Un travail de relecture est en cours.
L'assemblée générale de FDN s'est déroulée le 28 mars 2015.
Nombre de présents/ représentés, toussa.
Le président (Fabien Sirjean) ouvre la séance (10h15) en annonçant le déroulement de la journée.
Q : correspond à une question posée par l'assemblée. R : la réponse qui en a été faite.
Ou plutôt matin + début d'après-midi : jusque 16 h05
Arthur Messaud de LQDN (La Quadrature du Net) et Hugo Roy présentent à l'assemblée les 3 dossiers en cours :
Décret 2014-1576 sur la Loi de Programmation Militaire (accès administratif aux données de connexion).
FDN est en combat depuis longtemps contre la rétention des données, sans succès. En effet, des directives européennes dans le sens de toujours plus de rétention continuent d'être adoptées (dont la dernière date de 2006).
La Cour Européenne (CJUE) a décidé en 2014 d'invalider la directive sur la rétention des données de 2006. En effet, tout ne peut pas être traité de manière indifférenciée : citoyen lambda innocent, journaliste, avocat, etc. Il n'y a aucune raison pour laquelle on devrait conserver les données du citoyen lambda, seuls les suspects peuvent voir leur données un peu conservées.
La directive est morte mais toutes les lois basées sur cette directive ont encore cours et une série d'initiatives essaient de les faire tomber mais il faut un prétexte.
Hugo a vu passer le 24 décembre le décret d'application de la loi de programmation militaire (LPM). Tout ceci fait qu'on peut attaquer la LPM devant le Conseil d'État. Le conseil d'administration de LQDN a aussi décidé de suivre le mouvement, et c'est au final une dizaine de personnes qui ont constitué le groupe de travail.
En deux temps trois mouvements on s'est retrouvé avec 4 juristes qui gravitent autour de LQDN dans un groupe de travail, il y a 2 mois pour envoyer un recueil complémentaire. Le Conseil d'État a reçu le recours, le ministère l'a reçu aussi et le juge devrait le recevoir dans quelques semaines.
Conclusion : le but de ce premier dossier est de faire sauter ou de rendre plus polie la conservation des données de connexion.
Décret 2015-125 sur la Loi Cazeneuve (blocage administratif des sites web).
L'idée de la loi est que la police peut faire bloquer un site par les fournisseurs d'accès à Internet, sans juge et sans motif. La loi indique que la police, toujours sans juge, peut faire déréférencer un site sur les moteurs de recherche sans même communiquer la raison de censurer un site. Sur ce dossier les chances de gagner sont moindres que sur le premier, l'ambiance politique et sociale étant à la paranoïa ambiante et au consentement de sacrifice de liberté pour la sécurité
Cf. présentation (lien ?)
On ne dispose que de deux mois suite à la publication du décret pour l'attaquer (pour l'HADOPI, on s'est rendu compte 3 jours avant cette deadline de 2 mois ⇒ courrier d'une page et demie). Ensuite, on dispose de deux mois à nouveau pour développer.
Pourquoi devant le Conseil d'État ? Parce que c'est un décret, c'est du droit administratif. Le Conseil d'État est la plus haute juridiction *administrative* ; « c'est la Cour de cassation du droit administratif » dixit B. Bayart.
FDN choisi d'attaquer le décret en priorité car les lois qui en découlent seront affaiblies. Il eut été possible d'attaquer la censure récente des sites terroristes mais ce n'est qu'une (petite) conséquence du décret qui dérive de la loi, autant attaquer la source du problème. De plus, il est plus facile de faire un recours contre un décret que contre la loi directement.
L'objectif est d'obtenir que le blocage d'un site Internet sans passer par un juge soit interdit en France.
Durée estimée de la procédure : 1 an mais probablement 2 à 5 ans.
D'un point de vue financier, une procédure devant le Conseil d'État se fait entièrement par écrit, il n'y a pas d'audience à l'oral. Ça ne coûte rien si on choisi de ne pas faire appel à un avocat. Le courrier recommandé de 1,2 kg (48 pages en 6 exemplaires) a coûté 10,90 € de timbres. Sans compter les imprimantes qui ont du mal à tenir plus d'un recours :) (en bien personnel). Sans compter non plus le temps passé par les bénévoles.
Un avocat Me Spinosi, s'est proposé de représenter « pro bono ».
La Cour de Justice de l'Union Européenne rend des arrêts qui s'imposent aux Conseils d'État : il y a donc intérêt à se baser sur la jurisprudence pour les recours. Si le Conseil d'État a un doute, une question préjudicielle peut-être posée à la CJUE, qui donne alors une réponse sur la façon d'interpréter une loi. Le Conseil d'État doit alors prendre en compte cette réponse pour statuer sur le recours en cours d'examen. Il n'est pas évident que le Conseil d'État en tienne compte parce qu'il peut trouver des « bonnes raisons » pour que cela ne s'applique pas en France comme cela est arrivé avec le recours pour HADOPI.
Une fois que toutes les procédures possibles et imaginables ont été faites en France, on peut aller voir la Cour Européenne des Droits de l'Homme (CEDH), mais les délais sont encore plus longs.
Q : c'est la CJE qui a cassé la question de la rétention des données ? et la CEDH ?
R : il n'y a pas de décision sur cette question là spécifique par la CEDH, mais des décisions (favorables ou non) sur la surveillance plutôt.
Voir le super diaporama pour le détail
* 1991 : suite aux « écoutes de l'Élysée » une loi sur les interceptions de sécurité est rendue en 1991 pour organiser les écoutes. * 1996 : amendement Filllon au paquet Télécoms, qui voulait confier au CSA ces questions là. à la même époque, affaire [[http://altern.org/alternb/defense/|Altern/Estelle Hallyday]], tout Altern est fermé par la justice. En découle la question de savoir si c'est l'éditeur ou l'hébergeur du site qui est responsable. Réponse, c'est l'hébergeur, ce qui fait pas mal de bruit dans l'Internet. A l'époque, les députés ne comprenaient pas le mot « Internet » :-). Il faut 8 ans pour définir les responsabilités. Les juges essaient d'adapter les lois sur la télévision aux sites web. * Conclusion dans la LCEN : l'hébergeur ne peut pas être tenu responsable du propos mais on peut lui demander sur décision judiciaire de le retirer si l'éditeur n'a pas voulu le faire (ou qu'on ne peut lui demander, genre hors juridiction française). * 2004 : la LCEN. * 2006 : loi de lutte contre le terrorisme. * 19 janvier 2006 : le Conseil Constitutionnel ne voit pas le problème que « retenir les données de connexion de manière automatique et naturelle est contre la liberté des personnes ». * ... * en 2013 suite à la loi Cazeneuve, les députés avaient refusé de se joindre à la mesure de la loi LPM au Conseil constitutionnel.
Q : pourquoi les FAI autres que FDN et la fédé n'attaquent pas le décret, alors qu'ils auront un coût sur la conservation des données ?
R (B. Bayard) : ça leur coute moins d'argent de ne rien faire que d'attaquer le gouvernement qui leur donne actuellement de l'argent pour déployer la fibre optique (ça se compte en milliards d'euros, et la fibre leur appartient une fois posée, donc ils ne refusent pas ce cadeau).
Q : est-ce que la CNIL est concernée par ça ?
R : oui, la CNIL a dit que c'est pas bien. Le gouvernement a dit qu'ils avaient consulté la CNIL (et son avis n'est que consultatif).
Q : et pour Free, il est déjà arrivé qu'il attaque au CE un décret.
R : Oui, c'est déjà arrivé quand le décret avait oublié de dire que les frais devaient être pris en charge par l'État.
Q : est-ce qu'on ne pourrait pas saisir le Défenseur des droits ?
R : on ne l'a jamais vu intervenir sur des questions du numérique ; on ne sait pas s'il peut intervenir là dessus d'ailleurs, vu que les associations qui attaquent ne sont pas elles-même privées de libertés. Il pourrait intervenir s'il y avait un problème majeur certainement. Globalement: sans passer par la justice, c'est pas conforme à la séparation des 3 pouvoirs, mais il faut passer par un juge pour qu'il le reconnaisse, et que donc ça soit enlevé. Les possibilités :
Ce sont des mesures avec un juge quand on parle de la HADOPI.
Chronologie :
Une chose n'était pas prévue dans la loi mais l'est dans le décret : celle de rediriger les connexions à des sites bloqués vers une page du ministère de l'intérieur, qui oblige les opérateurs à la délation. Cela entraine une identification possible des personnes qui ont été redirigées (c'est une délation automatique), ce qui porte atteinte à plusieurs choses : liberté d'expressions, … C'est l'OCLCETIC ???????, la police de l'Internet, qui fait ça. Le décret est aussi mal rédigé sur plusieurs points avec des notions erronées comme « l'adresse électronique » (explications compliquées avec domaine, nom d'hote, etc.)
Axes de défense pour attaquer le décret :
Le décret de blocage a été publié en 12 jours (la moyenne est de 3 mois).
Q : quelle est la politique de FDN actuelle et futur sur la conservation des données ?
R : on respecte la loi, toute la loi et rien que la loi :
Q : des fois on voit que les FAI sont nommés ?
R : pas dans les lois mais sur les décisions de blocage des sites il faut que quelqu'un attaque les FAI pour qu'ils condamnent à une peine qui bloquent les sites (voir article ubu roi des internets sur le blog pour l'absurdité du process). (1800 opérateurs déclarés auprès de l ARCEP). La loi n'oblige pas la police à notifier _tous_ les FAIs, donc la police en choisit quelques uns : souvent 5, 8 ,… FDN n'a jamais été « condamné » à filtrer.
Q : les DNS menteurs sont donc interdits par la loi ?
R : le code des postes et télécommunications dit qu'il n'y a pas le droit de filtrer ou prioriser du trafic mais l'ARCEP n'est pas clair là dessus.
Q : si je m'aperçoit que mon FAI bloque un site, je peux lui demander pourquoi il le fait vu que je ne connais pas la liste des sites à bloquer par le ministère. Donc que va-t-il répondre ? Est-ce que je suis légitime à le poursuivre s'il le bloque de lui-même et non par décision de justice ?
R : ça devrait. Mais on ne peut au final pas savoir si c'est légitime ou non, vu qu'on a pas la référence de la décision en question même si c'est dirigé vers une site du ministère (pour ne pas faire un annuaire des sites interdits).
Q : quelle légitimité à agir ?
R : Pas sûr que le déréférencement des sites web soit considéré comme lié à FDN : FDN n'est pas un moteur de recherche, mais un FAI.
Q : Est-ce que l'asso FDN, dans sa généralité, appuie les quelques activistes qui attaquent ces lois/décrets/… ?
R : Les statuts de LQDN prévoient explicitement la défense des droits et libertés sur Internet, avec possibilité d'attaquer en justice. Les statuts de FDN parlent d'Internet seulement, pas de libertés. Un intérêt (technique juridique) du résultat de l'HADOPI est que la juridiction considère FDN bien fondée à s'occuper de l'HADOPI. La différence FDN vs FFDN est très peu connue du (grand) public. Si la DGSE ordonne à notre président Fabien de mettre un mouchard, il ne sait pas comment il va réagir… B. Bayart fait remarquer que ce sera le bon moment de le reverse-engineerer
Recours contentieux parce que:
Genre 10 k€ de frais en migration de ligne suite à SFR qui rompt le contrat de collecte: et on n'a rien fait en justice.
Q : Est-ce qu'on a assez de moyens pour assurer la défense en permanence des Internets ?
R : On a pas d'argent pour payer plein tarif un avocat, mais on a des juristes bénévoles (4 pour les recours du moment par exemple), et on devrait pouvoir avoir des avocats spécialisés dans les réseaux disponibles en cas de besoin pro bono. La rédaction du rapport qui attaque est très bien vue par les avocats (solidement argumenté et charpenté) : comme quoi, on n'est pas des débutants finalement. On ne fait jamais d'appel à compétence juridique (genre “recrutement”), si on en faisait , on pourrait avoir des contributeurs dans ce domaine en annonçant un positionnement.
Q : Reste-t-on sur la juridiction française ou bien on vise plus gros, genre UE ?
R (B. Bayart) : Il faut commencer par une procédure en droit national, afin d'atteindre l'UE.
Unanimité moins deux abstentions sur la mention consultative sur le fait que FDN doit travailler activement à la défense des libertés et à la lutte contre les malfaiteurs du réseau (publics ou privés).
Q : Sous quelle étiquette se présente Benjamin Bayart dans les médias ?
R : De plus en plus souvent comme président de FFDN (et moins comme porte-parole FDN), mais les gens ne font pas la différence FFDN/FDN. Les conférences grand public sont à privilégier par rapport aux conférences pour geeks, d'un point de vue efficacité. Être présent comme acteur de la politique au sens vie de la cité, pas au sens de la politique mandataire (partis de gauche, droite, etc) sur laquelle une neutralité est observée. FDN fournit des réponses techniques (RTC open bar, VPN open bar, resolver DNS ouvert, ADSL propre) à des problématiques politiques importantes. Projet réseaux du coeur : au point mort, faute de bénévoles/énergie
Q : Comment on propose des projets ?
R : ne pas envoyer de mail à buro@, mais plutôt utiliser la liste de diffusion benevoles@ ; attention, éviter de demander à quelqu'un de faire quelquechose, peu de chance aussi. La meilleure approche étant de dire que l'on est en train de monter un projet en demandant de l'aide. Sur les 10 qui vont te dire ce qu'il faut que tu fasses, tu en auras 1 ou 2 qui vont te proposer un patch, mais sans être contributeur :)
Appel à volontaires pour rédiger des articles sur le blog de FDN, voire se faire ouvrir un compte (il n'y a pas que B. Bayart qui peut/doit poster dessus)
Q : Faut-il avoir un rapport annuel (“transparency report”) indiquant les demandes judiciaires concernant l'association / des statistiques sur le sujet ?
R : Au 28/03/2015, Il y a eu trois réquisitions judiciaires dans l'histoire de FDN, dont deux affaires banales de droit commun. Rien qui ne paraisse illégitime/abusif. D'autre part le faible volume rend des statistiques non pertinentes : ce ne sont plus des statistiques, c'est de la divulgation . Pas de chiffre connu sur le nombre de demandes judiciaires au niveau de FFDN globalement (au moins 4, mais données incomplètes). Il ne parait donc pas utile d'éditer un rapport annuel, mais il n'y a aucun problème à informer annuellement lors de l'AG du nombre de requêtes reçues.
Q : Quelles informations sont divulguées concernant la conservation des données de connexion ?
R : * Côté FAI fournir l'adresse IP et ce qui est associé : nom d'utilisateur, mot de passe (haché ou pas). Côté fournisseur d'accès c'est l'adresse IP. Donc pour un VPN on aura juste l'IP source sur laquelle il a été configuré. Si c'est un abonné ADSL , on a l'adresse et le n° de tel à fournir aussi.
Q (F. Sirjean, président) : Quel est le point de vue s'il fallait payer un salarié ?
R (B. Bayart) : acheter une prestation, c'est OK (collecte ADSL, ordinateurs, …). Par contre, payer l'activité au jour le jour, c'est NON : elle doit rester bénévole. (Position officielle de FDN depuis 6 ou 7 ans, quand la question s'est posée). Les frais de FDN sont quasi-totalement en proportion de ses adhérents : pas de nécessité d'un trésor de guerre, juste quelques mois de trésorerie pour une saine gestion.
L'année a été longue pour le président.
Du côté des prélèvements automatiques, la transition à SEPA est effective et fonctionnelle.
Le fisc considère que l'association est bien une asso à gestion désintéressée, mais en raison de son activité commerciale de vente de connexion ADSL en concurrence avec des acteurs entreprises commerciales, est à ce titre assujettie aux impôts commerciaux comme la TVA et les impôts sur les sociétés. D'où une nécessité d'une réelle comptabilité (merci à Vivien).
La gestion du secrétariat (réception des papiers pour adhésion et ouvertures des services) a été reprise. Le suivi adsl (ouverture de lignes, gestion des déménagement, résiliations…) également.
La refonte du règlement intérieur est terminée.
Le dossier “lulu” : on en dira le moins possible, puisque beaucoup de temps a été perdu depuis 3 ans. Le président est OK pour en parler à qui veut, mais hors AG.
Site web : le site en a besoin pour la communication externe. Il est en cours de refonte mais malheureusement pas terminé. Belles maquettes de préparées (et aussi pour le site VPN du cœur) par Mylène. On espère l'avoir en production d'ici bientôt.
VPN open bar: un tunnel chiffré, ouvert à tout le monde, pensé pour des idées politiques, financé par des dons (via FDNN). (identifiant / mot de passe : toto/toto). Il faut communiquer que ça existe !
Le projet VPN Loutre (VPN l'outre-Rhin, avec nos potes de In-Berlin) est bloqué du coté des potos.
Le projet de chiffrement de la collecte ADSL est resté au point mort.
Les réseaux du cœur : complètement bloqué, projet mort à réanimer. Ce projet devrait être porté plus par la fédération que par FDN : sujet essentiellement local.
Evolutions majeures au sein du SI de l'association, principalement portées par Benjamin Bayart : sur le fonctionnement et la structure. Il est hébergé sur une nouvelle machine. Ajout d'un champ recherche, et divers autres choses. Fabien émet le souhait que Benjamin ne soit pas seul et que l'association recherche des perliculteurs pour se joindre à lui.
Le projet d'hébergement de machines virtuelles devrait voir le jour avec l'ajout de machines au cluster ganeti. Il n'y a pas encore de demande particulière, la demande émane plutôt du bureau : ça serait bien d'avoir des retours sur la demande mais aussi sur la contribution pour mettre le projet en route. Cela existe sur tetraneutral, cela marche bien donc pas mal de structures le font là-bas. Cela permettrait d'avoir de la redondance et de ne pas avoir toutes les machines à Toulouse.
Contrats de collecte signés avec les fournisseurs membres de la fédération (marque blanche) avec :
SI :
Vador est la dernière machine physique à faire tourner des services (un NS notamment). Toutes les autres machines ont été migrées. Vador devrait être éteinte rapidement un jour une fois l'historique de 10 ans géré.
Investissement : 4 machines achetées.
L'équipe adminsys (administration système) n'est pas actuellement fonctionnelle sécurité. Il n'y a pas forcément plein de choses à faire, juste pas faites. Des question restent en suspend :
Une réunion avec les personnes de bonne volontés pour faire avancer la chose a eu lieu le dimanche.
Partenariat avec Reporters Sans Frontières (des VPN) Communication, conférences, prestations publiques : Benjamin (voir twitter) ; Manu_Thy (fabriques du ponant, …)
ça a été une année dense euh danse avec les loups. Beaucoup d'énergie a été consommée par quelques membres, souhait est fait que plus de membres s'investissent, chacun à sa mesure / quantité. Les objectifs fixés sont plutôt bien choisis / calibrés ; l'association fonctionne bien globalement bien qu'elle repose sur peu de membres.
Q : Une question est posée sur la difficulté de consulter des documents comme le RI ; qui serait envoyé par un biais d'archive TGZ ; « à trouver par quel biais récupérer ce document. Autrement dit : la marche technique est parfois un peu énorme pour certains membres pour suivre et contribuer.
R : le règlement intérieur a été envoyé sur la liste ag@ à laquelle sont inscrites les personnes à jour de leur adhésion. Les personnes qui n'ont pas d'abonnement ADSL/VPN/etc. mais seulement adhérentes de FDN n'ont pas d'informations → communication à revoir TODO : document d'accueil aux nouveaux membres
Q : Combien de membres dans l'association ?
R : A ce jour, 462 adhérents à jour de cotisation, dont 60 nouveaux adhérents de moins d'un an, qui n'ont pas le droit de vote. Départs : 25 démissions.
Q : Sur le travail de communication interne faite par le président au cours de l'année : bel effort, il faudrait que cela continue:)
⇒ Unanimité pour le bilan moral
La comptabilité est faite avec Ledger. Bravo à Vivien d'avoir insisté pour se proposer pour aider Simon à la compta.
Présentation de la comptabilité au format standardisé (lien à fournir).
Simon annonce que c'est probablement sa dernière AG en tant que trésorier : il aimerait pouvoir monter un FAI local sur Angers.
Vivien a fait les bilans des années 2013 et 2014 (note ; le bilan 2013 présenté ici n'est pas celui présenté à l'AG de l'année passée étant donné )
Le montant des produits est HT, uniquement ce qui a été prélevé ; c'est une seule ligne pour tout ce qui est ADSL ou VPN, ça n'est pas (encore) dissocié.
Dons : peu.
Intérêts : peu aussi.
Le service internet est la plus grosse charge. Du coté frais bancaires, pas mal de fais de rejets lors du passage à SEPA l'été dernier suite à une incompréhension de certaines banques avec cette nouvelle norme. la banque propose pour l'instant de rembourser la moitié on note le redressement fiscal, qui est exceptionnel et très différent par rapport à l'année dernière
Le bilan financier présente un résultat excédentaire en franche hausse : +1,6k€ (hors paiement de l’impôt sur les sociétés) soit 7 294€ en tout.
On remarque les machines récemment achetée, pour 10k€ en tout.
Il y a eu un travail très minutieux pour éplucher ligne par ligne la comptabilité et voir les manques et problèmes. (document comptable à publier au format PDF, voire en HTML via hledger). L'année prochaine, il y aura un format HTML généré automatiquement par un script fait par Olivier, et qui sera mis à jour automatiquement
Le résultat est intéressant, avec 7 k€ de résultat positif, alors qu'il y a eu paiement d'un retard de TVA.
Les années d'avant, des dossiers épineux avaient pris le temps de vieillir, et il y a des rattrapages en cours d'abonnements non facturés.
Il y a eu la résiliation des abonnements Nérim de personnes décédés par exemple (les lignes ne sont pas automatiquement coupée en cas de rejet, et donc toujours facturées par Nerim).
Autre explication : le nombre d'abonnement VPN a augmenté alors que la marge faite sur ce produit est plus élevé (en gros 30% de marge sur la brique de SI commune VPN / ADSL alors qu'il n'y a pas le même coût fixe qu'une ligne ADSL), il y avait un vrai risque sur l'effet de moyenne de consommation sur un VPN, mais on commence à avoir de bonnes statistiques. Plus le nombre d'abonnés sera élevé, moins il y aura de risque sur une consommation excessive d'un abonné.
Depuis 2 ans les coûts de bande passante de Gitoyen ont diminué, et le déménagement à paris bourse (TH2) permet aussi des économies.
Q : Quel impact sur le fait de payer la TVA maintenant ?
R : En fait, on était déjà sous le régime de la TVA, mais là on a posé une question au fisc, en faisant une vraie demande de rescrit, ce qui a fini par un contrôle fiscal.
Remarque de Simon : De l'aide serait la bienvenue pour aider sur la problématique du suivi des rejets de paiement, qu'il estime faire mal et qui prend beaucoup de temps.
B. Bayart précise que les VPN “normaux” facturent à la journée ; les VPN open bar sont gratuits, et financés par des dons.
=⇒ le bilan financier est adopté
Q : le bureau s'est vu attribuer trop de droits dans le règlement intérieurr pour établir le montant des abonnements, qui n'a plus besoin de la validation d'un AG pour les modifier ni aucune obligation d'informer l'AG et d'obtenir son accord. il ne reste plus que la solution de l'AG extraordinaire si un bureau déconne, afin de le virer.
R : confiance, sinon convocation d'une AG Extraordinaire. pratiquement , cela n'est pas tenable en l'état de pouvoir faire un contrôle démocratique, cela veut dire qu'il faut attendre l'AG suivante afin de mettre en place un service vu qu'un vote électronique sera difficilement faisable. D'autre part cela permet une plus grande réactivité du bureau si besoin pour modifier le montant des abonnements.
Adoption du nouveau règlement intérieur (envoyé sur la liste ag@ le 7 mars et libellé “Règlement Intérieur 2015”)
=⇒ Le nouveau règlement intérieur est adopté
Atteindre le quorum gêne quand il faut décider vite sous la pression d'une deadline (genre les 2 mois pour attaquer un décret) Avoir un bureau restreint déclaré en préfecture (en contraste avec le bureau élargi):
Bureau élargi:
Appel aux volontaires : pas d'autre candidature. (Rappel: les réunions du bureau sont ouvertes à tout adhérent.)
=⇒ le nouveau bureau (restreint + élargi) est élu
Fabien Sirjean se représente pour la présidence Appel aux volontaires : pas d'autre candidature.
=⇒ Fabien Sirjean est renouvelé comme président de FDN
Nomination des postes :
FIN de l'AG DE FDN prise de note finie