Je ne sais pas trop sur quelle communauté en parler car lemmy.ml et lemmy.world semblent être dans le même panier, heureusement on est libres ici sur notre instance locale
Je ne sais pas trop sur quelle communauté en parler car lemmy.ml et lemmy.world semblent être dans le même panier, heureusement on est libres ici sur notre instance locale
C’est une bonne question, est-ce possible au fediverse de l’être ? Sachant que beaucoup de données sont partagées entre un grand nombre d’instances ?
(attention, je ne suis pas un professionnel)
Trop long, pas lu : C’est le RGPD qui n’est pas totalement conforme à la réalité. Mais on peut partiellement le respecter.
Version longue : C’est une très bonne question. Le RGPD n’a pas été prévu pour ce genre de cas, donc c’est difficile de dire si c’est possible de complètement le respecter. Mais on peut au moins essayer de se conformer à certaines obligations et en respecter l’esprit.
Déjà il faut savoir si le RGPD est applicable. Voyons ce qu’est une donnée personnelle. Selon la CNIL :
Ainsi, l’ensemble des contenus postés, même si ils ne contiennent pas le nom de la personne, même si il n’y a pas d’adresse mail associé, les horaires de présence sur la plateforme, peuvent être ensemble considérés comme des données personnelles selon la CNIL. Dans le RGPD, c’est dit plus “froidement” :
On va présumer qu’il s’agit bien de données personnelles même si dans certains cas, c’est possible de contester cela.
Maintenant voyons les exceptions :
À partir du moment où c’est une instance avec des comptes de personnes qui ne sont pas des connaissances, on dépasse le cadre strictement personnelle sans ambiguïté. Par contre quelqu’un qui a une instance juste pour lui, est-ce qu’il est soumis au RGPD ? Je n’ai jamais trouvé quelque chose qui définissait “strictement personnelle ou domestique” en limitant la définition.
Maintenant, qui est responsable du traitement des données personnelles ? C’est là qu’il y a un problème, le même que pour les mails mais en plus important. Il y a plein de personnes qui traitent les données, mais contrairement aux mails où l’on sait qu’il s’agit des serveurs des destinataires et de l’émetteur, il y a possiblement presque une infinité de serveurs. C’est déjà un premier problème, qui doit se conformer au RGPD par rapport à la personne dont les données sont traitées ? Son instance ? Toutes les instances ? Mettons ça de côté.
Il faut notamment respecter plusieurs droit : droits d’accès, droit à l’information, droit à la rectification, droit à l’oubli. Il faut aussi une base légale pour la collecte des données, s’assurer de les sécuriser, déterminer une durée de conservation. Il faut aussi informer en cas de fuite de donnée.
Pour le droit à l’information, c’est pas compliqué, il suffit de dire quelles données son traitées, comment, pourquoi (la base légale notamment), la durée de conservation et de préciser que certaines données sont traitées par plein de serveurs sur toute la planète et que c’est publique et qu’il est possible qu’elles ne soient pas supprimées lors d’une demande de suppression.
Pour le droit d’accès et la portabilité, je crois que presque tout est accessible depuis l’interface sauf les votes (pour lemmy). Il faudrait faire quelque chose pour ça. Mais pour les autres instances, est-ce qu’on serait en droit d’aller leur demander ce qu’elles savent sur nous ?
Pour le droit à la rectification et à l’oubli, on ne peut que demander gentiment aux autres serveurs de supprimer le contenu mais pour les mails, l’impossibilité de supprimer les mails sur les autres serveurs n’a jamais eu l’air de poser problème (mais la différence c’est que ce n’était pas publique). Pour les images, ça doit pas être compliqué à supprimer automatiquement si ce n’est pas déjà le cas.
Et puis il y a la question du territoire, comment ça se passe pour les serveurs qui traitent les données de résidents européens mais qui ne sont pas dans un pays conforme pour la protection des données ? Encore une fois, je n’ai pas l’impression que les mails ont posé problème mais c’était pas le même niveau de décentralisation (et en plus la plupart des gens utilisent un gros fournisseur de mails).
On a l’impression que le RGPD a été prévu pour les cas où il y a une personne morale qui récolte et traite les données (éventuellement avec quelques sous traitants) mais absolument pas pour les systèmes décentralisés. On dirait qu’ils ont juste pensé aux GAFAM.
Il y a d’autres protocoles décentralisés que ActivityPub, par exemple il y a le protocole matrix et pour ça aussi niveau RGPD ça pose des questions.
Donc, non, on ne peut pas parfaitement respecter le RGPD, mais le problème, c’est plutôt qu’il n’a jamais été prévu pour ça et que son application est ainsi incertaine. Mais comme les autorités de protection des données personnelles sont généralement laxistes, il n’y a pas de risque de condamnation, et de toute façon je crois qu’elles réalisent une demande de mise en conformité d’abord.