Expression des besoins de mise en conformité de l'authentification Stylo <-> HumanID

[spouyllau]

Je reprends ici la note de travail et le CCTP défini suite aux échanges avec Huma-Num (1) et puis à Montréal en mai (2).

Présentation du projet

Le projet Stylo4HumanID (titre provisoire) permettra de mettre en conformité l'authentification Stylo avec les besoins exprimés par l'infrastructure de recherche Huma-Num IR* et son service d'authentification Human-ID. Stylo s'appuie sur le service Human-ID pour authentifier ses utilisateurs et leur donner accès aux services d'écritures et d'exports avec Stylo. Nous avons convenu que cela serait mis en chantier dès les sprints venant après la mise à jour de l'actuelle version 2.2 de stylo (https://github.com/EcrituresNumeriques/stylo/milestone/3) et qui sera directement la version 3.1. En termes d’organisation, je ferai l’interface avec eux et le chef de projet (Roch Delannay) côté Chaire de recherche du Canada. Et une série d’ateliers de réalisation sera organisée par Roch et moi-même entre les équipes (HN, Chaire et développeur).

Expression des besoins coté Huma-Num

• [x] Mettre en place une liste de discussion par e-mail permettant les échanges entre les équipes de création et développements du service Stylo et l'équipe en charge de la gestion des utilisateurs d'HumanID (le pôle HSTC de l'IR* Huma-Num). En particulier permettant d'agir rapidement face à des signalements d'un problème de contenu sur Stylo, ou failles de sécurité, etc. ;
• [ ] Mettre en place un dispositif permettant d’envoyer via une API Stylo des informations sur la création des utilisateurs des comptes Stylo vers le SI d'information d'Huma-Num ;
• [ ] Mettre en place une nouvelle API permettant de lister les utilisateurs de Stylo qui ont partagé quel document, quand et avec qui (en usage interne à Stylo, ou via la publication) ;
• [ ] Mettre en place un dispositif permettant de suspendre l’URL d’un export public (ce point doit être analysé dans le cadre des sujets de développement pour les besoins exprimés avec Métopes, Erudit et Open Edition) ;

• [ ] Mettre en place une procédure de suppression partagée d'un utilisateur. Cela inclut :

  • [ ] Un appel depuis le SI d'Huma-Num vers une API Stylo pour savoir si le compte existe à partir d'un HumanID ;
  • [ ] Si un compte existe côté Stylo en regard d'un HumanID, est-ce qu'il y a des données ou il est vide
  • [ ] Un appel depuis le SI d'Huma-Num vers une API Stylo pour faire une suppression d'un compte à la demande d'un utilisateur. Si le compte a des données liées :
    • Cas 1 : Il faut prévenir l'utilisateur afin qu'il puisse dire s'il veut récupérer les fichiers de ses données (.md, .bib et .yaml) ou les détruire ;
    • Cas 2 : En cas d'une demande de suppression sur décision de justice … [à compléter]
  • [ ] La mise en place d'une synchronisation des métadonnées d'utilisateur (mail, etc.) entre HumanID et Stylo : Il s'agit par exemple de pouvoir mettre à jour un email changé dans HumanID dans Stylo.
  • [ ] Mettre en place lors de la suppression d'un compte coté Stylo, un message email d'information de la bonne suppression du compte.

NOTE : dans les cas de suppression de données, il s'agit principalement de définir une méthode commune pour supprimer ou exporter ces données. Un point juridique devrait être fait sur la question de la suppression de données produite dans Stylo (publication, bibliographie, etc.) et relevant du droit d'auteur (articles, ouvrages, thèses, etc.) en contexte de Science ouverte et dans le cadre — pour la France au moins de la loi n° 2008-696 du 15 juillet 2008 relative aux archives. En particulier sur les tensions qui peuvent apparaitre entre l'article L214-3 de la loi n° 2008-696 et l'articles 17 et 21 du règlement général sur la protection des données.

Discussion technique

La discussion technique a lieu :

• Sur la liste email dédiée aux équipes d'Huma-Num et de la Chaire de recherche sur les écritures numériques du Canada de l'Université de Montréal ;
• Sur atelier commun si nécessaire dans un second temps.

Proposition en issue

A développer dans https://github.com/EcrituresNumeriques/stylo à la suite de cette issue.

[RochDLY]

Nous avons bien reçu les besoins exprimés du côté Huma-Num. À ce propos, nous avons plusieurs questions techniques et juridiques à discuter avec vous quant à l'implémentation de ces besoins dans Stylo (le format des données, ce qui rentre dans le cadre du RGPD et ce qui le dépasse, etc.) Nous vous transmettrons très prochainement une liste de questions à ce propos.

1. Concernant le besoin de suppression des contenus dans Stylo :

Les contenus dans Stylo peuvent être supprimés simplement : c'est du texte brut dans une base de données MongoDB et une API GraphQL permet d'y accéder. Une simple requête supprimera définitivement les données de la base. Une clé API avec un privilège administrateur est nécessaire pour accéder en lecture/écriture à toute la base et pour gérer les contenus selon les besoins. Pour autant, nous avons quelques réticences à distribuer une telle clé API, ne serait-ce que pour des questions de confidentialité des données personnelles. Une approche plus appropriée consisterait à définit ensemble un protocole et une chaîne de décision adaptés pour répondre à une demande de suppression.

2. Concernant le droit de regard sur quel utilisateur partage quelle information avec qui :

Comme pour la suppression, il est possible de savoir quel utilisateur a créé quel document et quels sont les utilisateurs qui y ont accès. Mais là aussi, il y a un fort enjeu de confidentialité. Il ne faudrait pas traiter un risque potentiel (contenu illicite au regard de la loi par exemple) avec une infraction systématisée de la loi.

Là encore, la meilleure réponse serait de définir ensemble un protocole adapté permettant de traiter rapidement et efficacement les situations problématiques.

Sur le plan des usages, il y a deux modalités de partage :

• un droit d'accès : le document reste associé à son créateur, si on le supprime à cet endroit les autres utilisateurs perdent leur accès à ce contenu.
• une duplication de l'article : le document est complètement dupliqué à l'identique puis est envoyé à un autre utilisateur Stylo, ce faisant, l'article est rattaché à l'identifiant du/des utilisateurs destinataires.

3. Concernant la question de la suppression des comptes :

Le besoin tel qu'il est exprimé ne prend en compte que la suppression d'un compte depuis le SI d'Huma-Num. En ce sens nous aimerions profiter de cette mise à niveau pour mettre à jour le système de suppression de compte utilisateur dans Stylo et permettre à un utilisateur de pouvoir supprimer son compte de façon irréversible tout en lui proposant de récupérer la totalité de ses données s'il le souhaite.

4. Concernant les besoins de la CRCEN :

• Afin de pouvoir anticiper et organiser les futurs développements de Stylo à 2 et 5 ans, nous aurions besoin d'avoir accès 1/ à la feuille de route d'HumanId, afin d'accompagner au mieux les développements à venir, et 2/ au code source d'HumanID (gitlab).
• Les utilisateurs de Stylo nous ont fait remonter plusieurs incidents d'authentification depuis l'implémentation d'HumanId. Il serait particulièrement pertinent de pouvoir vous faire remonter ces informations dans des tickets/issues Gitlab. C'est ce que nous avons mis en place avec d'autres partenaires impliqués dans la plateforme (comme Pandoc).
• Étant basé au Canada, nous avons aussi une communauté d'usagers Stylo de ce côté-ci de l'Atlantique. Il serait intéressant d'ajouter à HumaId les authentifications par d'autres sytèmes (ex: ORCID, OpenID, CAS des institutions)