Un Warrant Canary a été publié sur cette page le 9 mars 2019 (et est régulièrement cryptographiquement signé depuis le 19 novembre 2020).

Préambule

Face à la puissance des outils informatiques, et la compréhension partielle qu'on en a, GNOUS se doit d'être transparent et de communiquer sur la façon dont est administré le service, et l'utilisateurice doit être au fait de ses droits et devoirs. Les sections suivantes établissent ces quelques règles, rédigées dans la bienveillance.
GNOUS a la qualité d'hébergeur au sens des dispositions de l'article 6-I-2 de la Loi pour la confiance dans l'économie numérique du 21 juin 2004.

Conditions Générales d'Utilisation

En utilisant les services de GNOUS, vous acceptez les conditions détaillées ci-après. GNOUS se réserve le droit de mettre à jour et modifier ces conditions.

• GNOUS ne garantit pas la récupération de vos données en cas de perte, mais assure d'y mettre de la bonne volonté.
• GNOUS ne garantit pas la pérennité de ses services. Ceux-ci peuvent fermer spontanément, avec ou sans préavis.
• GNOUS ne revendique aucun droit sur vos données et contenus, ils vous appartiennent entièrement.
• GNOUS se réserve le droit d'interdire l'usage de ses services si celui-ci est abusif. Le compte sera supprimé et les données restituées.

L'échec de GNOUS à exercer ou à appliquer tout droit ou disposition des Conditions Générales d'Utilisation ne constitue pas une renonciation à ce droit ou à cette disposition. Les Conditions Générales d'Utilisation constituent l'intégralité de l'accord entre GNOUS et vous et régissent votre utilisation du service, remplaçant tous les accords antérieurs entre GNOUS et vous (y compris les versions précédentes des Conditions Générales d'Utilisation).

Politique de confidentialité

Pour le bon fonctionnement des services, GNOUS collecte certaines données personnelles. Lors de la création d'un compte sur un des services par exemple, il vous est demandé une adresse courriel valide, un pseudo et un mot de passe. Toute autre information est facultative, et n'exige aucune exactitude vis-à-vis de votre identité réelle. En dehors des traitements réalisés sur ces données par les différents logiciels (Nextcloud, Mattermost...) et nécessaires à leur fonctionnement, ces données sont susceptibles de subir deux traitements :

1. être copiées à distance pour la réalisation des sauvegardes. Celles-ci sont réalisées via un canal sécurisé (SSH) sur un support chiffré.
2. être récupérées pour une consultation éphémère, notamment les courriels dans le cas où une communication exceptionnelle est nécessaire. Cette opération se fait également au moyen d'un canal sécurisé (HTTPS) et est publiquement révisable.

Qu'il s'agisse de vos informations de connexions, de vos données personnelles ou encore de vos données utiles (documents, messages...), GNOUS a à coeur de les protéger et met en place de nombreux outils afin de garantir leur inaccessibilité par un tiers, et leur résilience au sein du système informatique. Notamment, GNOUS revendique ne faire aucun usage de vos données personnelles autre qu'à des fins de statistiques et de transparence, et ce sur des données anonymisées. De même, en accord avec ses fondements politiques, GNOUS s'engage à ne jamais communiquer ni revendre vos données personnelles autrement que sous la contrainte légale (ce qui vous serait alors notifié par le warrant canary).

Conformément aux articles 105 et 106 de la Loi informatique et libertés, GNOUS garantit à l'utilisateurice les droits d'accès, de rectification et d'effacement sur ses données personnelles ainsi que celui d'opposition à leur traitement. De plus, depuis l'entrée en vigueur du RGPD, GNOUS reconnaît et salue le droit à la portabilité des données personnelles, notamment pour les initiatives de décentralisation d'Internet et d'appropriation d'un bout de celui-ci. Pour toute demande relative à ces effets :

Warrant Canary

Un Warrant Canary est un mécanisme permettant à un hébergeur d'assurer à ses utilisateurices qu'il détient toujours le contrôle sur son infrastructure informatique. Concrètement, il prend la forme d'une déclaration (voir ci-dessous) confirmant que l'hébergeur n'a reçu aucune requête judiciaire ou administrative secrète (avec interdication de divulgation), ni subi aucune perquisition informatique légale comme la saisie de serveurs ou la mise en place de mouchard. Si c'est le cas, l'hébergeur invalide le Warrant Canary de manière univoque par sa mise à jour, sa suppression ou encore son expiration.

Le Warrant Canary de GNOUS

Celui-ci est mis à jour au moins deux fois par an (donc maximum tous les six mois). Une information temporelle y est systématiquement ajoutée afin de renforcer la confiance dans la date de signature.

Comment le vérifier?

1. Télécharger la déclaration signée.
2. Télécharger la clef publique de GNOUS et l'importer :
   

   gpg --import gnous.asc

3. Vérifier la signature :
   

   gpg --verify warrant_canary.txt

4. La sortie doit correspondre à celle-ci (sauf la date qui est amenée à changer) :
   

   gpg: Signature faite le jeu. 24 févr. 2022 12:08:25 CET
   gpg:                avec la clef RSA 19CDEA6EB2EF0EBB840562C0C87EE34FD0BED5F5
   gpg: Bonne signature de « GNOUS <salut@gnous.fr> » [inconnu]
   gpg:                 alias « GNOUS <info@gnous.fr> » [inconnu]
   gpg:                 alias « g² <git@gnous.fr> » [inconnu]
   gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
   gpg:             Rien n'indique que la signature appartient à son propriétaire.
   Empreinte de clef principale : 68F7 BDBA 4D86 1C19 9B7C  ADAF 3BA8 CC25 3432 3491
      Empreinte de la sous-clef : 19CD EA6E B2EF 0EBB 8405  62C0 C87E E34F D0BE D5F5
      			

L'avertissement concernant la certification de la clef n'est pas important. Par contre, il est important de vérifier que la signature est qualifiée de bonne.