré des trucs et n'a pas conscience que @bidule@instance1 veut, par exemple, que telle ou telle donnée soit corrigée. Une fois que les données sont chez un autre admin, c'est de la responsabilité de l'autre admin.

Et on impose pas par exemple gmail de supprimer les emails de tartampion@hotmail.com qui ont été envoyés à des addresses gmail parce que monsieur tartampion demande à hotmail de supprimer son compte et ses données.

La RGPD n'est tout simplement pas federation ready.

J'aimerai bien savoir à quel article tu te réfères là d'ailleurs.

Si tu veux interdire les bannissement express tu peux bannir tout internet hein.

GNU Social était il me semble le plus vieux projet de réseau social centralisé libre. Pump.io donc Activity Pub, a été créé bien avant Mastodon et des réseaux comme identi.ca ont fait le switch avant l'arrivée de Mastodon.

GNU Social n'était déjà pas très dynamique. Mastodon ne l'a pas tué. Il était tout simplement déjà mort mais ne le savait pas encore.

Non seulement nul n’est sensé ignorer la loi,

Ça veut juste dire que tu ne peux pas invoquer l'ignorance dans le cadre d'un procès. Dans les fait la majorité des gens ignorent la majorité des lois.

Du reste je n'explique pas, je comprends. Plein d'autres auraient fait pareil. Et ce qui compte c'est ce qu'on en fait maintenant.

GNU Social en est au même point qu'il ne l'était à l'époque. Mastodon ne l'a pas démoli, et n'en a jamais eu le pouvoir.

Ah mais je ne dis pas qu'ils n'ont pas été nuls sur ce point hein.

Maintenant à la date du 1er commit en 2016, le sieur Rochko était un étudiant de 23 ans, pas un chef d'entreprise avec un département légal à même de lui expliquer les tenants et aboutissants de la RGPD.

Parce que bon à l'époque, j'en ai vu des services informatiques complètement perdus par les questions de conformités à la RGPD (et des services étatiques) et je connais encore dans ma boite actuelle des services qui se mettent seulement en conformité (mais qui sont peu visibles et peu sujet à plaintes puisqu'ils n'ont comme clients que des entreprises signant contrat avec eux) et je ne doute pas qu'il y a plein de trucs pas vu / pas pensés dans des milliers d'entreprises.

J’ai la mienne depuis… bien avant que Mastodon existe ? Il se trouve que Mastodon a démoli l’intégralité du réseau où j’étais bien avant que le Mammouth dégomme tout sur son passage

Aaah en fait c'était personnel! Fallait le dire avant.

Je ne connais aucun réseau qui a été démoli par Mastodon soit-dit en passant.

Étant donné que la plupart (je n'ai pas tout lu) des tickets sont ouverts et pas fermés "won't fix", je trouve que c'est malhonnête de ta part de dire que les auteurs s'en foutent.

Il y a clairement un manque de prise en compte de la RGPD et une réactivité très molle, se défaussant sur le fait que si c'est pas utilisé par une entreprise la RGPD ne s'y applique pas.

Mastodon n'est pas un réseau social, c'est un serveur activity pub qui peut s'interconnecter avec d'autre. Il serait certe mieux de promouvoir un outil qui permet à chaque admin de respecter la RGPD facilement, mais ça reste une responsabilité individuelle de chaque admin.

Maintenant l'Union Européenne a sa propre instance Mastodon (mais pas avec ouverture de compte ouverte), donc je pense que comme dans chaque changement de législation il y a un délai de mise en conformité accordé à tous les acteurs. J'imagine qu'on peut accepter qu'un logiciel libre développé par une petite équipe financée par des dons avec un budget annuel de 10000€ n'ait pas la même vitesse de mise en comformité.

C'est plutôt des services comme masto.host qui vendent de l'hébergement Mastodon qu'il faut se plaindre je dirais.

…j'ai vu que Mozilla abandonne la plateforme Mozilla Hubs dont personne ne connaissait l'existence!

…l'état n'est pas obligé de passer par un prestataire externe et pourrait s'autohéberger, avoir ses propres datacenter et IT.

C'est un choix d'aller chercher ailleurs.

Merci pour la nouvelle, je pensais que le projet était abandonné.

Est-ce qu'il y a deux niveaux d'accès aux contacts? (lecture seule ou lecture + upload)?

Ça ne peut pas exister ce type de permission (lecture + upload) et je ne vois pas vraiment comment ça pourrait être mis en place.

Une appli a accès au réseau ou pas.
Une appl a accès aux contacts ou pas.

Ce sont deux permissions distinctes et indépendantes.

Note que dans tous les cas c'est l'utilisateur qui donne l'accord à l'utilisation d'accéder ou non aux contacts. Ce n'est pas caché. Google veut en plus qu'on déclare qu'on collecte des données sur un serveur tiers…même si on ne le fait pas.

D'où le niveau de permission qui me semble tout à fait logique: permettez-vous à l'appli d'accéder à vos contacts et d'en faire ce que le développeur veut bien en faire?

On ne parle pas de permission mais d'annoncer une potentielle collecte. Ou pas.

On ne peut pas donner tort à l'auteur sur le fait qu'ils auraient très bien pu ne pas accepter la mise à jour et laisser la version précédente dans leur store.

Je crois que son appli n'a pas été bannie sur une maj en particulier. C'est plutôt au niveau de google que le contrôle a du changer. La fonctionnalité existait il me semble déjà.

Avec Linphone on collecte les contacts et on envoie les numéros de téléphone à un serveur (de manière sécurisée), et on a jamais eu de soucis avec Google et le Play Store.

Mais vous le dites:

Image de l'icône
Cette appli peut recueillir ces types de données
Informations personnelles, Contacts et Appareil ou autres ID

L'auteur de Conversation ne voulait pas le dire parce que c'est faux et que son appli n'utilise les contacts que localement.

Google part du principe que si ton applis a l'accès aux contacts et au réseau, c'est pour les aspirer et les garder sur ton serveur. Parce que accessoirement c'est ce qu'eux-même et la plupart des entreprises font. L'idée qu'une appli ne puisse utiliser les contacts que localement leur est totalement étrangère.

À vrai dire ils s'en foutent que tu le fasses, ils veulent juste te forcer à le dire pour se protéger légalement.

C'est aussi simple que ça.