#1 2005-10-16 12:40:10

Vassae
Membre
2005-01-13
127

refonte de l'historique, éthique et anonymat

edit de z0rglub: cette discussion a commencé suite au billet de pierrick (=z0rglub) sur son blog personnel concernant l'historique : Historique à valeur ajoutée. Les messages initiaux d'Vassae et pierrick sont transférés sur le forum dans un objectif de partage.

Dans les spécifications, on peut lire "Big Brother is watching you" :) et cette remarque je me la suis faite dès la lecture de cet article, avant d'aller voir les spécifications. Et il me semble intéressant de se poser la question de jusqu'où peuvent ou doivent aller les logs.

Si actuellement il est discuté d'un nouveau projet de loi sur la conservation des logs par les FAI pendant deux ans, à l'opposé, la CNIL impose un respect de l'anonymat accrus (à titre de rappel, même s'ils ne sont pas trop tatillon, légalement, tout propriétaire de site ayant des utilisateurs enregistrés, devrait déclarer son site à la CNIL). Et la question qui est étroitement liée à la première est la suivante : qui peut logguer quoi ?

En fait, comme toi Pierrick, j'ai plus d'une fois eu énormément envie de savoir qui avait vu telle ou telle photo... et c'est au point que je regarde tous les jours l'historique actuellement pour savoir combien des mes amis vont voir les photos de mon mariage... et j'aimerai même savoir s'ils les apprécient assez pour y revenir :)

Et actuellement je ne peux pas vraiment le savoir (en fait si en allant directement dans la bdd, mais ça je viens juste de le découvrir) et jeme dis que c'est tout aussi bien comme cela. Tout d'un coup, me dire que je peux savoir que mon ami X regarde tous les jours la photo de Y... et je me trouve du coup voyeur et pas à ma place.

Cette reflexion je me l'étais déjà faite le jour où les forums phpbb se sont mis à afficher la liste des utilisateurs s'étant loggué dans les dernières 24 heures. A l'usage, il est vrai que c'est utile et peut être pas la plus grande atteinte aux libertés individuelles... mais je pense que ma limite se situe ici.

Maintenant je me mets à la place d'un de mes utilisateurs. Sachant les logs possibles et individuels, il est fort à parier qu'au maximum j'éviterai de me logguer sur la gallerie, voire si j'en ai la possibilité, je passerai par un proxy pour y surfer en anonyme avec une autre ip que la mienne.

Dernier point et pour revenir à la CNIL. Il serait utile de leur demander leur avis sur cette possibilité. Car les textes sont relativements clairs en l'occurence : enregistrer de manière automatique les actions des utilisateurs est très encadrée et soumise à autorisation préalable suivant les informations enregistrées et le traitement statistique ou non... et à part les services de l'état, dans tous les cas, cette collecte d'information est anonyme. Or là en couplant la table user (avec l'adresse mail qui est considérée comme personnelle) et l'historique, je ne suis pas sur que ça aille pas un peu trop loin.

Pour finir et parce que je ne veux pas être négatif, je suis vraiment intéressé par cet outil de statistiques (analyses très pertinentes sur les photos, etc)... mais à mon avis, il y gagnerait beaucoup à être anonyme.

-----------------------------------------------------------------------------------------------------------------

Autre remarque concernant l'historique :

Voilà la copie d'un message (lu dans les newsgroup) du responsable des pages perso chez Free :

"Les scripts qui jouent à logger chaque hit sur des bases sql ; créant ainsi des tables de plusieurs centaines de milliers de lignes; et, creant ensuite des requetes horribles, ne sont pas du tous les bienvenus sur les pages persos....

(la cause principale de la lenteur des sql)"

Bien que Pwg ne soit évidemment pas lié à un quelconque fournisseur d'accès ou d'espace web, il est intéressant de connaitre la réaction d'un des principaux acteurs du marché français. A cela s'ajoute le fait que le "delete" de tout son espace perso est parfois brutal et difficilement révocable chez Free.

Je n'ai pas encore regardé en détail ce que logguait exactement la 1.5, mais après un rapide coup d'oeil à la table "history", j'ai préféré arréter les logs. Une petite mise en garde d'ailleurs dans le panneau d'administration où l'on active ou désactive l'historique pourrait être utile.

Dernière modification par Vassae (2005-10-16 12:43:40)

Hors ligne

#2 2005-10-16 12:56:44

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: refonte de l'historique, éthique et anonymat

Tu fais bien de soulever ce point que j'ai mis de côté par facilité. J'ai un ami qui refuse de se connecter sur un forum phpBB (et donc ne peut y déposer de message) parce qu'il ne souhaite pas que son nom d'utilisateur apparaisse dans la liste des utilisateurs connectés. Certains le traitent de parano, je crois plutôt qu'il a droit à sa vie privée. Moi-même, je continue d'utiliser le vieux coupon de carte orange anonyme et pas le pass navigo personnel: je ne suis pas d'accord pour qu'on puisse stocker les informations concernant mes déplacements (et pourtant je ne suis pas un criminel).

Avant de tenter de répondre au sujet important (l'éthique dans le suivi des visites), je tiens à répondre au message de chez Free.fr:

Free.fr a écrit:

Les scripts qui jouent à logger chaque hit sur des bases sql;
créant ainsi des tables de plusieurs centaines de milliers de
lignes; et, creant ensuite des requetes horribles, ne sont pas
du tous les bienvenus sur les pages persos....

Alors comment PhpWebGallery a-t-il pu être retenu pour faire parti des applications installables automatiquement? En effet, lorsque l'historique est activée, chaque affichage des pages category.php et picture.php insère une ligne dans la table history. Je suis d'accord sur le fait que ça génère du traffic SQL, mais ce n'est pas vraiment le plus gênant comme tu le suggères dans ton premier message.

Pour en revenir au sujet important, c'est vrai que j'aimerais savoir si telle personne est allée voir telle photo. C'est vraiment mon objectif. Je suis conscient que cela ne soit pas éthiquement très justifiable. Dans un cadre familial restreint, à la limite, et encore. Je ne suis pas contre un mode anonyme (enfin, adresse IP uniquement), mais on perd alors l'information intéressante.

Je pense qu'il y a 2 dimensions dans l'anonymat: quelles photos ont été vues? quand les photos ont été vues? Clairement, le "quand" est une atteinte immédiate à la vie privée. Je sais que Paul a vue la photo de Béatrice le dimanche 16 octobre 2005 à 12h12. Je sais donc ce qu'il faisait à ce moment précis. Le "quoi" est déjà un peu moins intrusif. A partir du moment où je mets à disposition la photo de Béatrice (avec son accord bien évidemment) et que Paul a les permissions techniques pour voir la photo, savoir s'il a vraiment vu la photo n'est pas très grave. (par contre, savoir qu'il l'a vue 43 fois en 2 jours, c'est louche... je préviens Béatrice par téléphone qu'elle va se faire inviter à dîner...).

Si l'historique des visites doit devenir complètement anonyme (aucune connexion entre l'adresse IP et l'utilisateur enregistré dans la table des utililisateurs), alors cette nouvelle version de l'historique n'a plus grand intérêt. En effet, l'analyse des logs du serveur web sera bien plus valorisable et moins pénalisante en ressources pour l'hébergeur.

Une solution intermédiaire pourrait être la possibilité offerte à chaque utilisateur de surfer en anonyme. Cette option ne devra pouvoir être modifiable que par l'utilisateur et pas par l'administrateur (donc nécessiterait le mot de passe de l'utilisateur).

Tu soulèves un point très important et je pense que mon blog n'est pas le meilleur endroit si on veut que d'autres personnes donnent leur avis. Peux-tu créer un topic "refonte de l'historique, éthique et anonymat" dans la section des discussions sur le forum, et y copier tes 2 premiers messages? J'y copierai ma présente réponse. Nous y continuerons la discussion :-)


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#3 2005-10-16 13:07:23

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Alors rapidement et un peu hors-sujet pour phpbb : il y a la possibilité de cacher son login quand on est loggué sur le forum.

Donner le choix à l'utilisateur me semble effectivement un choix intéressant. Mais serait il possible de donner aussi le choix à l'administrateur de garder que des logs anonymes ? Ca permettrait à des personnes comme moi d'avoir un outil de stats avancé mais en gardant l'anonymat de mes utilisateurs.

L'outil de stats même anonyme me parrait tout de même un point d'amélioration. Car l'outil de log des serveurs, quand on est chez un fournisseur gratuit est somme toute très sommaire.

Reste la question de la légalité (question un peu différente de la question d'éthique elle même sur laquelle on peut discuter) car pas vraiment négociable :) En général, la CNIL répond assez facilement quand on leur envoie un mail avec ce genre de question. Ca peut valoir le coup que de se renseigner auprès d'eux.

Pour ce qui est de Free, je trouve comme toi leur comportement ambigu et paradoxal. Mais c'est Free... M'autorises tu à parler des logs de pwg pour demander au responsable s'il les accepte ou au contraire il n'en veut plus ? ou sont les limites de ce fournisseur, ce qu'il autorise ou non de faire ?

Hors ligne

#4 2005-10-16 13:31:22

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: refonte de l'historique, éthique et anonymat

Vassae a écrit:

Donner le choix à l'utilisateur me semble effectivement un choix intéressant. Mais serait il possible de donner aussi le choix à l'administrateur de garder que des logs anonymes ? Ca permettrait à des personnes comme moi d'avoir un outil de stats avancé mais en gardant l'anonymat de mes utilisateurs.

Quel est l'intérêt des stats avancés par rapport à la version actuelle si on rend les données anonymes?

Vassae a écrit:

L'outil de stats même anonyme me parrait tout de même un point d'amélioration. Car l'outil de log des serveurs, quand on est chez un fournisseur gratuit est somme toute très sommaire.

Ce qui m'embête, c'est que PhpWebGallery n'est pas un analyseur de logs comme Awstat ou webalizer, or l'historique anonyme c'est un peu comme le résultat de ces outils, non?

Vassae a écrit:

Reste la question de la légalité (question un peu différente de la question d'éthique elle même sur laquelle on peut discuter) car pas vraiment négociable :) En général, la CNIL répond assez facilement quand on leur envoie un mail avec ce genre de question. Ca peut valoir le coup que de se renseigner auprès d'eux.

OK, je vais leur envoyer un mail... ah, je ne trouve pas d'adresse électronique pour les contacter sur ce type de question :-( si tu connais, je veux bien que tu m'aides :-)

Vassae a écrit:

Pour ce qui est de Free, je trouve comme toi leur comportement ambigu et paradoxal. Mais c'est Free... M'autorises tu à parler des logs de pwg pour demander au responsable s'il les accepte ou au contraire il n'en veut plus ? ou sont les limites de ce fournisseur, ce qu'il autorise ou non de faire ?

Bien évidemment, je suis intéressé par leur avis. C'est à mon avis le principal hébergeur des installation de PhpWebGallery.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#5 2005-10-16 15:23:03

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

ah post très intéressant, et qui me concerne directement puisque je suis "en charge" de l'historique.

D'abord concernant l'aspect légal :
l'adresse IP est une identification purement "numérique" et n'identifie en aucun cas directement une personne (hormis pour les FAI bien sûr). Donc un administrateur d'un site phpwebgallery ne connait pas directement son visiteur grâce à son IP. Sans parler des proxys... Et si je ne me trompe pas, là ou la CNIL est TRES pointilleuse c'est dans les cas ou l'on stockerait des données personnelles (date de naissance, nom, prénom etc). Il n'y pas ce problème sur PWG puisqu'on ne stocke qu'un login/password.

L'aspect éthique :
Pour le stockage de visites des utilisateurs enregistrés, rien ne les oblige à s'identifier comme tu l'as dit Vassae. Mais peut être faudrait il les prévenir que leurs visites sont enregistrées dans le cas contraire. J'avoue qu'il est un peu difficile de justifier l'enregistrement des visites.. contrairement à un FAI qui doit prévenir les comportements extrèmes. Il n'y pas cet aspect dans le cas de PWG. Mais il est indéniable que la plupart des administrateurs ont envie de savoir qui voit quoi sur leur gallerie.. N'est ce pas suffisant pour justifier cette fonctionnalité ?

Au sujet de FREE,
je trouve leur position complètement illogique... ils mettent à disposition un service de pages perso avec PHP et MySQL, s'ils sont incapables d'assurer ce service dans certains cas, c'est leur problème. Pas celui des utilisateurs. On pourrait se retrouver dans le cas de ceux qui stockent du warez sur leurs espaces persos entrainant la suppression du compte, parce qu'on utilise _normalement_ une base MySQL? wow...
De plus, les sites à très fort traffic ne sont pas hébergés chez Free.

Hors ligne

#6 2005-10-16 16:13:07

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

En fait à l'enregistrement d'un utilisateur tu stockes une adresse mail et c'est à cause de ça qu'on a un problème avec le respect de l'anonymat (et c'est valable pour la plupart des modules php dès qu'il y a autentification... d'où la nécessité normalement de déclarer son forum à la CNIL).

Et le hic ici c'est de lier l'adresse ip lors de l'enregistrement des logs avec le nom de l'utilisateur (et donc de son adresse mail). Bon mais c'est peut etre un peu tiré par les cheveux mon raisonnement. Disons qu'en faisant ça nous ne seront pas les plus grands délinquants du web... mais tant qu'à faire autant faire bien :)

Hors ligne

#7 2005-10-16 17:38:30

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Voilà la réponse de Free (peu diplomate mais au moins très claire :( ) :

Je ne veut plus voir se developper ce genre de script.
Ils sont trop peut optimisés et sont capables de generer une charge consequente des quelques 10aines de milliers de lignes
( je ne vous parle pas de ceux qui ont des tables de 100 à 500 000 lignes !)

Plus le temps passe plus je vais etre severe sur ce genre de choses.
Certaines tables risquent de disparaitre.... :)

Voilà mon message initial pour info

Bonjour,

suite à ton message, j'ai vérifié mes scripts php etje me suis aperçu que phpwebgallery loguait dans sa version 1.5 les actions des visiteurs (quelle image vue, quand, etc.).

Dans le doute j'ai coupé l'historique de ma gallerie et j'ai transmis ton message aux dévelopeurs. Ceux-ci en retour aimeraient avoir un peu plus de précision sur ce sujet et notamment de ce que pense Free de cette partie historique de leur script.

Si tu as besoin d'exemple de la charge engendrée par cet historique tu peux regarder celle de ma gallerie (fmaquere.free.fr/phpwebgallery) en sachant que j'ai coupé l'historique hier.

Hors ligne

#8 2005-10-16 17:51:33

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

ben en tout cas, ils ne font pas faire de dictées à l'embauche chez Free...

bref, qu'il explique ce qui n'est pas "optimisé". Franchement, free me déçoit sur ce coup.

Hors ligne

#9 2005-10-16 18:02:58

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Si tu me permets à partir de là je vais peut-être vous laisser traiter en direct. Je ne suis pas assez expert en php et sql pour faire l'intermédiaire efficacement. As tu la possibilité d'accéder aux news de free ? ou peut etre puis-je demander son mail au responsable.

Hors ligne

#10 2005-10-16 18:06:55

volcom
Former Piwigo Team
2005-01-24
489

Re: refonte de l'historique, éthique et anonymat

j'ai accès aux NG de free oui. Je pense que z0rglub est mieux placé que moi pour discuter avec eux.

Hors ligne

#11 2005-10-16 21:45:17

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Ce soir j'ai eu un petit peu de temps, j'ai donc fait de la recherche biblio sur le site de la Cnil.

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle est une information qui permet de vous identifier ou de vous reconnaître, directement ou indirectement. Il peut s’agir d’un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d’un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale... .

L’utilisation de l’image des personnes

Parce que l’image d’une personne est une donnée à caractère personnel, les principes de la loi "informatique et libertés" s’appliquent. La diffusion à partir d’un site web, par exemple, de l’image ou de la vidéo d’une personne doit se faire dans le respect des principes protecteurs de la loi du 6 janvier 1978 modifiée. Ces principes rejoignent les garanties issues du droit à l’image.

D’une manière générale, la reproduction et la diffusion de l’image ou la vidéo d’une personne doivent respecter les principes issus du droit à l’image et du droit à la vie privée [...]

http://www.cnil.fr/index.php?id=1790&news[uid]=250&cHash=8a6253f851

Recommandation pour webmaster

http://www.cnil.fr/fileadmin/documents/declarer/mode_d-emploi/declarer_internet.pdf

A voir notamment : "J'exploiterai les données de connexion au site"
ainsi que les formulaires types à faire remplir par les utilisateurs

Et de manière un peu redondante, l'information aux personnes :
http://www.cnil.fr/index.php?id=1861

Déclaration d'un site

Information : http://www.cnil.fr/index.php?id=33
Cela se fait maintenant en ligne ici : http://www.cnil.fr/index.php?id=1544

Hors ligne

#12 2005-10-19 15:59:15

vimages
Membre
2004-03-27
2429

Re: refonte de l'historique, éthique et anonymat

je viens de prendre connaissance de ce post, cela change des problèmes techniques... !

pour ma part, en tant que webmaster utiliqateur de PWG, mon avis est le suivant :

- Il convient d'être clair envers les visiteurs de nos sites, de respecter leur vie privée, de ne porter atteinte en rien ni d'aucune façon à celle-ci. Nous devrions en effet déclarer nos sites à la CNIL.

- Ce préhambule fait, je pense que l'on peut lier les usages fait de PWG et les données conservées puis utilisées.

a) pour un site ouvert, catégories publiques, pas d'enregistrement des visiteurs : historique des pages vues sans informations sur l'identité des visiteurs.
b) pour un site public, ou les visteurs s'enregistrent, spécifier au moment de l'enregistrement que leur login pourra etre associé à des statistiques d'historique, vues et utilisées en interne uniquement par le webmaster.
c) pour un site ne contenant que des catégories privées, le webmaster confère lui même les droits d'accés à des visiteurs, cela implique souvent des relations suivies, des échanges d'informations diverses. Il est concevable que le webmaster puisse suivre précisément les visites sur le site. il convient évidement de garantir le respect et la non divulgation de ces informations. L'IP de la visite est alors associée à un Login et un Mail. Il est possible d'ajouter le nom. Il convient de ne pas lier directement les tables concernées à d'autres fichiers contenant d'autres éventuelles données (adresse, age..etc..)

pour un usage optimal de PWG, nous pouvons penser que sont utiles les champs : Nom, Login, Mail. pour l'historique, ils sont associés à l'IP utilisée pour la visite.

Mon cas est la partie c) de mon post. .. 
tous les utilisateurs savent bien que je peux tracer leurs visites... Ils ont un acccés privé à leur dossier, dont ils gèrent le code d'entrée.
Ils choisissent eux même d'en communiquer ou pas l'accés.
Mon rôle est bien défini dans le cadre d'une fourniture de service (reportage photo), PWG est un formidable outil. 
Les informations contenues dans les tables d'historique n'ont pas de valeur autre que celle de me permettre de mieux gérer mon temp, de mieux m'occupper de mes visiteurs.

Je crois fermement que l'amélioration de l'historique sera un plus.
Je suis pour l'intégration d'une information aux visiteurs leur indiquant la possibilité de voir leurs visites suivies.
Je suis pour la possibilité de rendre les visites anonymes (mais en gardant l'historique des pages vues) dans un site ouvert.

Nous pourrions établir une charte de bonne -//:---\spam... nous pourrions demander à tous de s'inscrire à la CNIL... mais bon... restons réaliste, cela ne sera jamais imposable ou vérifiable..  il demeure la possibilité d'informer, de proposer des options d'utilisations.

et puis si Paul veux regarder la photo de Béatrice 10 x par jour, rien ne l'empèche de l'enregistrer sur son ordi.. :o)

...voilà pour aujourd'hui...

eric.

Hors ligne

#13 2005-11-03 21:27:04

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: refonte de l'historique, éthique et anonymat

Suite de la réflexion, propositions plus techniques cette fois-ci.

1. ajouter une option utilisateur (modifiable dans le menu "Personnaliser") "visite anonyme". Lorsque l'utilisateur décide d'être anonyme, l'identifiant de l'utilisateur n'est pas stocké dans la table history. Si l'utilisateur est d'accord pour que ses visites soient suivies, un message informatif s'affiche en bas de chaque page, du type "votre visite sur ce site est archivée pour les statistiques".

2. ajouter une option utilisateur "masquer l'adresse IP". Si l'utilisateur souhaite masquer son adresse IP, alors ce ne sera pas l'adresse IP qui sera stockée dans la table history, mais son hash par exemple: md5($IP_address). Impossible ou plutôt difficile de retrouver l'adresse IP dans ces conditions, elle reste quand même unique et donc a les mêmes propriétés pour l'administrateur de la galerie.

Si les 2 options sont activées, la visite est vraiment difficile à associer avec la personne.

Votre avis ?


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#14 2005-11-03 22:52:03

Vassae
Membre
2005-01-13
127

Re: refonte de l'historique, éthique et anonymat

Pour moi ça me parrait très bien.

Il pourrait être utile d'avoir un message d'avertissement/explications au moment où l'utilisateur s'enregistre. Pour le modèle de message, on pourrait partir du message type que conseil la CNIL en l'adaptant aux fonctionnalités de la galerie.

Hors ligne

#15 2005-11-04 09:54:37

vimages
Membre
2004-03-27
2429

Re: refonte de l'historique, éthique et anonymat

parfait pour moi.. cela permet de respecter la vie privé pour les visiteurs des galeries publiques. en ce qui concerne les galeries privées, il n'est pas indispensable que l'IP soit connue, puisque si le visiteur est entré dans une categorie, c'est qu'il s'est logué avec son identifiant et qu'il est de fait autorisé..  le tout est que l'historique permette tout de même de connaitre les photos vues en détail.

merci,
eric.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact