Cyber Resilience Act: le CNLL sonne l’alarme pour le logiciel libre

Les eurodéputés veulent protéger les logiciels libres dans le règlement sur l’IA


Image: Pixabay / CC0

Voilà plusieurs mois que les professionnels et organisations des logiciels libres et open source alertent sur les effets dévastateurs que le projet de réglementation de l’Union européenne appelé Cyber Resilience Act aurait sur ces logiciels. Mercredi 19 juillet, si rien ne change, c’est un texte aux «conséquences particulièrement lourdes pour les petites et moyennes entreprises évoluant dans le domaine du logiciel libre» qui risque d’être adopté par un vote au sein de la commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen. Et cela sans vote en session plénière, redoute le CNLL (qui indique représenter «plus de 300 entreprises de la filière du logiciel libre et du numérique ouvert en France»).

Un surcoût élevé pour les PME

Les alarmes du CNLL (extraits):

– «Le CRA va imposer des exigences administratives et techniques très coûteuses pour les organisations qui diffusent des produits ou des services logiciels ou contenant des logiciels. Elles devront notamment développer, documenter et mettre en œuvre des politiques et des procédures pour chaque projet, préparer une documentation technique pour chaque version de produit et suivre un processus complexe de marquage CE. L’étude d’impact de la Commission estime à 30% l’augmentation des coûts de développement pour les PME, ce qui est largement supérieur aux marges habituellement constatées dans le secteur. En cas de non-respect de ces obligations, les PME sont passibles d’une amende de 15 millions d’euros.»

Le CNLL souligne que «toutes les licences de logiciel libre en usage actuellement comprennent une clause de non-responsabilité: il est en effet logique qu’un individu, une entreprise, petite ou grande, une fondation, un institut de recherche, etc. ne tiennent pas à être tenu à une responsabilité (lorsqu’il n’y a pas une volonté délibérée de nuire) quand il ou elle offre, gratuitement, le fruit de son travail en tant que bien commun au reste de l’humanité. En parallèle, les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à assurer la maintenance de leurs logiciels libres, contre une rémunération, qui couvre les frais de maintenance mais aussi les frais de R&D nécessaire à la création et à l’évolution de ces logiciels.»

– Selon le projet de texte actuel, «tout projet de logiciel libre qui compte parmi ses contributeurs des employés d’une entreprise est considéré comme une activité commerciale. Cette définition élargie englobe presque tous les projets de logiciels libres significatifs, avec des conséquences potentiellement dévastatrices. Non seulement cela inciterait les projets, dont on sait que certains ont des difficultés à assurer leur durabilité financière, à refuser les contributions de sociétés utilisatrices de leurs logiciels, mais cela pourrait également conduire les entreprises à interdire à leurs employés de participer à des projets de logiciel libre. Cela inciterait également les entreprises de la filière du logiciel libre à cesser de publier leurs composants en open source, à rendre moins transparentes leurs pratiques de développement, et à renoncer à contribuer à des projets de logiciels libres lorsque ceux-ci ne rentrent pas dans les exceptions, très restrictives, prévues par le texte.

Par ailleurs, le texte du comité ITRE dispose que tout projet de logiciel libre acceptant des donations récurrentes de la part d’entités commerciales est considéré comme une activité commerciale. Cela représente un risque majeur pour la pérennité des projets de logiciel libre qui servent de briques de base aux produits que les PME du logiciel libre mettent sur le marché.»

Une filière majeure pour l’Europe

– Le CNLL rappelle que «la filière du logiciel libre, au-delà des PME qui la composent principalement, est un secteur économique majeur pour l’Europe. Elle contribue à l’économie de l’UE à hauteur de 65 à 95 milliards d’euros par an, selon l’étude de la Commission de 2021, et est au cœur de la recherche et développement dans de nombreux domaines technologiques avancés, y compris du programme de R&D Horizon Europe.

L’impact du CRA sur cette filière risque donc d’avoir des conséquences bien au-delà des entreprises directement concernées.»

Le CNLL appelle enfin à une concertation dans l’avenir avec les acteurs de l’écosystème open source, notamment avec l’APELL (Association Professionnelle Européenne du Logiciel Libre), qui fédère les associations nationales d’entreprises du libre en Europe.

À côté de cette alerte (et des précédentes par d’autres organisations françaises, comme l’April, ou européennes, comme la Free Software Foundation Europe – ou FSFE), d’autres acteurs ont manifesté leur inquiétude devant le CRA tel qu’il se présente, comme GitHub. La semaine dernière, son responsable de la politique des développeurs Mike Linksvayer a publié un billet de blog, soulignant les mêmes aspects problématiques du texte.

Lire aussi

Les eurodéputés veulent protéger les logiciels libres dans le règlement sur l’IA – 15 mai 2023

Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre – 23 avril 2023

La Commission européenne va obliger les fabricants d’objets connectés à muscler leur cybersécurité – 16 septembre 2022



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.