Sécurité
- Mon mot de passe doit être stocké de façon sécurisée (comprendre: utiliser une fonction de hachage récente, avec une graine aléatoire)
- Ce mot de passe doit être libre, sans imposer ou interdire de caractères particuliers ou limiter la taille
- Le communication de données sensibles (y compris les mots de passes) doit être protégée par HTTPS (et le certificat doit être validé par une autorité de confiance reconnue)
- Aucun service client ou service technique ne me demandera jamais mon mot de passe ou une information confidentielle hors des pages d’authentification et de gestion du compte en ligne
Informations personnelles
- J’ai le choix de ne donner que les informations personnelles nécessaires au service (le nom, l’adresse, le téléphone sont rarement réellement nécessaires)
- Je peux corriger ou mettre à jour mes informations personnelles, et supprimer quand je le souhaite celles qui ne sont pas nécessaires au service
- Mes coordonnées ne sont pas utilisées à des fins commerciales ou promotionnelles sans mon accord explicite (qui ne doit pas être obligatoire)
- Mes informations personnelles ne sont pas partagées ou revendues à des tiers sans information et accord explicite (qui ne doit pas être obligatoire)
Contenus personnels
- Je garde l’entière propriété de mes données, et n’en concède l’usage que pour les nécessités des services auxquels j’ai souscrit
- Je peux à tout moment récupérer l’ensemble de mes données, dans un format informatique exploitable ; seule une décision judiciaire est un motif à m’empêcher cet accès (un désaccord sur les conditions générales ne l’est pas)
- Je peux à tout moment demander la suppression définitive des données personnelles stockées
Liberté
- J’assume totalement les conséquences de mes actions et refuse donc à un quelconque prestataire technique d’avoir un droit de regard sur mes données (hors procédures légales)
- Les conditions dans lesquelles mon compte ou le service peuvent m’être bloqués sont explicites ; je peux obtenir des détails clairs dans cette éventualité, avec une procédure de résolution à l’amiable si besoin
- Je peux clôturer mon compte sur simple demande. Les données personnelles y seront effacées ; le compte sera désactivé et ne sera plus utilisé dans aucun affichage public.
L’ensemble de ces points sont des pré-requis.
J’ajouterai le point suivant, qui reste essentiel même s’il n’est pas au même niveau que les autres : On me rend des comptes sur la qualité du service fourni et on répond à mes demandes dans des délais courts avec une solution qui répond au problème posé.
13 réponses à “Manifeste de l’usager de services en ligne”
Reste à savoir quels services en ligne remplissent toutes ces conditions, à mon avis, il sont pas nombreux :-/
J’hésite à finalement abandonner l’idée d’un blog et plutôt faire un site de favori qui référence les billets les plus intéressants de l’ami Karl, qui a déjà tout écrit et tout pensé avant moi, et bien mieux que moi. Sur le sujet (ou pas loin) :
* https://github.com/karlcow/Data-Independence-Guidelines/blob/master/data-independence.html
* http://www.la-grange.net/2011/05/16/freedata/data-independence
Un truc comme ça ? http://blogmarks.net/user/night.kame/search/la-grange :-P
Ton point 3 sous « Contenus personnels » est légalement impossible en France, la loi LCEN imposant à l’éditeur de conserver les informations relatives à toute édition de contenu pendant « un certain temps » (me souviens plus combien, à vérifier) pour d’éventuelles réquisitions judiciaires (par exemple un commentaire diffamatoire).
C’est par ailleurs incompatible avec le point 1 sous Liberté.
de quoi qui est incompatible avec le Liberté-1 ? la LCEN ou le Personnel-3 ?
Si tu parles de la seconde alternative, je veux bien plus de détail sur ton cheminement de pensée.
Je n’ai aucun problème à ce que tu considères un « dans la limite du respect des obligations légales et réglementaires » implicite.
Par contre la loi ça se change hein.
Ha le monde où l’utilisateur est forcément le gentil, avec son lot d’exigences démesurées, pensant que tout lui est dû, et où l’hébergeur le grand méchant autoritaire qui n’a pas le droit de faire ce qu’il veut… :)
Globalement, je suis d’accord avec les différents points cités, sauf 3 si on considère être dans le cadre d’un service gratuit rendu à l’utilisateur (et non un site payant).
– La récupération des données :
C’est coûteux et tant que ce contenu est accessible (compte non fermé), ce n’est pas justifié. Ensuite, quand le compte est fermé, c’est à dire rendu inaccessible à l’utilisateur suite à une décision de modération par exemple, là j’en comprends l’intérêt. Mais il doit y avoir une demande explicite, rapide, et pas qu’un simple clic sur un bouton automatique étant donné le coût généré (durée pendant laquelle devoir stocker les données pour une éventuelle extraction, transfert, etc.).
– Le droit de regard du propriétaire du service :
Si j’ai bien compris, sur un service gratuit, il ne me paraît pas anormal que l’hébergeur ou le propriétaire du service puisse avoir un droit de regard sur le contenu généré par l’utilisateur. Ce qui implique également un droit de suppression, de fermeture, si cela ne convient pas au bon vouloir du propriétaire du service, de sa ligne éditoriale, etc.
Si le service est gratuit, c’est probablement parce que l’utilisateur est la source de revenus (visualisations des publicités). Si le propriétaire décide de supprimer le contenu de l’utilisateur, il prend la décision de se priver de ces revenus ainsi que des revenus indirects (visualisations générées par l’activité de l’utilisateur). Dans un sens, il devient également perdant financièrement, mais pas qualitativement de son point de vue.
Quand tu entres dans une service gratuit : un lieu en portes ouvertes, la voiture d’un ami qui accepte gracieusement de te déposer quelque part, un repas chez un pote, etc. tu respectes cet environnement. Rien ne doit empêcher de te mettre dehors, ou te déposer sur le bord de la route, si tu vas trop loin.
– Connaître le motif d’exclusion du service :
Oui, je suis d’accord que le motif devrait être communiqué, ne serait-ce que pour des raisons pédagogiques (on oublie rapidement une ou deux lignes des CGUs). Mais pour un site gratuit, il ne faut pas s’attendre à un motif exhaustif, une démonstration de ce qui est reproché, ou à ce que le propriétaire soit mis dans l’obligation de prouver que l’utilisateur n’a pas respecté ses CGUs.
* Récupération des données : Qu’est ce qu’un contenu accessible ? Ton contenu Facebook est en ligne, mais « accessible » c’est une autre histoire. Sinon oui, ça a un coût (pas forcément gigantesque quand c’est prévu au départ mais ça a un coût). Il est utile de noter que c’est de toutes façons une obligation légale en Europe par exemple, donc coût ou pas, il s’agit juste de faire une fonctionnalité publique ce qui est déjà légalement accessible au moins en requête manuelle)
* Droit de regard : Il faudrait pas mal de nuances, mais le but n’était pas d’écrire des tartines. Oui il est légitime d’avoir un rôle éditorial. Il ne s’agit pas d’imposer à un site de presse d’accepter n’importe quel commentaire légal par exemple. Je vise plus un Dropbox qui n’a pas à filtrer ce qu’on y stocke, un Gmail qui n’a pas à décider des mails qu’on s’échange, etc. Ca mérite une meilleure, formulation, tu as raison.
Le fait que le service soit gratuit ou pas n’entre par contre absolument pas en jeu. Le service en ligne n’est pas un voisin qui accepte « gracieusement », c’est un opérateur privé avec lequel tu as un contrat (CGV et autre EULA c’est bien ça) avec des engagements réciproque dans un intérêt réciproque. L’usager n’est pas plus redevable envers l’opérateur que l’inverse.
* Motif d’exclusion du service : Ah si, justement, le propriétaire doit bien être dans l’obligation de prouver que l’usager a violé les CGU, sinon c’est du pur arbitraire, et l’arrêt du service n’est pas conforme aux CGU. C’est *exactement* ça que je vise. Deux cas que j’ai en tête : 1- un compte Google fermé, alors qu’il contenait tous les mails et contacts, mais refus de Google d’annoncer pourquoi 2- un compte Amazon fermé, avec impossibilité d’accès aux contenus achetés, là aussi avec refus d’explication du fournisseur.
Notes que je ne prétends pas forcément que tout ceci doit être imposé dans la loi hein (même si certains points le sont ou le devraient). C’est juste une grille de lecture pour évaluer les dits service, ou pour savoir vers quoi s’orienter.
« Ah si, justement, le propriétaire doit bien être dans l’obligation de prouver que l’usager a violé les CGU, sinon c’est du pur arbitraire, et l’arrêt du service n’est pas conforme aux CGU. »
Si on prend Google Mail par exemple : « En cas de non-respect de ce règlement, Google se réserve le droit, à sa seule discrétion et à tout moment, de vous envoyer un avertissement, ou de suspendre ou de résilier votre compte. », avec par exemple comme interdit : « d’envoyer, de mettre en ligne, de distribuer ou de propager tout contenu illégal, diffamatoire, importun, abusif, frauduleux, interdit, obscène ou autrement choquant, ou de proposer d’effectuer de telles actions ». Donc on peut avoir un arrêt de service parfaitement arbitraire ET conforme aux CGU, ça n’est pas incompatible.
Je n’entrerai pas dans une discussion savoir si une telle clause est légale (ce n’est pas parce qu’on s’arroge tous les droits dans des CGV qu’on les a forcément). L’idée c’est juste qu’à mon sens elle n’est pas acceptable.
Je crains que mon billet ait un peu été pris comme une volonté de règlementation obligatoire alors que ce n’est pas ma direction.
« L’idée c’est juste qu’à mon sens elle n’est pas acceptable. »
Dans ce cas-là on en revient à l’embryon de discussion sur Twitter : si tous les services que tu utilises son inacceptable, qu’elle est l’attitude à avoir ?
J’évite de tout considérer en binaire :) C’est une grille de lecture, je ne valide pas forcément tous les points mais je choisis en fonction.
Pour twitter il y a des choses qui ne me vont pas mais je me sens forcé de jouer là bas si je veux pouvoir joindre les autres. Du coup je monte un backup en parallèle, et j’ai exploré loin pour y brancher un mécanisme de (non-)persistance plus adapté à mes besoins. Pour certains services je choisi en fonction des CGV, je sais que je dois être un des rares à le faire. Pour d’autres choses je monte des scripts ou des applications chez moi, sur mon serveur, parce que ce qu’on me propose ne me convient pas et que le passer chez moi est envisageable. Pour les mails j’ai un double backup, et j’utilise mon nom de domaine afin de garder une indépendance au cas où. Enfin, il y a des services dont je me passe – pas de compte facebook – et d’autres que j’utilise malgré les défauts. Tout est question de pragmatisme.
Par contre ce pragmatisme ne doit absolument pas m’amener à considerer les défauts comme acceptable et oublier quels sont mes critères. Il s’agit de tendre vers mieux en permanence, pas d’être parfait aujourd’hui.