Catégories
Geek Métiers du web

Mani­feste de l’usa­ger de services en ligne

Sécu­rité

  1. Mon mot de passe doit être stocké de façon sécu­ri­sée (comprendre: utili­ser une fonc­tion de hachage récente, avec une graine aléa­toire)
  2. Ce mot de passe doit être libre, sans impo­ser ou inter­dire de carac­tères parti­cu­liers ou limi­ter la taille
  3. Le commu­ni­ca­tion de données sensibles (y compris les mots de passes) doit être proté­gée par HTTPS (et le certi­fi­cat doit être validé par une auto­rité de confiance recon­nue)
  4. Aucun service client ou service tech­nique ne me deman­dera jamais mon mot de passe ou une infor­ma­tion confi­den­tielle hors des pages d’au­then­ti­fi­ca­tion et de gestion du compte en ligne

Infor­ma­tions person­nelles

  1. J’ai le choix de ne donner que les infor­ma­tions person­nelles néces­saires au service (le nom, l’adresse, le télé­phone sont rare­ment réel­le­ment néces­saires)
  2. Je peux corri­ger ou mettre à jour mes infor­ma­tions person­nelles, et suppri­mer quand je le souhaite celles qui ne sont pas néces­saires au service
  3. Mes coor­don­nées ne sont pas utili­sées à des fins commer­ciales ou promo­tion­nelles sans mon accord expli­cite (qui ne doit pas être obli­ga­toire)
  4. Mes infor­ma­tions person­nelles ne sont pas parta­gées ou reven­dues à des tiers sans infor­ma­tion et accord expli­cite (qui ne doit pas être obli­ga­toire)

Conte­nus person­nels

  1. Je garde l’en­tière propriété de mes données, et n’en concède l’usage que pour les néces­si­tés des services auxquels j’ai sous­crit
  2. Je peux à tout moment récu­pé­rer l’en­semble de mes données, dans un format infor­ma­tique exploi­table ; seule une déci­sion judi­ciaire est un motif à m’em­pê­cher cet accès (un désac­cord sur les condi­tions géné­rales ne l’est pas)
  3. Je peux à tout moment deman­der la suppres­sion défi­ni­tive des données person­nelles stockées

Liberté

  1. J’as­sume tota­le­ment les consé­quences de mes actions et refuse donc à un quel­conque pres­ta­taire tech­nique d’avoir un droit de regard sur mes données (hors procé­dures légales)
  2. Les condi­tions dans lesquelles mon compte ou le service peuvent m’être bloqués sont expli­cites ; je peux obte­nir des détails clairs dans cette éven­tua­lité, avec une procé­dure de réso­lu­tion à l’amiable si besoin
  3. Je peux clôtu­rer mon compte sur simple demande. Les données person­nelles y seront effa­cées ; le compte sera désac­tivé et ne sera plus utilisé dans aucun affi­chage public.

L’en­semble de ces points sont des pré-requis.

J’ajou­te­rai le point suivant, qui reste essen­tiel même s’il n’est pas au même niveau que les autres : On me rend des comptes sur la qualité du service fourni et on répond à mes demandes dans des délais courts avec une solu­tion qui répond au problème posé.

13 réponses sur « Mani­feste de l’usa­ger de services en ligne »

J’hésite à finalement abandonner l’idée d’un blog et plutôt faire un site de favori qui référence les billets les plus intéressants de l’ami Karl, qui a déjà tout écrit et tout pensé avant moi, et bien mieux que moi. Sur le sujet (ou pas loin) :

* https://github.com/karlcow/Data-Independence-Guidelines/blob/master/data-independence.html
* http://www.la-grange.net/2011/05/16/freedata/data-independence

Ton point 3 sous « Contenus personnels » est légalement impossible en France, la loi LCEN imposant à l’éditeur de conserver les informations relatives à toute édition de contenu pendant « un certain temps » (me souviens plus combien, à vérifier) pour d’éventuelles réquisitions judiciaires (par exemple un commentaire diffamatoire).

de quoi qui est incompatible avec le Liberté-1 ? la LCEN ou le Personnel-3 ?

Si tu parles de la seconde alternative, je veux bien plus de détail sur ton cheminement de pensée.

Je n’ai aucun problème à ce que tu considères un « dans la limite du respect des obligations légales et réglementaires » implicite.
Par contre la loi ça se change hein.

Ha le monde où l’utilisateur est forcément le gentil, avec son lot d’exigences démesurées, pensant que tout lui est dû, et où l’hébergeur le grand méchant autoritaire qui n’a pas le droit de faire ce qu’il veut… :)

Globalement, je suis d’accord avec les différents points cités, sauf 3 si on considère être dans le cadre d’un service gratuit rendu à l’utilisateur (et non un site payant).

– La récupération des données :
C’est coûteux et tant que ce contenu est accessible (compte non fermé), ce n’est pas justifié. Ensuite, quand le compte est fermé, c’est à dire rendu inaccessible à l’utilisateur suite à une décision de modération par exemple, là j’en comprends l’intérêt. Mais il doit y avoir une demande explicite, rapide, et pas qu’un simple clic sur un bouton automatique étant donné le coût généré (durée pendant laquelle devoir stocker les données pour une éventuelle extraction, transfert, etc.).

– Le droit de regard du propriétaire du service :
Si j’ai bien compris, sur un service gratuit, il ne me paraît pas anormal que l’hébergeur ou le propriétaire du service puisse avoir un droit de regard sur le contenu généré par l’utilisateur. Ce qui implique également un droit de suppression, de fermeture, si cela ne convient pas au bon vouloir du propriétaire du service, de sa ligne éditoriale, etc.
Si le service est gratuit, c’est probablement parce que l’utilisateur est la source de revenus (visualisations des publicités). Si le propriétaire décide de supprimer le contenu de l’utilisateur, il prend la décision de se priver de ces revenus ainsi que des revenus indirects (visualisations générées par l’activité de l’utilisateur). Dans un sens, il devient également perdant financièrement, mais pas qualitativement de son point de vue.
Quand tu entres dans une service gratuit : un lieu en portes ouvertes, la voiture d’un ami qui accepte gracieusement de te déposer quelque part, un repas chez un pote, etc. tu respectes cet environnement. Rien ne doit empêcher de te mettre dehors, ou te déposer sur le bord de la route, si tu vas trop loin.

– Connaître le motif d’exclusion du service :
Oui, je suis d’accord que le motif devrait être communiqué, ne serait-ce que pour des raisons pédagogiques (on oublie rapidement une ou deux lignes des CGUs). Mais pour un site gratuit, il ne faut pas s’attendre à un motif exhaustif, une démonstration de ce qui est reproché, ou à ce que le propriétaire soit mis dans l’obligation de prouver que l’utilisateur n’a pas respecté ses CGUs.

* Récupération des données : Qu’est ce qu’un contenu accessible ? Ton contenu Facebook est en ligne, mais « accessible » c’est une autre histoire. Sinon oui, ça a un coût (pas forcément gigantesque quand c’est prévu au départ mais ça a un coût). Il est utile de noter que c’est de toutes façons une obligation légale en Europe par exemple, donc coût ou pas, il s’agit juste de faire une fonctionnalité publique ce qui est déjà légalement accessible au moins en requête manuelle)

* Droit de regard : Il faudrait pas mal de nuances, mais le but n’était pas d’écrire des tartines. Oui il est légitime d’avoir un rôle éditorial. Il ne s’agit pas d’imposer à un site de presse d’accepter n’importe quel commentaire légal par exemple. Je vise plus un Dropbox qui n’a pas à filtrer ce qu’on y stocke, un Gmail qui n’a pas à décider des mails qu’on s’échange, etc. Ca mérite une meilleure, formulation, tu as raison.
Le fait que le service soit gratuit ou pas n’entre par contre absolument pas en jeu. Le service en ligne n’est pas un voisin qui accepte « gracieusement », c’est un opérateur privé avec lequel tu as un contrat (CGV et autre EULA c’est bien ça) avec des engagements réciproque dans un intérêt réciproque. L’usager n’est pas plus redevable envers l’opérateur que l’inverse.

* Motif d’exclusion du service : Ah si, justement, le propriétaire doit bien être dans l’obligation de prouver que l’usager a violé les CGU, sinon c’est du pur arbitraire, et l’arrêt du service n’est pas conforme aux CGU. C’est *exactement* ça que je vise. Deux cas que j’ai en tête : 1- un compte Google fermé, alors qu’il contenait tous les mails et contacts, mais refus de Google d’annoncer pourquoi 2- un compte Amazon fermé, avec impossibilité d’accès aux contenus achetés, là aussi avec refus d’explication du fournisseur.

Notes que je ne prétends pas forcément que tout ceci doit être imposé dans la loi hein (même si certains points le sont ou le devraient). C’est juste une grille de lecture pour évaluer les dits service, ou pour savoir vers quoi s’orienter.

« Ah si, justement, le propriétaire doit bien être dans l’obligation de prouver que l’usager a violé les CGU, sinon c’est du pur arbitraire, et l’arrêt du service n’est pas conforme aux CGU. »

Si on prend Google Mail par exemple : « En cas de non-respect de ce règlement, Google se réserve le droit, à sa seule discrétion et à tout moment, de vous envoyer un avertissement, ou de suspendre ou de résilier votre compte. », avec par exemple comme interdit : « d’envoyer, de mettre en ligne, de distribuer ou de propager tout contenu illégal, diffamatoire, importun, abusif, frauduleux, interdit, obscène ou autrement choquant, ou de proposer d’effectuer de telles actions ». Donc on peut avoir un arrêt de service parfaitement arbitraire ET conforme aux CGU, ça n’est pas incompatible.

Je n’entrerai pas dans une discussion savoir si une telle clause est légale (ce n’est pas parce qu’on s’arroge tous les droits dans des CGV qu’on les a forcément). L’idée c’est juste qu’à mon sens elle n’est pas acceptable.

Je crains que mon billet ait un peu été pris comme une volonté de règlementation obligatoire alors que ce n’est pas ma direction.

« L’idée c’est juste qu’à mon sens elle n’est pas acceptable. »

Dans ce cas-là on en revient à l’embryon de discussion sur Twitter : si tous les services que tu utilises son inacceptable, qu’elle est l’attitude à avoir ?

J’évite de tout considérer en binaire :) C’est une grille de lecture, je ne valide pas forcément tous les points mais je choisis en fonction.

Pour twitter il y a des choses qui ne me vont pas mais je me sens forcé de jouer là bas si je veux pouvoir joindre les autres. Du coup je monte un backup en parallèle, et j’ai exploré loin pour y brancher un mécanisme de (non-)persistance plus adapté à mes besoins. Pour certains services je choisi en fonction des CGV, je sais que je dois être un des rares à le faire. Pour d’autres choses je monte des scripts ou des applications chez moi, sur mon serveur, parce que ce qu’on me propose ne me convient pas et que le passer chez moi est envisageable. Pour les mails j’ai un double backup, et j’utilise mon nom de domaine afin de garder une indépendance au cas où. Enfin, il y a des services dont je me passe – pas de compte facebook – et d’autres que j’utilise malgré les défauts. Tout est question de pragmatisme.
Par contre ce pragmatisme ne doit absolument pas m’amener à considerer les défauts comme acceptable et oublier quels sont mes critères. Il s’agit de tendre vers mieux en permanence, pas d’être parfait aujourd’hui.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *