:: suivant >>
éditer :: []->

Liste de conformité à la Charte CHATONS

Cette liste de conformité est un support pour aider les CHATONS qui se chargent de donner un avis sur une candidature. Cette liste reste optionnelle et ne se substitue pas à l'appréciation des CHATONS. Elle est avant tout là pour aider les candidats et également pour permettre aux CHATONS un gain de temps dans l'appréciation des candidatures.
Ressource : liste de conformité.

Légende

La détermination d'un critère comme étant bloquant ou non est à l'appréciation de chaque membre.

Vérifications préalables

OK❗ Le site indiqué est en ligne à partir du moment où la candidature est postée.
A FAIRE❗ Dans le cadre du traitement de la candidature, au moins un service est testable et accessible par les membres du collectif. Un accès à un compte "démo" satisfait cette contrainte si les services ne sont pas déjà en accès libre.
A FAIRE❗ La structure indique qu'elle respecte la charte et ne laisse pas penser qu'elle est déjà membre du collectif (elle peut en revanche indiquer qu'elle est candidate).

A FAIRE ℹ️ Si le portail des services est un sous-domaine (ex.: services.monchaton.com) :
• Vérifier le domaine parent (monchaton.com) ainsi que www.monchaton.com.
• Si les domaines sont utilisés, s'assurer qu'ils ne sont pas en contradiction manifeste avec la Charte.
• Vérifier la présence de pisteurs et la conformité du site à la législation de son pays (mentions légales).
• Si les domaines sont inutilisés, suggérer une redirection (enregistrement DNS CNAME) vers le sousdomaine des services.

Publicité / pisteurs / appels tiers

A FAIRE❗ Aucun pisteur tiers n'est présent.
Ce point est vérifier avec uBlock Origin, Privacy Badger et/ou NoScript en désactivant les protections de Firefox ainsi que d'éventuels PiHole. Les polices et images tierces sont considérées comme des pisteurs potentiels.
❗ Si des statistiques sont faites, elles ne nécessitent pas de consentements préalables des utilisatrices et utilisateurs (https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi).
ℹ️ Si le CHATON est contraint de communiquer via un réseau social centralisé ou privé, l'information est accessible par un autre biais.
Ressource utile : https://antipub.org/resistance-a-l-agression-publicitaire-s-infiltre-dans-les-reseaux-sociaux/

Sécurité

❗ Les utilisateurs et utilisatrices ont accès aux informations principales concernant la politique de sécurité.
Si vous traitez des données personnelles ce point est obligatoire d'après la RGPD

Test des sites web de la plateforme avec Mozilla Observatory

-- Compléter l'annuaire des services et y lister les actions.
❗ Les sites web du CHATONS et ses services sont disponibles via HTTPS.
ℹ️ Les sites web via HTTP redirigent bien vers HTTPS.
ℹ️ Les sites web sont notés B ou plus.
Si ce n'est pas le cas, suggérer d'appliquer les recommandations de sécurité pour les services web https://sslconfig.mozilla.org/

Test des serveurs SMTP de la plateforme avec CryptCheck? (vérifiable avec dig MX monchaton.com)

ℹ️ Les serveurs mails sont notés D ou plus.
Si ce n'est pas le cas, suggérer d'appliquer les recommandations de sécurité pour le SMTP.

Engagement des adminsys

ℹ️ Les personnes qui ont des accès administrateurs, bénévoles ou salariées s'engagent sur une charte concernant des points de confidentialité et de prudence.

Audit de sécurité avancé (à réaliser avec l'accord du futur CHATONS ?)

-- (Ludo)
ℹ️ Avancé : Les autres domaines de la plateforme ne semble pas contenir de portes dérobées (instances adminer ouvertes), etc. Le certificat TLS utilisé par le site web de la structure candidate peut éventuellement aider à révéler ces sous-domaines. La liste de publication de Let's Encrypt également.
ℹ️ Avancé : Il n'y a pas de port critique laissé ouvert par inadvertance. Pour le vérifier on peut utiliser nmap.
ℹ️ Avancé : Le port SSH a été changé.
ℹ️ Avancé : Un mécanisme de ban est en place. Si on fait 10 tentatives de mot de passe erronés quelques part, est-ce qu'on peut continuer ?

Il convient de discuter directement avec les membres de la structure candidate des précautions à prendre (privilégier l'authentification par clefs publiques, forger une bonne passphrase, chiffrement des disques, politique de gestion des accès, etc).

Sauvegardes

-- (Ludo = lxd.odass.org)
❗ Les informations relatives aux sauvegardes sont indiquées sur le site web de la structure candidate (et pas seulement dans la candidature).
ℹ️ La fréquence des sauvegardes, le nombre de copies, l'étendue des sauvegardes, les techniques et les logiciels utilisés sont fiables.
❗ Si la politique de sauvegarde présente un ou des risques inhabituels, les utilisateurs et utilisatrices sont correctement informées des limites et des risques.

Fournisseurs et localisation des données

❗ Le site indique les lieux d'hébergement des données (y compris des sauvegardes).
❗ Le site indique le ou les fournisseurs / sous-traitants du futur CHATONS.
❗ Le site indique le degré de contrôle que le CHATON a sur son infrastructure.
Rappel : le CHATON s’engage à afficher publiquement et sans ambiguïté son niveau de contrôle sur le matériel et les logiciels hébergeant les services et les données associées. ❗ Le ou les fournisseurs / sous-traitants du futur CHATONS ne sont pas incompatibles avec la charte :
❗ S'ils le sont, l'information est clairement indiquées sur le site du futur CHATON. Notamment fournisseur de services de paiement en ligne.
❗ En cas de location de serveurs (virtuels ou dédiés), le fournisseur s’engage contractuellement à ne pas accéder aux données.

Documentation

-- (Ludo = lxd.odass.org)
❗ La documentation détaille l'infrastructure globale.
❗ La documentation renseigne les procédés nécessaires au déploiement de chaque service.
ℹ️ Les procédures récurrentes du CHATON sont documentées (éventuellement dans une partie privée). Exemple : comment faire des sauvegardes, des statistiques, comment créer un compte, un vps à une nouvelle personne…
ℹ️ Un document ou un paragraphe décrivant les pratiques et mesures de sécurité pour protéger les données et l'infrastructure du futur CHATON existe.
ℹ️ Un document sur les durées de rétention des logs existe.

Logiciel libre

❗ Les services fonctionnent à l'aide de logiciels libres uniquement.
❗ Sur le site, il y a un lien vers le code source de chaque service.
❗ Le CHATON s’engage à n’utiliser que des formats ouverts dans l'exercice de son activité d'hébergement.

CGU & Juridique

Attention : les CGU et les mentions légales sont deux textes distincts.

CGU, CGV, CGS ou règlement intérieur

❗ Les Conditions Générales d'Utilisation / CGU sont accessibles depuis le site web du futur CHATON.
❗ Les CGU sont claires et compréhensibles, à la portée de n'importe qui (pas seulement de juristes).
ℹ️ Une version courte / condensée est proposée afin de faciliter la compréhension du texte.
❗ Les CGU n'excluent pas a priori de potentiels utilisateurs et utilisatrices aux services proposés. Le CHATON peut toutefois définir des « publics cibles » auquel il souhaite s’adresser (par exemple sur des critères de proximité géographique ou autres d’intérêt). Cependant il doit, autant que possible, répondre aux demandes non pertinentes, par exemple en les orientant vers un autre CHATON ou en facilitant l’émergence de structures qui répondraient aux besoins non-satisfaits.
❗ Il y a une clause « Données personnelles et respect de la vie privée » indiquant clairement quelle est la politique du CHATON concernant les pratiques visées.
❗ Les tarifs de l'ensemble des offres sont décrits publiquement (éventuellement avec un lien ou en renvoyant vers le site).
❗ Le futur CHATON s’engage dans ses CGU à ne s’arroger aucun droit de propriété des contenus, données et métadonnées produits par les hébergées ou les utilisateurs et utilisatrices.
❗ Les CGU permettent aux utilisateurs et utilisatrices d'obtenir la suppression définitive de toute information (comptes et données personnelles) concernant l’hébergé·e, dans la limite des obligations légales et techniques.
❗ Les CGU prévoient la possibilité pour les hébergé·es de quitter les services en récupérant les données associées dans des formats ouverts, dans la mesure du possible.

Mentions légales

Conformément à la loi :
OK ℹ️ Les Mentions légales sont accessibles depuis le site web du futur CHATON.
OK ℹ️ Les Mentions légales contiennent :

Contacts humains

❗ Le site permet à toutes les personnes hébergées de communiquer avec le futur CHATON en mettant en avant au moins un moyen de le faire. Page de contact, numéro de téléphone, mail, liste de diffusion, forum, ticket support, etc. Attention : concernant certains moyens le public doit pouvoir facilement prendre contact.
❗ Il est possible de rencontrer physiquement, d'échanger, et de participer au futur CHATON.
❗ Les échanges avec les autres CHATONS sont bienveillants.
❗ Il n'y a pas de pratique manifestement malveillante envers les utilisateurs et utilisatrices dans les CGU.
ℹ️ Il n'existe pas de témoignage décrivant un comportement malveillant de la part du futur CHATON.

Accessibilité



A11y & site du CHATONS

ℹ️ Le rôle des éléments correspond bien à ce qu'ils représentent visuellement.
ℹ️ Les couleurs du site sont suffisamment contrastées afin de ne pas discriminer les personnes malvoyantes. La mesure du contraste intégrée aux outils de développement de Firefox peut être utile. L'outil libre ColorOracle? peut aussi être utile.*
ℹ️ Les images nécessaires pour comprendre la page comportent un texte alternatif avec l'attribut alt, les images uniquement décoratives contiennent alt=. ℹ️ La page accepte que les utilisateurs et utilisatrices puissent remplacer les styles. Une feuille de style est utilisée plutôt que des attributs style= permettant de surcharger le style (daltoniens, mal-voyant).
ℹ️ Suggestion : Lors de l'accès aux services une information sur l'accessibilité du service est donnée.
Il pourrait s'agir d'une icône avec une infobulle.

A11y & services du CHATONS

ℹ️ Le CHATON fait des Merge Request d'accessibilité sur les services mis en place.


Accessibilité mobile

ℹ️ Le site est un minimum *responsive* (lisible sur téléphone) sans problème de navigation.


Accessibilité ADSL < 2Mbps

ℹ️ Les éléments du site web sont suffisamment légers.
Poussé à l'extrême : https://solar.lowtechmagazine.com/fr/2018/09/how-to-build-a-lowtech-website.html.

Apparence, clarté et finition

ℹ️ Si la plateforme vise le grand public, l'apparence générale est suffisante pour qu'elle ne soit pas un frein à l'adoption des services.
ℹ️ Il n'y a pas de liens morts. ℹ️ La structure a un logo et une identité visuelle qui lui est propre. Si le service est ouvert sans inscription, le service est accessible via un lien depuis le site web du CHATON.
❗ Si le service est payant ou sur inscription, les modalités d'inscriptions sont claires.
ℹ️ Une page ou un paragraphe décrivant chaque service est présent, avec un éventuel tutoriel afin de guider les utilisateur·ices.
Transmettre à la structure candidate des conseils d'UI/UX pouvant améliorer le design des services et/ou du site.