Politique de protection des données personnelles
Il n'y a rien de plus collectif que les données personnelles.
Le présent document définit les modalités de collecte et de traitement des données à caractère personnel effectués par la FELINN, ainsi que les précautions mises en place pour la sécurité des services. Sont considérés comme responsables de traitement les membres du conseil de la FELINN, joignables par la présente adresse email : gro.nnilef@opd.
Définitions
Données personnelles
Les données personnelles sont des informations qui se rapportent à des personnes physiques. Dans les données personnelles, il y a votre adresse mail (qui vous identifie sur Internet), la liste de vos contacts, les messages que vous envoyez, votre adresse IP, les cookies ; mais aussi d'autres informations plus obscures comme les méta-données. Les méta-données sont (comme l'expression l'indique) des données à propos des données, typiquement des traces de vos activités laissées sur les serveurs : l'heure à laquelle un message a été envoyé, sa provenance, son auteur·rice ainsi que son destinataire sont typiquement des méta-données. Elles informent non pas du contenu, mais des conditions d'envoi du message. À ce titre, des méta-données peuvent tout à fait constituer des données personnelles.
Chiffrement
Le chiffrement (encryption en anglais) est un procédé qui permet de rendre des données compréhensibles uniquement par les personnes possédant la clé pour les déchiffrer. On distingue deux types de chiffrement, symétrique et asymétrique :
- Dans le cas du chiffrement symétrique, une clé permet de déchiffrer ce qui a été chiffré avec la même clé. Ce type de chiffrement est notamment utilisé pour protéger des données statiques.
- Dans le cas du chiffrement asymétrique, on a deux versions de la clé, chacune ne pouvant déchiffrer que ce qui a été chiffré par l'autre. Par convention, l'une est appelée « clé publique », et la seconde « clé privée ». Ce type de chiffrement est notamment utilisé pour protéger les communications.
Responsable de traitement
Un·e responsable de traitement est une personne physique ou morale (une association par exemple) qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l'objectif et la façon de le réaliser.
Pourquoi c'est important ?
Ne pas se préoccuper de la surveillance de masse parce que vous n’avez rien à cacher, c’est comme ne pas se préoccuper de la liberté d’expression parce que vous n’avez rien à dire
Edward Snowden
La protection des données personnelles constitue un véritable enjeu de société :
- pour protéger l'intimité numérique car personne n'a « rien à cacher ».
- pour lutter contre le pouvoir de domination des acteurs de la surveillance numérique lié à l'exploitation des données personnelles. Pour plus d'information sur nos motivations vous pouvez lire la charte.
Ces deux aspects se recoupent, mais on peut citer diverses affaires pour illustrer leur importance respective :
- la fuite du service de rencontre en ligne OkCupid : les noms d'utilisateur·trice·s, localisations et préférences sexuelles de 70 000 personnes se sont retrouvés dans la nature
- le licenciement de salarié·es d'Amazon en raison de leurs orientations politiques
- Cambridge Analytica : des données personnelles issues de Facebook ont permis à une société de tenter de manipuler les élections présidentielles américaines
Cependant, il ne faudrait pas croire que seuls les scandales donnent de l'importance à la protection des données personnelles. En effet, des informations telles que « qui a accès à quoi ? », « selon quelles conditions ? », constituent des enjeux pour n'importe quelle société ayant la volonté d'avoir un fonctionnement démocratique.
Certain·e·s pensent qu'il n'est pas forcément très important de protéger ces données, ou pire, que le droit à l'intimité ne sert à rien, et qu'il faudrait que certain·e·s aient accès à ces données sans restriction. À la FELINN, nous pensons tout le contraire, et c'est pourquoi on s'emploie à protéger vos données, dans la mesure de nos compétences et de ce qui est faisable techniquement.
Vos données personnelles ne sont et ne seront jamais partagées ni vendues à des tiers sans votre autorisation.
Gestion des mots de passe
Nous n'avons pas accès à votre mot de passe. Pour l'instant, nous pouvons le changer si vous l'avez perdu, mais nous nous engageons fermement à ne jamais le changer sans votre permission.
N'hésitez pas à consulter nos recommandations pour la création d'un bon mot de passe ici !
Informations stockées
Général
Les emails des utilisateurices inscrit·es sur les services de la FELINN, lorsqu'ils sont connus des membres du conseil collégial, sont répertoriés dans un fichier chiffré accessible uniquement par ces mêmes membres du conseil.
Cloud
Les documents, images, contacts, et agendas que vous téléversez ou synchronisez sur notre instance Nextcloud sont stockés sur notre serveur. Nous ne regardons pas ce que vous y mettez. Cependant, vous pouvez librement choisir de partager certaines données à d'autres membres de la FELINN, à d'autres utilisateur·trice·s Nextcloud, ou bien publiquement.
Mail
Vos mails envoyés, reçus, et vos brouillons sont stockés sur notre serveur. Nous ne regardons pas vos communications. Cependant, sachez que si vous ne chiffrez pas vos communications, d'autres intermédiaires peuvent y avoir accès (tels que Gmail ou n'importe quel fournisseur de mail). Les destinataires de vos messages auront bien évidemment accès à ce que vous leur communiquez.
Git
Vos projets -- et les tickets (issues) qui y sont associés --, et ceux auxquels vous contribuez, sont stockés sur notre serveur. Nous ne regardons pas vos projets privés. Cependant, les dossiers publics ont vocation à être accessibles publiquement. Pour des questions d'archivage et de gestion, nous gardons en mémoire les tickets créés par les membres sans limitation de durée.
Forum
Vos messages publiés sur le forum de la FELINN sont stockés sur notre serveur et sont lisibles par toustes les membres ayant accès aux catégories dans lesquelles vous les publiez. Le compte d'administration a accès à l'ensemble des catégories.
Informations collectées
Cookies
Pour que vous puissiez rester connecté·es sur votre session entre deux navigations, votre navigateur stocke un identifiant de session dit cookie sur votre machine personnelle. Ce cookie est supprimé immédiatement après que vous vous soyez déconnecté·es. En aucun cas nous ne nous en servons pour communiquer vos informations à des tiers.
Informations que nous collectons malgré nous
Adresses IP
Nous collectons les adresses IP des machines à partir desquelles les utilisateurices se connectent à nos services. À terme, nous avons vocation à pseudonymiser pour les rendre inexploitables par nous ou par une tierce personne. Quoiqu'il en soit, nous conservons ces données pendant deux semaines, soit la durée requise par le droit européen.
Notre position sur l'anonymat
Nous pensons que chacun·e doit pouvoir évoluer sur Internet et y échanger messages et information sans avoir à donner son identité.
En pratique, l'adhésion à la FELINN ne requiert pas de donner son état civil : seuls un pseudonyme et une adresse mail sont requis.
En cas de demande des autorités
Comme ne cessent de le dénoncer toutes les associations de protection de la vie privée, le régime légal qui entoure l'utilisation d'internet par tout un chacun·e se durcit très régulièrement (voir à ce sujet le blog de la Quadrature du Net). Il devient ainsi de plus en plus concevable qu'une association d'hébergement telle que la nôtre se trouve un jour ou l'autre confrontée à une demande de transmission d'informations personnelles concernant nos membres utilisateurices.
Si une telle situation devait advenir, notre positionnement serait simple : à l'exception de requêtes portant sur des comportements que nous considérons nous-mêmes comme graves et contraires à notre charte, nous ferons tout ce qui est en notre pouvoir pour transmettre le moins d'information possible et le moins rapidement possible. La ou les personnes concerné·es seront averti·es de cette requête.
En cas de signalement d'un contenu considéré comme illicite, et si la justice ouvre une enquête, il serait possible pour les autorités de nous demander les données suivantes en vertu du décret n°2011-219 du 25 février 2011 :
- L'identifiant de la connexion à l'origine de la communication
- L'identifiant attribué par le système d'information au contenu, objet de l'opération
- Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus
- La nature de l'opération
- Les date et heure de l'opération
- L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni
- Au moment de la création du compte, l'identifiant de cette connexion
- Les nom et prénom ou la raison sociale
- Les adresses postales associées
- Les pseudonymes utilisés
- Les adresses de courrier électronique ou de compte associées
- Les numéros de téléphone
- Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour