Psychofox a écrit 10731 commentaires

1) Tu sais que ce n'est pas interdit ni compliquer de demander de manière humaine et courtoise aux developpeurs via la mailing list ou le forum si par hasard ils ne pourraient pas t'envoyer un tarball du code source et/ou le mettre à disposition sur leur site.

Seulement si on te met un vent où que l'on te le refuse tu pourras prétendre que les sources ne sont pas dispo ailleurs.

2) tu n'as pas besoin d'accepter les CGU de github pour télécharger le code source. Les CGU d'un site n'engages que ceux qui les lisent et les acceptent en créant un compte.

3) la Schrems II n'est pas violée si tu vas sur github ou toute autre forge/repo.

Disons que rien que pour l'accès aux chiffres, l'Azerty perd un point si tu n'as pas un clavier large avec pavé numérique. Il en perd un deuxième pour n'importe qui faisant du code, utilise le shell ou les raccourcis claviers principaux par le simple fait que la plupart des langages de programmations, OS et même applications ont été écrits par des gens utilisant des variantes du qwerty et ont fait des choix influencés par le mapping clavier utilisé.

Du coup sans être une panacée, à mon sens le qwerty alt-international reste plus comfortable à utiliser que l'azerty pour plein de choses y compris le français.

Ne nous y trompons pas : la je vois que c'est pas difficile de garder une compatibilité donc je dirai qu'ils pourraient faire, ça ne veut pas dire que je partirai dans des délires "bouh je fais comment si je n'ai pas blabla" qui ferait que ça coûterait cher (tout an aimant la solution proposée, bon même si les mairies ont la fâcheuse habitude d'être ouvertes que quand les gens bossent donc peuvent pas venir) souvent associés aux gens qui militent sans faire de différence entre peu coûteux et cher.

Bon dans certains cas (ça ne s'applique pas au CPF), le déplacement à la mairie est nécessaire.

En tant qu'expat pour certaines démarches, heureusement peu fréquentes, je dois passer par l'identité numérique. Mon bureau consulaire le plus proche est à plusieurs heures de train.

Au final c'est malheureux mais si on veut un smartphone principal complètement degafamisé sans luter pour chaque action, il faut au minimum avoir un autre smartphone ou une tablette android googlisée à la maison auquel on peut se connecter par via vnc ou remote desktop à travers d'un vpn. Alors moi je peux le faire, mais c'est pas non plus simple. Et ça reste totalement pas userfriendly et on reste à utiliser des trucs systèmes google liée à l'IP de son domicile maison et à être pisté.

Note qu'au final, on s'est rendu compte qu'il existe une push notification fatigue, et que l'état de l'art reste de te faire rentrer un code de toute manière. Et au final au lieu de te faire rentrer l'OTP à 6 chiffres ça devient un petit pin à 2 ou 3 chiffres généré à la volée sur un écran quelconque (pas celui du smarptphone bien sûr).

En l'occurence electron ce n'est pas un produit gafam. C'est développé par l'openjs fondation et ça utilise effectivement des briques développés par google, mais bon à ce jeu là on peut dire qu'utiliser linux c'est utiliser et promouvoir les Gafam parce qu'on a accepté du code de leurs développeurs.

Github n'est pas non plus un prérequis pour faire du logiciel libre et j'encourage tout développeur libre à utiliser autre chose. Mais je comprends en même temps l'attrait pour certains à cause de l'effet de réseau.

Et je dis ça alors que j'abhorre electron et les applications basées dessus.

Maintenant j'ai l'impression que t'es parti dans une spirale de whataboutism qui n'est ni saine pour ton esprit, ni pour la discussion.

Github et le libre, ce sont deux choses différentes qui n'ont rien à voir. Tous les logiciels libres ne sont pas distribués via github et github ne distribue pas que des logiciels libres.

Tu t'emmelles les pinceaux.

Le libre devrait m'éviter de faire toutes ces vérifications et contrôles et devrait impliquer un certain gage de qualité.

Ce n'est pas le but d'une licence libre respectant les 4 libertés d'exécuter le code, l'étudier, en distribuer des copies et des versions modifiées non.

Tu ne fais que confirmer que tu ne sais pas faire la différence entre un service/plateforme en ligne et un client.

Github n'est pas intégré à la page de delta chat. Et le code source ne fait pas partie d'un service delta-chat ni du site delta-chat.

C'est un lien.

Si je te pointes un lien sur linuxfr vers un tweet, linuxfr n'est pas responsable du traitement de données par twitter.

Mais jami c'est mieux.

Delta-chat ne traite aucune donnée, c'est un client mail, pas une plateforme en ligne.

Curl ou telnet n'ont pas à respecter la RGPD, Delta-chat c'est pareil.

Delta-chat n'est pas un responsable de traitement, ce n'est pas un service ni une plateforme en ligne.

C'est juste…un client mail.

Le simple fait que le code source ne soit dispo que sur github est une violation de Schrems II. Le fait qu’on télécharge des .deb chez vous est un traitement de données d

Le fait de télécharger n'implique pas un traitement de données.

et que comme « je fais du libre j’ai totem d’immunité »,

Cites-moi dans ce journal qui a écrit ça.

Typiquement je ne PEUX pas auditer ton code sans accepter les CGU de github et violer Schrems II

Bien sûr que si.

Accepter une clé RSA réputée "weak" ne signifie pas que tu l'imposes. Ma connection au site delta.chat utilise TLS 1.3 avec des cyphers élevés par exemple.

Et en l'occurence l'utilisateur de delta.chat ne transmet pas de données privées via cette connection. Il se connecte à des serveur SMTP.

1. Le fait que les sources sont sous github ne signifie pas que tu ne peux pas les obtenir autrement.

2. Lorsque tu télécharge les sources sur github, aucune donnée utilisateur n'est transmise par delta-chat.

Du coup on n'est pas du tout dans le cas d'un transfert de données entre zone EU et US et tu as une lecture toute particulière de Schrems II.

À priori tu ne sais pas ce que fais delta-chat.

Delta Chat n'est pas un service qui stocke les données utilisateurs. C'est une messagerie privé instantanée via l'email.

La RGPD ne définie pas un niveau minimum de taille de clés RSA.

« Le libre » devient un argument en soit, sans réflexion des avantages ou inconvénients apportés, et le fait qu’on est gêné par la loi et que parce qu’on est « libre » ou « fédéré » on devrait ne pas avoir à la respecter.

Je n'ai pas dis ça. Ne fait pas ton Zénitram

« Je fais du libre donc je ne peux pas être du mauvais côté ».

Je n'ai pas dit ça non plus.

Du restes c'est TOI qui fait un amalgame libre = non conformité à la RGPD.

La licence n'a rien à voir là-dedans, si Mastodon avait une licence proprio les problèmes seraient exactement les mêmes.

Tu te trompes et inverse juste le problème. Et tient exactement les mêmes propos que les GAFAM (juste que eux disent « le RGPD n’est tout simplement pas business ready »).
La fédération n’est effectivement pas RGPD ready.
Et ce n’est pas forcément le RGPD qu’il faut revoir. Le DSA a même été spécifiquement conçu pour justement ne pas permettre l’évitement des réglementations via des prétextes de fédération.

Je reviens là dessus.

Le principe de fédération, c'est un tout autre concept qu'un système de traitement de données par un sous-traitant ou vente de données internes à un client. Et je réitère que ça n'a pas été pris en compte dans la RGPD.

Une loi peut bel et bien ne pas être, ou partiellement (on n'est pas obligé de jeter toute l'eau du bain hein), adaptée à une société. Ce n'est pas pour rien que les lois sont longuement débatues et amendées. Je crois que tu ne me contrediras pas pour dire que la loi qui interdisait le port du pantalon aux femmes jusqu'en 2013 était complètement inadaptée à la société. On peut t'en sortir par centaines des lois mal branlées.

Non justement. Le RGPD dit spécifiquement l’inverse. Ta transmission en tant que responsable de traitement à un autre responsable de traitement n’éteint pas ta responsabilité. LES DEUX en deviennent responsables, et en particulier le 1er est supposé continue à propager les demandes d’accès/rectification/effacement et a l’obligation de prouver qu’il fait le taff et propage bien toutes les demandes.

Étant donné qu'une instance Mastodon correctement configuré n'a qu'un cache limité dans le temps sur les données qui lui sont propagées, je ne vois pas trop en qu'est-ce qu'il manque? Si un utilisateur édite sont message, l'édition est propagée. C'est juste un cache. S'il ferme son compte et quitte l'instance mastodon d'origine, ses changements de statut vont disparaitre non? Qu'est-ce qu'il manque selon toi?

Cas très différent de la fédération. Le mail est décentralisé, mais pas fédéré.

Bien sûr que si que le mail est fédéré.

Le destinataire final conserve aussi des intérêts puisqu’il s’agit bien d’une correspondance dont il est destinataire explicite.

Dans le cas d'un statut mastodon aussi on pourrait rétorquer que c'est invocable, surtout quand il y a des mentions.

L'expérience montre que ceux qui l'ont signé ont réutilisé le document comme papier toilette alors ça vaut à peu près…rien.

(avec une check-box DELETE juste à côté du bouton BAN, qui ne devrait donc légalement pas exister, ou exclusivement pour des admins/super-modo et pour des usages très spécifiques, certainement pas accessible à un modo standard).

Je dirais que tout modo qui n'authorise pas les accès depuis l'europe peut l'utiliser.

Déjà au DSA qui impose une procédure d’appel neutre et impartial jusqu’à 6 mois après le blocage.

Ça les GAFAM ne les respectent pas.

Ils gardent sans doute les données 6 mois mais si tu es ban ton unique recourt c'est de faire assez de bruit sur les autres réseaux sociaux pour que ça fasse un scandale et qu'un humain passe par une procédure manuelle.

modifier activitypub pour permettre une réelle mise en œuvre des article 14, 15, 16, 17, 18, 20 et 23, qui actuellement sont (mal) traités exclusivement par l’instance primaire émettant le contenu et aucunement propagés ni propageables aux instances secondaires le recevant

Même si la propagation automatique serait idéale, je ne crois pas que instance 1 pourrait être poursuivie parce que instance 2 a récupéré des trucs et n'a pas conscience que @bidule@instance1 veut, par exemple, que telle ou telle donnée soit corrigée. Une fois que les données sont chez un autre admin, c'est de la responsabilité de l'autre admin.

Et on impose pas par exemple gmail de supprimer les emails de tartampion@hotmail.com qui ont été envoyés à des addresses gmail parce que monsieur tartampion demande à hotmail de supprimer son compte et ses données.

La RGPD n'est tout simplement pas federation ready.