[Consultation populaire] Évolution du Staff + Données personnelles

Bonjour à tous,
 
Ce message à portée générale a pour but de recueillir votre avis sur plusieurs points, et commencera par une note introductive sur l’impossibilité que je rencontre actuellement à organiser les élections, du fait de l’un de ces deux points.
 
Je vous remercie donc d’y répondre.
 
En remarque introductive, nous approchons progressivement de la fin du mandat conféré aux Administrateurs de LGJ, puisque le mandat expire en Avril (je n’ai plus la date exacte, mais c’est dans ces eaux-là).

(Techniquement, il n’y a pas de mandat vu qu’il n’y a pas eu de vote, mais vous allez pouvoir voter prochainement, et personne n’a contesté, donc ça passe quand même, même si ça devrait pas passer).
 
Initialement, il était convenu d’organiser dès début Février un appel à candidatures, mais je n’ai pas été en mesure de le faire. J’attends en effet des recommandations sur l’organisation des votes de la part de l’association qui nous héberge, recommandations que j’ai eu Dimanche en fin de journée. Ayant ensuite eu des déplacements professionnels importants Lundi et Mardi (j’ai ainsi dû me lever Mardi matin à 5h du matin pour me manger près de 400 km dans la journée, sachant que je me mange encore 300 bornes demain matin), je n’ai pu organiser le topic.
 
Ensuite, il y a eu une nouvelle complication qui fait que je ne suis actuellement pas en mesure d’organiser les élections, et qui tient donc aux points suivants, notamment le point n°2 :
 
Point n°1 – Extension des pouvoirs de la Modération
 
D’un commun accord avec Connor, nous avons décidé d’élargir les pouvoirs des Modérateurs, qui peuvent désormais :
 

• Bannir,
• Consulter les adresses IP des utilisateurs,
• Autres trucs de gestion sans grande importance en l’état (possibilité de modifier les sous-sections, d’accéder à la Poubelle du forum, etc…).

 
L’association s’est manifestement émue de ce que nous vous avions « mis les fesses à l’air », pour reprendre une formulation imagée, sans vous consulter.
 
C’est donc chose faite, et j’irai plus loin que cette simple information.
 
Estimez-vous cette extension des pouvoirs liberticide ? Porte-t-elle atteinte à vos droits ? Vous sentez-vous désormais moins en sécurité maintenant que vous savez que les Modérateurs ont les mêmes pouvoirs de sanction que les Administrateurs ?

(Ou vous en avez rien à foutre :x ?)
 
Pour finir sur ce point, les raisons ayant amené cette extension découlent du fonctionnement usuel de LGJ, où les Modérateurs ont toujours eu un rôle central, et où la récente affaire Ludya a montré qu’il était à mon sens nécessaire de donner plus de pouvoirs aux Modérateurs pour permettre d’assurer plus efficacement la protection du forum. L’accès à la Poubelle a également été motivé par le fait que les Modérateurs hésitaient à supprimer certains topics litigieux, car craignant qu’on ne perde à jamais leur trace.
 
Je vous remercie de transmettre vos appréciations sur ce point. En fonction de celles-ci, nous pourrons revenir sur cette extension, et la soumettre à un vote public.


Point n°2 – Signature obligatoire d’accords de confidentialité aux membres ayant accès à la consultation de données personnelles
 
Ce point n°2 est le point principal qui fait qu’en l’état, je ne suis pas en mesure d’organiser les élections.
 
L’association souhaite mettre en place une réforme visant à obliger les membres du Staff ayant accès à la consultation de données personnelles à signer un accord de confidentialité avec l’association, selon des modalités variables (toutes discutables à mon sens). Cet accord implique donc de signer un document écrit par lequel le membre donne son identité civile : nom, prénom, et adresse.
 
La motivation qui a été avancée, si je la comprends bien (mais les défendeurs de cette idée ne manqueront pas de me corriger si je retranscris mal leur argumentation), est qu’il faut couvrir l’association en cas de fuite grave de données, afin que l’association puisse se retourner contre les fautifs, et que cela servirait plus généralement la protection des membres, afin de leur assurer que les données personnelles ne soient pas consultées par des personnes anonymes.
 
En ce qui me concerne, je suis fortement opposé à cette réforme, et une alternative a donc été proposée, qui viserait à créer une sorte de flou qui masquerait les adresses IP pour les Modérateurs et, le cas échéant, pour les Administrateurs (si j’ai bien compris), tout en leur permettant d’en avoir quand même accès.

Je suis personnellement tant opposé à l’idée de base qu’à son exception, pour les raisons suivantes :

Sur le principe même

J’estime que l’anonymat absolu est la force de LGJ, forum à caractère érotique où nous nous autorisons les pires saloperies sexuelles (à l’exception de la pédophilie, parce que ça, c’est vraiment moche), parce que nous savons que tout cela est anonyme.

Le principe même m’apparaît donc éminemment contestable en ce qu’il vous force à vous lier à votre personnage. L’on m’objecte qu’il s’agit d’un accord de confidentialité général, mais je ne vois pas comment l’association pourrait se retourner contre le signataire de l’accord sans avoir un moyen de dire : « Le type qui a signé cet accord joue ce mec sur LGJ ». Pour moi, il s’agit donc d’une violation de notre droit au respect de la vie privée, principe à valeur constitutionnelle inscrit à l’article 9 du Code civil.

Je m’y oppose donc fortement, d’autant que cet accord, outre la violation de la vie privée des membres, amènerait aussi les données personnelles des signataires à être détenu entre les mains d’individus qu’on ne connaît pas, et dont on ne sait pas l’utilisation qu’ils en feront.

(Parce que l’un des arguments avancés est le fait que l’association ne peut pas avoir confiance envers les Administrateurs de tel ou tel forum, ou a fortiori envers les Modérateurs, mais ça marche aussi dans les deux sens).

Juridiquement, cette proposition me paraît ainsi constituer un abus de pouvoir car elle ne repose sur aucun fondement. La récente réforme de la législation sur la propriété intellectuelle et la protection des données personnelles prévoit l’information des utilisateurs sur l’utilisation automatisée des données personnelles, et prévoit également la désignation d’un « responsable du traitement des données », une personne que tout utilisateur doit pouvoir contacter pour évoquer le cas de ses données personnelles.

En l’occurrence, l’association du Hérisson bleu est parfaitement identifiée, et est représentée par son Président. Les obligations légales s’arrêtent là.

En l’état, cette proposition ne se fait donc pas pour respecter une quelconque disposition légale, de sorte qu’elle constitue, pour moi, outre une violation du droit à la vie privée, un abus de pouvoir qui vise à concentrer entre les mains de l’association des données privées dont on ne sait l’utilisation qui en sera faite.

De plus, dans la mesure où l’association dispose de nos adresses IP, elle a tout moyen de pouvoir remonter à nous, d’autant que, même à suivre cette logique, il n’y a aucun moyen de garantir l’identité de la personne qui signe l’accord. Or, vu que la crainte justifiant ces accords est de tomber sur un pirate qui utiliserait les adresses IP à des fins personnelles, rien ne l’oblige à mettre son vrai nom.

Sur les alternatives évoquées

En réponse à mes craintes, plusieurs alternatives ont été suggérées :

- Nomination d’une sorte de mandataire, ou représentant, qui se porterait garant pour les Modérateurs en signant pour eux.

Je suis pareillement opposé à cette idée, puisque, si j’en crois la logique de l’accord, l’idée est de pouvoir se retourner contre un membre du Staff qui aurait commis une faute détachable de ses fonctions. Dès lors, ledit mandataire qui a signé pourra se contenter de hausser les épaules en disant qu’il n’y est pour rien, et qu’il a été floué de la même manière que l’association, sans que celle-ci ne puisse exercer le moindre recours.

Techniquement, c’est donc une non-solution.

- Création d’un hash pour que les personnes non signataires n’accèdent pas aux adresses IP.

Sans parler des questions techniques (vu que je suis profane en la matière), cette idée n’a pas non plus mon approbation. Sur le principe, elle vient à entériner le principe de la signature d’un accord de confidentialité, puisqu’il s’agit de développer une sorte d’exception à l’accord de confidentialité et aux obligations qui en découlent.

Ensuite, elle revient également à amener l’association à sortir de son rôle d’hébergeur pour avoir un rôle plus actif sur LGJ, puisque nous n’aurons pas accès aux adresses IP, mais à de fausses indications. La récente crise Ludya montre que nous avons besoin de voir les adresses IP pour permettre des recoupements.


La protection des membres ayant été invoquée comme motif, il me semble important, tôt ou tard, plutôt que de parler au nom des membres

L’impact sur le topic des élections, c’est que je ne peux pas en l’état réaliser le topic, car il faut que je précise dans le topic les conditions, ce qui implique donc de dire si, oui ou non, les candidats devront signer un bout de papier dans lequel ils déclareront leur identité civile et leur adresse à des individus qu’ils sont susceptibles de n’avoir jamais vu pour le cas où ils remporteraient l’élection.

Je vous remercie donc, pour résumer, de donner vos avis sur les deux points évoqués :

- Point n°1 : extension des pouvoirs de la Modération,
- Point n° 2 : signature d’un accord de confidentialité impliquant la communication de son identité civile pour le cas où vous auriez accès à des données personnelles dans l’exercice de vos fonctions.

1 : Rien à foutre si les modos ont plus de pouvoir si ça peut aider.
2 : Pour les données personnelles, le fait de donner son identité civile et donc de faire le rapprochement : lui joue tel  perso, me bloque un peu : /. Et puis comme tu l'a souligné, on perd une partie de notre "liberté". Après personnellement, je ne vais pas me proposer et ce sujet est plutôt à voir avec ceux qui souhaiterait rejoindre le staff.

1. Je m'en serais jamais servi en tant que modo. Je n'ai aucun problème avec ça. (après y'a un léger risque d'abus, mais si la confiance règne, okay, pas de soucis.)

2. Document écrit avec nom, prénom, et adresse? Non. Definitely not.
Je me détache absolument de ce que fait Ahri, sa perversion n'est pas la mienne, mais avoir mon 'vrai' nom et ma gueule (parce que si t'as mon nom, n'importe quel réseau social peut très bien s'occuper de me trouver ma gueule) dessiné à travers elle est totalement hors de question. 
Et je serais pas seul dans ce cas. Tu as bien expliqué le soucis aussi, Alice.

Merci de vos avis.

Sinon, pour couper court à certains fantasmes, l'adresse IP que nous détenons ne nous permet pas d'obtenir votre nom et adresse. C'est le FAI qui, à partir de l'adresse IP, dispose de ces informations. Mais un FAI commettrait une grave faute en transmettant ces informations sur simple demande. Il faut donc saisir le juge pour que celui-ci ordonne au FAI de communiquer ces données, ce que le juge n'accorde pas facilement.

1 : Rien à dire sur l'extension des droits, suffit de ne pas enfreindre les règles pour ne pas avoir de problèmes. Mais j'espère que les bannissements sont toujours soumis à une concertation générale de l'ensemble du Staff.

2 : Je ne suis pas contre le principe, mais un accord de confidentialité ne reste qu'un papier. Si un Modérateur mal intentionné décide de voler des infos personnelles, je ne vois pas bien en quoi un accord va changer quelque chose.

Poitn n°1 : Je ne vois pas pourquoi un modo devrai avoir accès à une information privée telle que l'ip. Le reste me semble ok et je n'ai rien à y redire. Le ban étant probablement par ip, il n'ont pas besoin d'y avoir accès pour nous ban par ip avec smf. Quand au pouvoir de sanction, je pense qu'il ne sont pas voté par hasard, et s'il y a abus on peut toujours revenir/venir sur le discord s'expliquer avec un second compte dans le pire des cas accompagné d'un proxy.

Point n°2 : Je suis contre également, si cela vient à être le cas je ne postulerai jamais comme modo. Déjà en l'état je me suis refusée à candidater car je n'ai pas envie de devoir révéler mon identité de près ou de loin à qui que ce soit. Si cela venait à être une obligation je pense que certains membres du staff préferons partir. Ou quitter à minima leurs postes. De plus les candidatures seraient certainements impactées, des gens voulant potentiellement aider pourraient être refroidis par cette mesure. Ce qui à terme peut entrainer un manque d'effectif, qui lui-même pourrait mener ce forum à sa perte. D'autant que rien ne justifie ce procédé, si j'en comprend l'idée, et que je peux comprendre la nécéssiter de savoir qui est le fautif... Je pense qu'il existe d'autres façons de faire. Déjà rendre les données inaccessibles (voir avis d'Alice sur les soucis techniques) serait bien, mais franchement... Et je rejoins Antares, cet accord n'ajoute aucune protections aux concernés, il permet juste d'avoir un mouton noir...

Les sanctions sont par nature discutées au sein du Staff.

Un membre du Staff peut en revanche prendre une mesure provisoire justifiée par l'urgence (genre un floodeur compulsif), sa décision étant ensuite confirmée par ses collègues.

@Veronika : je n'ai pas compris un point de ton raisonnement : tu dis que nous n'avons pas besoin accès à l'adresse IP, tout en reconnaissant qu'on doit bannir par IP. Mais on ne peut pas le faire si nous n'avons pas accès à l'adresse IP, justement.

@Alice : J'entend par là, que d'un point de vue programmation sur smf il n'est pas compliqué de limité l'affichage de la donnée "ip" à un rang précis. Donc aux admin par exemple, cela n'impactant pas le fonctionnement de la fonction de ban par ip. Le modérateur pourra toujours faire son ban, mais l'ip sera "censurée" pour lui. Il choisira juste la case à cocher "bannir l'adresse ip (xxx.xxx.xxx.xxx)" où l'adresse sera pour son rang "absente de l'affichage".

n-b : cette méthode peut s'appliquer à tout les champs en partie admin (e-mail, age, nom, etc)

Ok.

Au-delà de cette fonctionnalité, il faut aussi savoir que notre système de bannissement n'est pas forcément optimal, surtout face à des adresses IP dynamiques. Si on floute l'adresse IP, on se prive du travail de recoupage qu'on peut faire pour retrouver des membres qui contournent leur bannissement en changeant l'adresse IP, puisque, même avec une adresse dynamique, il y a certains éléments qu'on retrouve, et qui m'ont par exemple été utiles contre Ludya.

1) ça ne me dérange pas ^^

2) je suis contre pour les mêmes raison que Ahri et d'autres ^^

Pour ma part je trouve que rien ne justifie le fait que les staffieux soient tenus de fournir leur informations IRL à l'hébergeur du forum. Notamment pour le fait que cela risque de gêner bon nombre de membres et de les dissuader de postuler comme modos.

Avoir quelqu'un qui connaissent les vrais identités de nos admins ne risque pas d’empêcher un admin de mal se comporter du moment qu'il restera difficilement poursuivable dans la pratique s'il réside dans un autre pays que la France. Cela va juste générer les modos en place qui se sentiront inutilement fliqué par le président de l'association et certains ne voudront plus continuer à occuper un poste de modérateur si ça revient à devoir déballer à quelqu'un qu'ils sont bien admins dans une association qui gère un forum de cul.

Comprenez que c'est pas le genre de chose qui va motiver un modo à mieux faire son travail et si jamais un d'entre eux venait à voler des données pour s'en servir contre le forum, je doute que ça console vraiment que notre hébergeur puisse révéler à tous qu'il est ivoirien à fréquenter un cybercafé. Qu'est ce qu'il nous garantit que le modo malintentionné donnera son vrai profil irl dans l'accord en plus ?  

Pour le coup je trouve que cet accord de confidentialité ne protège en rien le forum d'un mauvais admin mais qu'il est sur qu'il va limiter le nombre de staffieux en service puisqu'une partie d'entre eux démissionneront s'ils voient qu'on les poussent à révéler leurs informations par manque de confiance en eux. On va faire comment si on ne trouve plus personne pour être modos parce que les gens on pas envie de devoir donner leur informations privées au président d'un forum de cul ? LGJ va ralentir et on aura l'air fin avec juste 2-3 staffieux pour tout faire.

Salut, je me permet de donner mon avis aussi petit soit-il.  

Point 1 : J'en ai rien à faire que la modération ait plus de droit, tant qu'il n'y a pas d'abus et que ça peut les aidés à faire leur travail. D'accord, pourquoi pas.  

Point 2 maintenant :  Je rejoins donc ce que tous les autres ont dit sur ce sujet. Ce serait à mon sens contre productif, pour LGJ.  Je suis contre.


Ps Alice -> : Pour l'adresse IP, avec une simple adresse  IP fixe pas protégée, il est possible de déterminer l'adresse postale de l'ordinateur qui l'utilise, certes on a pas accès au numéros d'appart, exact. Mais il est tout à fait possible de tracer quelqu'un avec et ce FAI ou pas FAI.  La réalité est bien pire qu'un simple fantasme pour qui sait utiliser un minimum l'informatique.  Prudence est donc de rigueur. En plus d'autres critères permettent de localiser encore plus précisément un appareil spécifique. Après, je ne suis pas calé dans le domaine, mais je sais au moins la base.  

1/ Aucun problème, si d'aventure un ban était injustifié, il serait facile pour le reste du staff de revenir dessus et de sanctionner un modo qui aurait abusé de son pouvoir. Cette extension de leurs pouvoirs ne m'inquiète pas du tout. Ensuite, si quelqu'un veut vraiment obtenir les IP de certains membres, encore faut-il pouvoir exploiter ces IP derrière.

2/ Contre, rien n'empêche la personne de donner un faux nom et vous pouvez être sûrs qu'une personne mal intentionnée le fera. Je pense aussi que l’anonymat est essentiel sur un forum comme LGJ, tout comme sur le net en général. De toute façon, en cas de fuite des données il suffira de contacter la police qui se chargera d'enquêter avec le FAI et de retrouver la personne. Je ne vois pas l'intérêt de faire signer ces accords non plus, ça risque juste de créer un climat de suspicion.

Je serai plutôt bref :

1) R.à.F. de donner ces informations aux modos. Ils jouent un rôle capital dans le filtrage initial des membres, en validant leur fiches par exemple. Leur laisser poser les mains là-dessus en leur coupant les doigts n'a pas vraiment de sens. Rendez-leur leurs doigts ! Je me positionne pour.

2) Je tiens à noter que j'ai sauté toutes tes prises de position personnelles, mais bon, j'ai eu un aperçu et je comprends très bien ton refus, comme je pense avoir le même développement personnel. Le type de role play mené sur LGJ n'est pas vraiment le genre qu'on souhaite associer à son nom en général, et, au-delà de ça, je suis partisan d'un éparpillement minimal des données personnelles. Cette diffusion de nos informations personnelles hors de la communauté de l'anneau pénien me paraît dangereuse et va contre mes opinions. Je me positionne contre.

Je me permets simplement de poster une explication plus complète sur ce qu'est un "hash", comment ça fonctionne et ce que ça peut changer. Il ne s'agit ici nullement de dire "pour" ou "contre" ce principe mais simplement de dire de quoi il s'agit pour bien comprendre ce que ça implique.

Naturellement afin de rester compréhensible je ne vais pas entrer dans les détails techniques, mais simplement me limiter au principe général.

Un hash, c’est quoi ?

Le hash est le résultat d’un algorithme (une suite d’opérations mathématiques) visant à établir une empreinte unique et fiable d’une donnée quelconque. La donnée en question peut-être une image, un son, un texte, une séquence de chiffre ou n’importe quoi d’autre.

Contrairement à un algorithme de compression (tel que celui de ZIP) ou de cryptage (tel que AES), un algorithme de hashage est à sens unique. En d'autres termes, il est possible d'obtenir le hash à partir de la donnée initiale, mais il est impossible d'obtenir la donnée initiale à partir du hash. Cependant, le hash est constant, la même donnée de départ donnera toujours le même hash à la fin.

On peut aisément faire le parallèle avec les empreintes digitales. Une empreinte digitale est unique à une personne, mais ne permet pas de décrire la personne directement. Un hash est unique à une donnée, mais ne permet pas de déduire la donnée. C'est pour cela que l'on utilise parfois le terme "d'empreinte MD5", MD5 étant un algorithme de hashage parmi d'autre.

Un hash, comment ça marche ?

Honnêtement, je suis loin d'avoir le niveau de math nécessaire pour vous expliquer la suite d'opération effectuer. Mais en sois là n'est pas l'important, ce qu'il faut retenir c'est qu'un algorithme de hashage va prendre une donnée en entrée et fournir en sortie une suite de caractère unique correspondant à cette donnée et à cet algorithme (le "hash"). D'une certaine façon, on peut imaginer ça comme un tableau à deux colonnes comme celui-ci, comportant à gauche une donnée et à droite un hash MD5.

En regardant rapidement, vous pouvez constater vous-même que :

   - 2 mots différents auront une signature totalement différente.
   - 2 suites identiques à un seul chiffre près donne des résultats totalement différents.
   - 2 mots identiques donne exactement le même résultats.

Remarquer aussi que l'image à une signature qui ressemble à n'importe quelle autre, même si elle fait un peu plus de 8Ko sa signature reste unique et indistinguable des autres.

En sois, ça n'est rien de plus que ça. Une signature constante pour une donnée, quel que soit l'endroit et le moment où vous la calculé elle sera toujours identique.

Qu’es que ça change ?

En sois, tout et rien.

Tout, dans le sens une information (tel qu'une IP) passer en travers un hash devient impossible à connaître directement, elle n'a donc plus grand-chose de sensible. Je peux vous donner les hashs de mon adresse IP, de mon adresse complète ou même de mon numéro de carte bleue, personne pourrait rien en faire de gênant. Il n'y a donc aucune raison de se soucier de qui les manipules.

Rien, dans le sens ou le hash d'une IP lui est intrinsèquement lié. Bannir un hash reviendra à bannir l'IP correspondante, c'est la même chose pour un serveur programmé pour le faire. Et comparer deux hash sur le forum revient à comparer 2 IP entre elle. Je peux me pointer avec 2 comptes différents, j'aurais la même IP et donc le même hash. Je peux me connecter au même compte avec 2 IP différentes, j'aurais 2 hash différents.

La seule chose qui change, c'est qu'on manipule une empreinte et non plus l'IP en elle-même. Je ne vois pas pour ma part de cas de figure courant où cela devient gênant pour un moderateur. Le hash n'aillant rien de vraiment personnel de par sa nature, la question de savoir précisément qui va travailler avec n'a plus lieu d'être à mon sens si cette option est retenue.

Edit : oops, pas le bon compte. Si des gens ce demande, c'est Seth Sternam