80 lines
5.6 KiB
Markdown
80 lines
5.6 KiB
Markdown
|
# La norme MDLPD (Meta-Data Leak Preliminary Declaration)
|
||
|
|
||
|
## Pourquoi ?
|
||
|
|
||
|
De plus en plus de logiciels ont besoin, au moins pour une partie de leurs de fonctions, de communiquer via Internet, en laissant donc échapper des méta-données hors du terminal de l'utilisateur final. Ces fuites s'effectuent le plus souvent à l'insu de l'utilisateur final du logiciel.
|
||
|
|
||
|
Or la collecte des méta-données par un tiers peut être une matière suffisante pour porter atteinte à la vie privée de l'utilisateur.
|
||
|
|
||
|
Cette norme vise à valoriser les logiciels plus respectueux de la vie privée de leurs utilisateurs, qui garantissant une information préalable de l'utilisateur sur les éventuelles fuites de méta-données pour leurs permettre d'agir en conséquence (consentement en connaissance de cause, adaptation de l'utilisation, isolement du logiciel / pare-feu, choix d'un autre logiciel, etc.).
|
||
|
|
||
|
|
||
|
## Comment ?
|
||
|
|
||
|
Un ensemble d'exigences doit être rempli pour prétendre respecter la norme : se référer à [REQS.fr.md](REQS.fr.md).
|
||
|
|
||
|
|
||
|
En bref, la norme se décline en plusieurs composantes suivant que le logiciel respecte :
|
||
|
|
||
|
* l'information préalable de l'utilisateur (**`IW`**) ou non (**`NW`**)
|
||
|
* le caractère systématique de la fuite (**`IS`**) ou non (lié à une fonction secondaire) (**`NS`**)
|
||
|
* le caractère configurable de la fuite (**`IC`**) ou non (**`NC`**)
|
||
|
|
||
|
*Exemple : VLC : affiche une fenêtre au premier lancement pour informer du risque lié à la récupération automatique des jaquettes de CD et autres métadonnées liées à la liste de lecture => `IW` ; La fuite est systématique (vers freedb.videolan.org) => `IS` ; Cette fuite peut être évitée par désactivation du service ou choix d'un serveur de donnée de confiance => `IC`. VLC sera donc qualifié `IW-IS-IC`. En prime, non requis dans la norme, la configuration (désactivation) de la fuite peut être faite dès la fenêtre du 1er lancement.*
|
||
|
|
||
|
Les composantes peuvent être résumés par le tableau ci-dessous, avec les pictogrammes associés :
|
||
|
![Résumé des composantes et pictogrammes](img/tableau_synthese_MDLPD_.png)
|
||
|
|
||
|
L'éditeur d'un logiciel peut s'auto-évaluer pour s'afficher respectant la norme (voir les conditions stipulées dans la norme [REQS.fr.md](REQS.fr.md)). Par ailleurs, un index collaboratif permet de catégoriser le respect ou non des logiciels, et notamment avertir si la déclaration de l'éditeur ne s'avère pas justifiée.
|
||
|
|
||
|
|
||
|
## Index des logiciels respectant la norme
|
||
|
Un index pourra être proposé pour mettre en avant les logiciels respectant la norme, mais aussi pour permettre de contester, si besoin, le statut auto-étali par l'éditeur du logiciel.
|
||
|
|
||
|
Un logiciel pourra avoir différent status :
|
||
|
|
||
|
* `inconnu` : c'est l'état par défaut lorsqu'aucune évaluation du logiciel n'est disponible.
|
||
|
* `évalué` : voir les composantes; une preuve conduisant au niveau affiché sera enregistrées.
|
||
|
* `contesté` : désaccord sur le niveau à attribuer.
|
||
|
|
||
|
|
||
|
**Nota** : *un même logiciel peut, suivant sa version ou le paquetage de la distribution, parfois respecter et parfois ne pas respecter la norme. Voir le détail dans [REQS.fr.md](REQS.fr.md).*
|
||
|
|
||
|
|
||
|
## Quelques exemples
|
||
|
de logiciel respectant déjà la norme; si non, pourquoi :
|
||
|
|
||
|
(index collaboratif à venir)
|
||
|
|
||
|
## FAQ
|
||
|
**Quelle est la pertinence de cette norme alors que le RGPD nous protège déjà ?**
|
||
|
Le RGPD ne protège *que* les données identifiables, ce qui est nécessaire mais non suffisant pour qui veut réellement protéger sa vie privée.
|
||
|
|
||
|
**Je n'utilise que des logiciels libres, cette norme est donc inutile pour moi ?**
|
||
|
Les licences libres n'accordent que des droits sur la réutilisation du logiciel mais n'impliquent aucun engagement en matière de vie privée. Vous pouvez consulter l'index pour vous en convaincre.
|
||
|
|
||
|
**Si je n'utilise que des logiciels respectant cette norme, ma vie privée est protégée ?**
|
||
|
Non, cela vous garanti simplement que vous serez informés *avant* que votre vie privée soit menacée.
|
||
|
|
||
|
**Quels logiciels sont concernés par cette norme ?**
|
||
|
A priori tout logiciel en interface avec l'utilisateur.
|
||
|
L'index se concentrera dans un premier temps sur des logiciels libres pour les distributions Linux. Pour les app Android, l'utilisateur pourra se reporter sur les indications d'anti-fonctionalités de [F-Droid](https://f-droid.org/fr/docs/Anti-Features/).
|
||
|
|
||
|
**Mon logiciel favori XXX n'est pas présent, que puis-je faire ?**
|
||
|
La norme est nouvelle donc peu de logiciels sont évalués.
|
||
|
Tant que la norme est expérimentale (version alpha), merci de ne pas solliciter l'éditeur du logiciel pour demander de s'y conformer.
|
||
|
|
||
|
**En tant qu'utilisateur, comment utiliser l'index ?**
|
||
|
L'utilisation de l'index a particulièrement du sens *avant* d'installer ou d'utiliser un nouveau logiciel pour la première fois, pour savoir si vous devez vous protéger/méfier de ce logiciel.
|
||
|
|
||
|
**J'édite/publie un logiciel, cette norme m'intéresse et mon logiciel semble compatible. Puis-je revendiquer la compatilité de mon logiciel sur mon site ?**
|
||
|
Oui, en précisant bien la version de la norme avec laquelle le logiciel est revendiquée conforme (alpha).
|
||
|
|
||
|
**J'ai un doute sur la compatbilité de mon logiciel, que puis-je faire ?**
|
||
|
La norme vise à être non-ambigüe et vérifiable par chacun selon des critères factuels. Néanmoins, dans cette phase alpha des clarifications de la norme peuvent être requises. Vous pouvez aborder la question sur [sécurité-vie-privée@chat.jabberfr.org](xmpp:sécurité-vie-privée@chat.jabberfr.org?join) ou via rapport de bug.
|
||
|
|
||
|
|
||
|
##Licence
|
||
|
|
||
|
Cette norme est publiée sous licence libre (à définir) en revanche l'appelation `MDLPD` ne doit pas être réutilisée en cas de republication du projet.
|