Mise à jour de la base de données, veuillez patienter...

Peut-on utiliser des logiciels libres dans des domaines contraint par des réglementations et autres obligations légales ? Une question qui a été au cœur des échanges lors de l’apparition de la loi de finance 2016.

Certains termes de ce texte de loi pouvaient effrayer : inaltérabilité pour ne citer que celui-ci. Cependant ce critère concerne avant tout les données de l’application et pas l’application en elle-même.

Maintenant que ce texte de loi est en application,  comment répondre aux contraintes de la loi tout en préservant au mieux les libertés fondamentales des utilisateurs ?

Dans le cadre de cette fameuse loi de finance 2016, en tant que prestataire installant en dernier lieu l’application Dolibarr chez nos clients, c’est à nous que revient le rôle d’attester de la conformité de ce dernier aux critères d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. Au cas où un client attesté venait à réussir à tromper le fisc malgré tout et se faisait prendre, nous serions co-responsable sur le plan pénal et financier de façon illimitée.

Vous comprendrez tout de suite qu’en tant que patron, cela vous fait quelque peu réfléchir avant de prendre la décision de signer une attestation. Il fallait donc trouver une solution permettant de « brider » les possibilités d’intervention sur le logiciel et la base de données. Avec un logiciel libre en PHP dont le code source est disponible, sans parler de la possibilité d’ajouter des extensions pouvant intervenir sur le comportement et la base de données, l’opération n’est pas aisée.

Malheureusement, la seule solution « fiable » que nous ayons trouvée est de fermer l’accès au code source et à la base de données (du moins en modification). En gros de faire une « boite noire ». Mais quand on a fait du logiciel libre et de ces valeurs son fer de lance, cela fait un peu mal au ventre….

Nous allons donc délivrer des attestations, mais uniquement dans certains contexte techniques précis : en hébergement sur notre infrastructure ou dans des machines virtuelles sur site auxquelles le client n’aura pas accès (du moins pas facilement…).

Pour préserver la possibilité de modifier soi-même Dolibarr, nous proposons un « sas » constitué par un dépôt sur notre instance Gitlab. Le client pourra ainsi proposer des modifications que nous pourrons auditer et décider d’intégrer a son instance Dolibarr de production.  La contrepartie sera hélas le coût, le temps passé à auditer restant facturé. Mais nous saurons rester « light ». L’idée n’est pas de se faire de l’argent facile sur le dos de nos clients. Les différentes possibilités et tarifs associés sont décrits sur le site d’Open-DSI.

Dans l’immédiat, nous n’avons pas de solution moins contraignante. Une externalisation de l’historique chaîné des transactions a été un moment envisagé, mais cela introduit tout de même des possibilités de « bidouillage » en amont.

Il n’en reste pas moins vrai que celui qui veut frauder trouvera le moyen. Le tout est qu’il ne puisse pas le faire via le logiciel que nous lui aurons mis à disposition.

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 18/02/2018. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Autre sujet qui commence à remonter dans les questions de mes prospects et clients : la conformité au futur RGPD, le bien nommé règlement général sur la protection des données.

Pour résumer le bébé :

• 100 pages d’obligations à respecter
• 99 articles de loi
• 20 millions d’euros de sanctions en cas d’infraction pour les PME, ou les organismes publics
• Etc.

Tout cela à cause de Facebook

La question réside dans l’impact du futur règlement sur les activités des entreprises, leur organisation et les outils qu’elles utilisent. La prise en compte est déjà très visible sur les plateformes d’emailling qui ont redoublées d’efforts pour s’assurer que leurs obligations ne seront pas mises en défaut par les pratiques de leurs clients.

L’obtention du consentement du destinataire et la conservation de la preuve de ce consentement sont un des multiples éléments qu’il va falloir respecter. Exit les cases à cocher par défaut des inscriptions aux newsletters, bonjour, le double opt’in. Mais ce n’est que l’amuse-bouche !

RGPD et ERP

En entreprise, il y a un outil qui concentre énormément d’informations sur des tiers : l’ERP. Les données des prospects et clients y sont concentrées et abondantes. Souvent recoupées avec d’autres sources d’informations, la « qualification » d’une base client peut-être poussée très loin, voir « trop loin »

Il faut donc s’attendre à devoir intégrer dans les ERP des fonctionnalités propres à simplifier et aider le respect des futures obligations qui rentrent en application à compter du 25 mai 2018, ne l’oubliez pas.

Face à cela, j’ai commencé à regarder mon propre nombril et à me demander comment ma petite entreprise pouvait faire face à tout cela. A priori, cela risque de ne pas être simple, voir se révéler un véritable casse-tête à côté duquel le référencement Datadock pour les organismes de formations risque de passer pour une simple plaisanterie.

A  ce stade, je vais déjà essayer de voir ce que je peux tirer comme enseignement du logiciel PIA (Privacy Impact Assessment) mis à disposition par la CNIL sous licence GPLv3 faut-il le souligner au passage. Côté ERP Dolibarr, chez Open-DSI nous sommes également en train d’étudier ce qu’il faudrait ajouter à ce dernier en terme de fonctionnalités ou contrôle autour des données concernant les contacts.

Je vous propose de lire cet article qui fournit de bonnes pistes pour tous les programmes informatiques existant ou à venir. Preneur de tout retour d’expérience sur le sujet

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 16/01/2018. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

L’obligation de certification ou d’attestation des systèmes ou logiciels de caisse est un sujet que je suis depuis deux ans maintenant. Un sujet qui a fait suer pas mal de monde. Petit à petit, de FAQ en amendements, le périmètre d’application se clarifie.

Le 1er janvier 2018 est passé, la date fatidique est passée. Être ou ne pas être concerné, tel est la question.

Dans mon article d’octobre sur le sujet, je proposais la lecture suivante :

Si vous êtes assujettis à la TVA ET que vous effectuez des livraisons de biens et des prestations de services sans délivrer de factures (mais juste un ticket de caisse par exemple) via un logiciel ou système de caisse. Vous êtes concerné.

Au vu des derniers éléments et notamment des échanges intervenus à l’assemblée lors du vote d’amendements, il me faut revoir ma lecture dans un sens moins favorable puisqu’elle va dans le sens d’un élargissement du périmètre. Ma lecture se transforme de la façon suivante :

Si vous êtes assujettis à la TVA ET que vous effectuez des livraisons de biens et des prestations de services au profit de clients particuliers non assujettis. Vous êtes concerné.

Contrairement à ce que j’avais cru comprendre en octobre, le fait de délivrer une facture nominative à un client particulier ne vous fait pas sortir du périmètre. L’explication est dans la réponse faite par M. Benjamin Griveaux, secrétaire d’État auprès du ministre de l’économie et des finances lors des échanges de novembre.

Une facture n’est obligatoire, au sens fiscal, que dans le cadre d’une relation B to B – business to business, c’est-à-dire d’entreprise à entreprise. L’administration fiscale peut la contrôler car elle dispose d’un droit de communication envers l’entreprise cliente. A contrario, elle ne peut exercer de droit de communication auprès des particuliers.

Une lecture confirmée par cet article sur le site Service-Public.

Faut-il paniquer ?

La réponse est non. Il a été précisé toujours à l’assemblée en novembre :

Je précise que le ministre de l’action et des comptes publics a demandé à l’administration fiscale d’accompagner les entreprises pendant la première année d’application de ces nouvelles règles.

En gros l’administration fiscale devrait être « compréhensive » du moment que vous montrez votre « diligence » à prendre en compte cette nouvelle obligation.

Je vous conseille vivement de suivre la liste de discussion Comptabilité de l’ APRIL. C’est par elle que j’ai pu me tenir informé des évolutions de ce sujet.

Maintenant, il va me falloir l’annoncer à certains de mes clients Dolibarr. Concernant ce logiciel, la version 7 qui sort début février sera attestable. A chaque prestataire de se positionner sur les modalités de délivrance de son attestation. Le sujet fait l’objet de pas mal de discussion chez Open-DSI et il devient urgent pour nous de proposer une solution claire à nos clients. Bien tard pourrait-on dire, mais la difficulté à comprendre le périmètre d’application et l’impact potentiel pour les utilisateurs de logiciel de gestion n’a pas aidé à motiver les troupes.

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 11/01/2018. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Ce billet fait suite à mon récent grognement qui s’adressait principalement aux « free riders » du logiciel libre et de l’open source. Ceux qui prennent sans rien donner voir s’indignent quand on leur demande de participer pour améliorer. Comportement d’autant plus choquant, qu’il s’agit ici d’outils utilisés pour réaliser une activité économique donc gagner de l’argent et de propos venant de « professionnel » du logiciel.

Notez bien que mes propos se situent dans un contexte de relations entre professionnels que ce soit de l’informatique ou simples utilisateurs. Mais le raisonnement peut-être étendu au grand public bien que dans ce cas les modalités soient potentiellement différentes.

Quand j’écrivais, « Je ne te dois rien » c’était principalement au sens de l’obligation juridique. Néanmoins, si je me place sur le plan moral et donc plus glissant, je reconnais quand même une forme d’obligation, celle de ne pas mettre à disposition tout et n’importe quoi sans prévenir si ce « quoi » est potentiellement difficilement utilisable. Il n’est en effet pas rare de trouver des bouts de codes plus ou moins conséquents et plus ou moins fonctionnels.

Si je reviens sur le cas « d’école » qui me touche directement, nous avons fait le choix de distribuer ce module librement. Dans le contexte Dolibarr, il est courant que les modules complémentaires soient vendus sur la place de marché Dolistore. Plutôt que vente, je préfère utiliser le terme de contribution plus proche de la réalité. Je reviendrais prochainement plus en détail sur les avantages et inconvénients de cette place de marché par rapport à la bonne compréhension des modèles économiques du logiciel libre.

WooSync module demande pas mal de compétences aussi bien côté Dolibarr que WordPress, sans parler des éventuels soucis d’environnement, version de PHP, bibliothèques manquantes, certificats, modules complémentaires, etc… Les chances de rencontrer des soucis sont réelles.

Nous avons donc pris de soin de mettre des avertissements de tous les côtés, à commencer sur le dépôt, mais aussi dans les emails adressés à ceux qui avaient téléchargé le module en proposant à chaque fois notre assistance.

Cette assistance s’adresse à celles et à ceux qui rencontrent des difficultés, n’ont pas toutes les compétences requises où qui ne veulent pas perdre de temps. A ce jour ceux qui ont fait appel à nos services ont un client de synchronisation opérationnel. Certains ont même fait sans nous, c’était donc possible. Reste le cas de ceux qui n’ont pas les moyens financiers et techniques, là je dirais que cela devient compliqué pour une entreprise d’aider même avec toute la bonne volonté du monde.

A l’inverse, pour nous aider, c’est assez simple, il suffit de :

• faire remonter les problèmes rencontrés avec un maximum de détails (sans pour autant que cela nous engage à les corriger) ;
• proposer des corrections et améliorations sur le code source ou la documentation ;
• financer du temps pour corriger et améliorer ;

Sur ce dernier point, je réfléchis d’ailleurs à proposer un tarif d’assistance « spécial contribution » sur la boutique d’Open-DSI. C’est l’idée du week-end, je dois en discuter avec l’équipe

La contribution qu’elle soit directe ou indirecte est un élément incontournable pour le bon fonctionnement et la pérennité du logiciel libre, ne l’oublions jamais. A chacun selon ses capacités techniques ou financières d’y participer. Et je concède également que nous autres acteurs dudit logiciel libre avons encore beaucoup de travail à faire pour inciter les utilisateurs à participer !

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 07/01/2018. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Derrière cette accroche provocatrice, un constat. Nous sommes en 2018, le logiciel libre et l‘open source sont largement répandus et utilisés. Pourtant leurs utilisateurs (informaticien ou pas) continus globalement d’ignorer les principes et modèles économiques qui vont avec.

Avec Open-DSI, nous avons commencé à publier des modules pour Dolibarr sous licence GPL dont notamment un gros bout de code permettant de synchroniser une boutique WooCommerce et Dolibarr : WooSync.

Je m’attendais à de savoureux échanges et j’avoue ne pas avoir été déçu

Ce qui en ressort c’est un niveau de connaissance relativement faible de ce qu’est le modèle du logiciel libre. Nous avons été accusés d’escroc sur le forum Dolibarr par des utilisateurs ayant téléchargé le module sans parvenir à le faire fonctionner. Notez bien qu’il n’ont rien payé ou juste les 0.96€TTC via le Dolistore car c’était pour nous le seul moyen d’avoir leurs coordonnées pour les prévenir que par défaut, il n’y avait ni support ni engagement de correction d’anomalie mais qu’il pouvait souscrire des prestations de support. L’avertissement est aussi sur le github du module sur lequel sont mise à dispositions les corrections et évolutions.

Pour résumer le reproche : « il y a des bugs (reste à prouver que ce ne soit pas un souci d’environnement), on nous demande de payer pour du support, ce n’est pas normal ! » Merci à Agnès d’avoir pris position sur le sujet

Évidemment avec ce genre de commentaires, vous n’avez aucune envie de faire quoi que ce soit ! Je concède cependant que l’on se doit de fournir le logiciel le plus aboutit qui soit. Mais il faut aussi comprendre que certains contextes rendent difficile la mise au point de solution 100% bug free (cela existe ??). Avec WooSync nous sommes clairement dans cette situation. Pour ceux qui ne veulent prendre aucun risque, tout est prévu. Mais cela a un prix (et en l’occurrence nous savons parfaitement pourquoi il est encore élevé à ce jour) et personne n’a dit que les logiciels libres étaient gratuits et encore moins les services qui vont avec !

Je ne vais pas m’étendre aujourd’hui sur le sujet, juste rappeler qu’un logiciel libre est mis à disposition sous une licence avec des termes bien précis. Cette licence stipule que l’utilisation de ce logiciel se fait à vos risques et périls (chapitre 15 et 16 en MAJUSCULE pour la licence GPL) sans possibilité d’exiger du ou des auteurs un quelconque engagement de correction. La contrepartie est la liberté d’utilisation, d’accès au code source, à sa modification et libre diffusion à qui vous le souhaitez.

Payer pour que l’on vous corrige un bug s’appelle « contribuer ». C’est une démarche saine et normale pour un utilisateur de logiciel libre. Espérons que la campagne de Framasoft Contributopia permette de mieux faire connaître cette notion qui mérite d’être mieux comprise. Il faudra aussi que les acteurs professionnels du secteur soit plus clairs sur ce sujet, car là aussi ce n’est pas toujours tout rose il faut le reconnaître j’y reviendrais.

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 04/01/2018. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.