MDLPD (Meta-Data Leak Preliminary Declaration) est un projet de norme valorisant les logiciels plus respectueux de la vie privée de leurs utilisateurs, garantissant une information préalable de l'utilisateur sur les éventuelles fuites de méta-données.
Go to file
2021-04-05 14:20:33 +02:00
img Commit initial 2021-02-28 11:52:01 +01:00
LICENSE Ajout licence 2021-04-05 14:20:33 +02:00
LICENSE.fr Ajout licence 2021-04-05 14:20:33 +02:00
README.fr.md Ajout licence 2021-04-05 14:20:33 +02:00
REQS.fr.md Commit initial 2021-02-28 11:52:01 +01:00

La norme MDLPD (Meta-Data Leak Preliminary Declaration)

Pourquoi ?

De plus en plus de logiciels ont besoin, au moins pour une partie de leurs fonctions, de communiquer via Internet, en laissant donc échapper des méta-données hors du terminal de l'utilisateur final. Ces fuites s'effectuent le plus souvent à l'insu de l'utilisateur final du logiciel.

Or la collecte des méta-données par un tiers peut être une matière suffisante pour porter atteinte à la vie privée de l'utilisateur.

Cette norme vise à valoriser les logiciels plus respectueux de la vie privée de leurs utilisateurs, fournissant une information préalable de l'utilisateur sur les éventuelles fuites de méta-données pour lui permettre d'agir en conséquence (choix d'un autre logiciel, paramétrage du logiciel, utilisation du logiciel uniquement dans un environement isolé, etc.).

Comment ?

Un ensemble d'exigences doit être rempli pour prétendre respecter la norme : se référer à REQS.fr.md.

En bref, la norme se décline en plusieurs composantes, suivant que le logiciel respecte :

  • l'information préalable de l'utilisateur (IW) ou non (NW)
  • le caractère systématique de la fuite (IS) ou non (lié à une fonction secondaire) (NS)
  • le caractère configurable de la fuite (IC) ou non (NC)

Exemple : VLC affiche une fenêtre au premier lancement pour informer du risque lié à la récupération automatique des jaquettes de CD et autres métadonnées liées à la liste de lecture => IW ; La fuite est systématique (vers freedb.videolan.org) => IS ; Cette fuite peut être évitée par désactivation du service ou choix d'un serveur de donnée de confiance => IC. VLC sera donc qualifié IW-IS-IC. En prime, non requis dans la norme, la configuration (désactivation) de la fuite peut être faite dès la fenêtre du 1er lancement.

Les composantes peuvent être résumées par le tableau ci-dessous, avec les pictogrammes associés : Résumé des composantes et pictogrammes

L'éditeur d'un logiciel peut s'auto-évaluer pour s'afficher respectant la norme (voir les conditions stipulées dans la norme REQS.fr.md). Par ailleurs, un index collaboratif permet de catégoriser le respect ou non des logiciels, et notamment avertir si la déclaration de l'éditeur ne s'avère pas justifiée.

Index des logiciels respectant la norme

Un index pourra être proposé pour mettre en avant les logiciels respectant la norme, mais aussi pour permettre de contester, si besoin, le statut auto-établi par l'éditeur du logiciel.

Un logiciel pourra avoir différents status :

  • inconnu : c'est l'état par défaut lorsqu'aucune évaluation du logiciel n'est disponible.
  • évalué : voir les composantes ; une preuve conduisant au niveau affiché sera enregistrées.
  • contesté : désaccord sur le niveau à attribuer.

Nota : un même logiciel peut, suivant sa version ou le paquetage de la distribution, parfois respecter et parfois ne pas respecter la norme. Voir le détail dans REQS.fr.md.

Quelques exemples

de logiciel respectant déjà la norme ; si non, pourquoi :

(index collaboratif à venir)

FAQ

Quelle est la pertinence de cette norme alors que le RGPD nous protège déjà ? Le RGPD ne protège que les données identifiables, ce qui est nécessaire mais non suffisant pour qui veut réellement protéger sa vie privée.

Je n'utilise que des logiciels libres, cette norme est donc inutile pour moi ? Les licences libres n'accordent que des droits sur la réutilisation du logiciel, mais n'impliquent aucun engagement en matière de vie privée. Vous pouvez consulter l'index pour vous en convaincre.

Si je n'utilise que des logiciels respectant cette norme, ma vie privée est protégée ? Non, cela vous garanti simplement que vous serez informés avant que votre vie privée soit menacée.

Quels logiciels sont concernés par cette norme ? A priori tout logiciel en interface avec l'utilisateur. L'index se concentrera dans un premier temps sur des logiciels libres pour les distributions Linux. Pour les app Android, l'utilisateur pourra se reporter sur les indications d'anti-fonctionalités de F-Droid.

Mon logiciel favori XXX n'est pas présent, que puis-je faire ? La norme est nouvelle donc peu de logiciels sont évalués. Tant que la norme est expérimentale (version alpha), merci de ne pas solliciter l'éditeur du logiciel pour demander de s'y conformer.

En tant qu'utilisateur, comment utiliser l'index ? L'utilisation de l'index a particulièrement du sens avant d'installer ou d'utiliser un nouveau logiciel pour la première fois, pour savoir si vous devez vous protéger/méfier de ce logiciel.

J'édite/publie un logiciel, cette norme m'intéresse et mon logiciel semble compatible. Puis-je revendiquer la compatilité de mon logiciel sur mon site ? Oui, en précisant bien la version de la norme avec laquelle le logiciel est revendiquée conforme (alpha).

J'ai un doute sur la compatbilité de mon logiciel, que puis-je faire ? La norme vise à être non-ambiguë et vérifiable par chacun selon des critères factuels. Néanmoins, dans cette phase alpha des clarifications de la norme peuvent être requises. Vous pouvez aborder la question sur le salon XMPP sécurité-vie-privée@chat.jabberfr.org ou via rapport de bug.

Licence

Cette norme est publiée sous licence libre CC0 en revanche l'appelation MDLPD ne doit pas être réutilisée en cas de republication du projet.