Dev
Le Cyber Resilience Act met en danger l’open source
Par Laurent Delattre, publié le 19 avril 2023
Le Cyber Resilience Act (CRA) impose de nouvelles responsabilités aux éditeurs. Il se traduit par des exigences en matière de cybersécurité pour tous les produits présentant une composante numérique, ce qui inclut bien évidemment les logiciels. S’ils jugent une telle règlementation légitime, les acteurs européens du logiciel libre soulignent que les exceptions prévues par le CRA pour leur activité sont insuffisantes. Selon eux, cette règlementation met en danger la dynamique des développements dans l’écosystème européen.
Dans un courrier ouvert adressé cette semaine aux parlementaires européens, les associations européennes représentatives de la communauté open source (dont Eclipse, OFE, Apell et le CNLL) font part de leurs inquiétudes au sujet du Cyber Resilience Act (CRA).
Pour rappel, cette réglementation impose notamment aux éditeurs de respecter un certain nombre de règles en matière de cybersécurité sous peine de sanctions financières. Elle prévoit d’exclure de son champ d’application les bénévoles, comprendre les développeurs publiant gratuitement du code source, et les associations non commerciales. Mais « apparemment, les législateurs à l’origine du texte ont une vision très partielle du monde open source », avance Stéfane Fermigier, président du CNLL, une des associations signataires.
À LIRE AUSSI :
La plupart des éditeurs ou sociétés de services spécialisées dans le domaine ont des business models hybrides, combinant la mise à disposition de logiciels à titre gratuit sous licences libres, qui excluent toute responsabilité du ou des auteurs, avec du support et/ou des composants commercialisés. Dans ce dernier cas, leur responsabilité est bien sûr engagée. Par contre, le CRA laisse un flou juridique pouvant les rendre responsables de logiciels mis à disposition gracieusement, y compris sous forme de code source.
Un règlement incompatible avec les pratiques open source
Autre facteur d’inquiétude, cette législation est inadaptée dans le contexte du développement collaboratif et itératif. « Attribuer une norme CE, avec notamment ce que cela suppose de travail administratif, à toutes les versions successives de logiciels publiées dans une démarche open source est totalement irréaliste, tout comme l’engagement de responsabilité auquel seront soumis les contributeurs de code, qu’il s’agisse de grands groupes ou de PME ! » estime Stéfane Fermigier.
En l’état, selon les signataires, le CRA risque d’avoir “un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres“.
Pour conforter leurs propos, les signataires rappellent l’importance de l’open source dans l’économie numérique comme dans les systèmes d’information. Ce domaine représente environ 100 milliards d’euros d’impact économique en Europe et 70% des logiciels intégrés dans les produits numériques incluent des composants open source. Tous les secteurs d’activité, de l’infrastructure cloud aux applications mobiles en passant par les systèmes de transport public, sont concernés. Plus largement, l’open source est un facteur essentiel de souveraineté et d’innovation.
Pour tous ces motifs, la communauté open Source – par la voie de ses associations – souligne qu’elle n’a pas été consultée lors de l’élaboration de cette loi et continue d’être exclue des discussions en cours. Elle demande donc aujourd’hui une vraie prise en compte de ses spécificités.
Associations signataires du courrier
> ESOP – Associação de Empresas de Software Open Source Portuguesas
> CNLL – Conseil National du Logiciel Libre
> Eclipse Foundation
> APELL – European Open Source Software Business Associations
> Linux Foundation Europe
> COSS – Finnish Centre for Open Systems and Solutions
> ODF – Open Document Foundation
> OFE – Open Forum Europe
> OSBA – Open Source Business Alliance
> OSI – Open Source Initiative
> OW2 Initiative
À LIRE AUSSI :
