Le 20 dcembre, le Comit des Reprsentants Permanents a confirm l’accord sur le texte de compromis du projet de loi Cyber Resilience Act (CRA). Quelle est la porte de ces modifications sur les fournisseurs de logiciel open source ? Qu’en est-il des utilisateurs open source ? Analyse des implications pour le logiciel libre et open source (FOSS) du point de vue d’un dveloppeur.
L’Europe part d’un constat :
Les produits matriels et logiciels font de plus en plus l’objet de cyberattaques russies, entranant un cot annuel mondial estim de la cybercriminalit 5 500 milliards d’euros en 2021.
Ces produits souffrent de deux problmes majeurs qui augmentent les cots pour les utilisateurs et la socit :
- un faible niveau de cyberscurit, reflt par des vulnrabilits gnralises et la fourniture insuffisante et incohrente de mises jour de scurit pour y remdier, et
- une comprhension et un accs insuffisants aux informations par les utilisateurs, les empchant de choisir des produits dots de proprits de cyberscurit adquates ou de les utiliser de manire scurise.
Alors que la lgislation existante sur le march intrieur s’applique certains produits contenant des lments numriques, la plupart des produits matriels et logiciels ne sont actuellement couverts par aucune lgislation de l’UE traitant de leur cyberscurit. En particulier, le cadre juridique actuel de l’UE ne traite pas de la cyberscurit des logiciels non embarqus, mme si les attaques de cyberscurit ciblent de plus en plus les vulnrabilits de ces produits, entranant des cots socitaux et conomiques importants.
Deux objectifs principaux ont t identifis visant assurer le bon fonctionnement du march intrieur :
- crer les conditions pour le dveloppement de produits scuriss avec des lments numriques en veillant ce que les produits matriels et logiciels soient mis sur le march avec moins de vulnrabilits et en veillant ce que les fabricants prennent la scurit au srieux tout au long du cycle de vie d’un produit ; et
- crer des conditions permettant aux utilisateurs de prendre en compte la cyberscurit lors de la slection et de l’utilisation de produits comportant des lments numriques.
labor sur la base de la stratgie de cyberscurit de lUE de 2020, le CRA (Cyber Resilience Act) introduit des rgles communes en matire de cyberscurit pour les fabricants et les dveloppeurs de produits comportant des lments numriques, couvrant la fois le matriel et les logiciels. Lobjectif de ce texte est de protger les consommateurs et les entreprises des risques en matire de cyberscurit dans leur utilisation des matriels filaires et connects, ainsi que des logiciels.
Le 15 septembre 2022, la Commission a prsent un premier projet qui a t soumis lexamen du Parlement europen et du Conseil. Le 1er dcembre 2023, Bruxelles que le Parlement europen et le Conseil taient parvenus la veille un accord sur la loi. Puis, le 20 dcembre, le Comit des Reprsentants Permanents a confirm l’accord sur le texte de compromis du projet de loi CRA.
La porte de ces modifications sur les fournisseurs de logiciel open source
Dans sa section 10, le texte traite principalement de l’open source. Voici une analyse du dveloppeur Bert Hubert
L’activit commerciale, comment est-elle dfinie ?
Le CRA rglemente l’activit commerciale : (10) Le prsent rglement s’applique aux oprateurs conomiques uniquement en ce qui concerne les produits comportant des lments numriques mis disposition sur le march, donc fournis pour tre distribus ou utiliss sur le march de l’Union dans le cadre d’une activit commerciale .
Cest un dbut encourageant pour lopen source. Si quelquun souhaite que le CRA rglemente les auteurs ou les entreprises open source, il doit dabord tablir que ce que vous faites est une activit commerciale . Or, les versions antrieures du CRA ne fournissaient pas de grandes indications sur ce quest une activit commerciale. Il y avait des inquitudes justifies quant au fait que si quelquun faisait suffisamment defforts, il pourrait prtendre que lopen source tait aussi une activit commerciale .
Le CRA est trs clair sur le fait que ce nest pas uniquement une question dargent. Par exemple, si vous essayez de faire payer avec leurs donnes aux utilisateurs comme condition dutilisation de votre produit, cest commercial. Ou, si vous associez votre produit open source des services payants*:
- (10) une intention de montiser, par exemple en fournissant une plate-forme logicielle travers laquelle le fabricant montise d’autres services, en exigeant comme condition d’utilisation le traitement des donnes caractre personnel pour des raisons autres que exclusivement l’amlioration de la scurit, de la compatibilit ou de l’interoprabilit du logiciel, ou en acceptant des dons dpassant les cots associs la conception, au dveloppement et la fourniture d’un produit comportant des lments numriques.
N’est pas considr comme une activit commerciale…
Dans le compromis final sur le CRA, de nombreuses prcisions ont t ajoutes. Par exemple :
- (10c) .. la fourniture de produits logiciels gratuits et source ouverte qui ne sont pas montiss par leurs fabricants n’est pas considre comme une activit commerciale.
- (10c) Le prsent rglement ne s’applique pas aux personnes physiques ou morales qui contribuent au code source de produits gratuits et open source qui ne relvent pas de leur responsabilit.
Donc si vous ne montisez pas votre produit open source, vous pouvez arrter de lire ici, le CRA ne s’applique pas vous. Et si vous soumettez des PR, du code ou des correctifs lopen source dautres personnes, vous tes galement compltement tranquilles, peu importe ce quils font.
Que se passe-t-il si quelqu’un vous soutient avec de l’argent, du matriel ou du code :
- (10c) le simple fait qu’un produit logiciel open source reoive un soutien financier de la part des fabricants ou que les fabricants contribuent au dveloppement d’un tel produit ne devrait pas en soi dterminer que l’activit est de nature commerciale.
- (10) L’acceptation de dons sans intention de raliser un profit ne devrait pas tre considre comme une activit commerciale.
Que se passe-t-il si vous publiez rgulirement des versions logicielles sur lesquelles les gens comptent :
- (10c) En outre, la simple prsence de rejets rguliers ne permet pas en soi de conclure qu’un produit est fourni dans le cadre d’une activit commerciale.
Que se passe-t-il si vous tes une organisation open source but non lucratif qui reoit de l’argent (pour le dveloppement) ?
- (10c). Aux fins du prsent rglement, le dveloppement de produits qualifis de logiciels libres et open source par des organisations but non lucratif ne devrait pas tre considr comme une activit commerciale pour autant que l’organisation soit cre de manire veiller ce que tous les bnfices aprs cots soient utiliss pour atteindre des objectifs but non lucratif.
Que se passe-t-il si vous tes une fondation open source but non lucratif et que quelqu’un vous paie pour un support technique rel pour votre produit open source ?
- (10) La fourniture dans le cadre d’une activit commerciale peut tre caractrise non seulement par la facturation d’un prix pour un produit, mais galement par la facturation de services d’assistance technique lorsque cela ne sert pas uniquement rcuprer les cots rels.
Et si vous aviez achet un produit provenant d’une entreprise trs commerciale finance par du capital-risque, de sorte que le produit ait un historique commercial :
- (10c)Les simples circonstances dans lesquelles le produit a t dvelopp, ni la manire dont le dveloppement a t financ, ne devraient donc pas tre prises en compte pour dterminer la nature commerciale ou non commerciale de cette activit.
Que se passe-t-il sil y a des utilisateurs trs commerciaux de votre open source qui gagnent de largent avec votre truc ?
- (10c) En outre, la fourniture de produits qualifis de composants logiciels libres et code source ouvert destins tre intgrs par d’autres fabricants dans leurs propres produits ne devrait tre considre comme une mise disposition sur le march que si le composant est montis par son fabricant d’origine.
Que se passe-t-il si vous tes une distribution Linux (comme Debian) hbergeant des tonnes dopen source dautres personnes :
- (10e) Le seul fait d’hberger des produits sur des rfrentiels ouverts, y compris via des gestionnaires de packages ou sur des plateformes de collaboration, ne constitue pas en soi la mise disposition sur le march d’un produit comportant des lments numriques.
Compte tenu de tout cela, presque tous les projets open source actuels devraient tre pargns. Il y a cependant des difficults pour ceux qui ralisent des projets de fauxpen source , ou pour ceux qui font des ventes commerciales rgulires de choses fournies avec la source.
Quen est-il des utilisateurs open source ?
Le CRA reconnat que les logiciels, ouverts ou ferms, sont constitus de composants et de bibliothques, et elle a de beaux mots sur qui en est responsable : les personnes qui mettent les logiciels disposition sur le march dans le cadre d’une activit commerciale.
Mais la responsabilit s’arrte l : si quelqu’un utilise le logiciel open source dont vous tes l’auteur, vous n’tes en aucun cas responsable de son utilisation commerciale. Les personnes qui intgrent vos contenus doivent faire preuve de leur propre diligence raisonnable :
- (18 bis) Lors de l’intgration de composants provenant de tiers dans des produits pendant la phase de conception et de dveloppement, afin de garantir que les produits sont conus, dvelopps et fabriqus conformment aux exigences essentielles prvues l’annexe I du prsent rglement, les fabricants devraient exercer une diligence raisonnable lgard de ces composants, y compris les composants logiciels libres et open source qui nont pas t mis disposition sur le march.
Cette posture contraste avec un prcdent texte que dnonait la Python Software Foundation. En effet, de nombreux diteurs de logiciels modernes s’appuient sur des logiciels open source provenant de dpts publics sans en avertir l’auteur, et certainement sans entrer dans une quelconque relation commerciale ou contractuelle avec lui. L’ancienne version indiquait que les auteurs de composants open source pourraient tre lgalement et financirement responsables de la manire dont leurs composants sont appliqus dans le produit commercial d’un tiers.
Selon la Python Software Foundation, ce texte-l ne faisait aucune diffrence entre les auteurs indpendants qui n’ont jamais t pays pour la fourniture de logiciels et les grandes enseigne de la technologie qui vendent des produits en change de paiements de la part des utilisateurs finaux. Nous pensons que la responsabilit accrue devrait tre soigneusement attribue l’entit qui a conclu un accord avec le consommateur. Nous nous joignons nos collgues europens de la Fondation Eclipse et de NLnet Labs pour exprimer nos inquitudes sur la manire dont ces politiques pourraient affecter les projets open source mondiaux.
Quoiqu’il en soit, il est intressant de noter que dans le cadre de cette diligence raisonnable, les intgrateurs (et les gouvernements !) pourraient initier ou sponsoriser des attestations du niveau de scurit des composants open source. Ce serait un grand coup de pouce pour la scurit open source :
- (10f) Les programmes d’attestation de scurit devraient tre conus de telle manire que non seulement les personnes morales ou physiques dveloppant ou contribuant au dveloppement d’un produit qualifi de logiciel libre et code source ouvert puissent initier ou financer une attestation, mais galement des tiers, comme les fabricants qui intgrent de tels produits dans leurs propres produits, les utilisateurs ou encore les administrations publiques europennes et nationales.
Quelques lments spcifiques sur la dclaration Debian
La dclaration Debian semble tre base sur une version antrieure du CRA.
Il est indiqu par exemple : *Savoir si un logiciel est commercial ou non n’est pas ralisable, ni dans Debian ni dans la plupart des projets de logiciels libres*. En vertu de le CRA, il n’est pas ncessaire de comprendre cela pour Debian.
Devoir obtenir des conseils juridiques avant de faire un cadeau la socit dcouragera de nombreux dveloppeurs – la version finale de le CRA est claire : si vous faites un cadeau, la CRA ne s’applique en aucun cas vous. Il existe dsormais une dclaration trs claire ce sujet.
Imposer des exigences telles que celles proposes dans la loi rend juridiquement prilleux la redistribution de notre travail par d’autres – le CRA a maintenant des notes spcifiques indiquant qu’une telle redistribution n’est pas couverte.
Aussi, Bert Hubert a dclar J’espre que le projet Debian le plus gnial pourra examiner attentivement ce que dit la version actuelle du CRA, et peut-tre proposer une nouvelle dclaration .
Conclusion
Tout au long du processus CRA, divers instituts de lUE et gouvernements des tats membres ont t trs rceptifs aux opinions de la communaut open source. De plus, le CRA cre virtuellement un nouveau processus par lequel l’industrie peut se runir pour parrainer des documents de scurit, des attestations, des audits ou mme des travaux de scurit sur des produits open source. La Commission europenne est habilite crer des modles et des rglementations pour de telles procdures, et la contribution de la communaut open source serait srement utile pour en faire un succs.
Pour Bert Hubert, si nous jouons bien les choses, lopen source pourrait enfin obtenir le soutien de lindustrie, car le CRA signifie que les personnes qui intgrent notre travail en sont dsormais officiellement responsables .
Source : EU Cyber Resilience Act, Bert Hubert
Et vous ?
Que pensez-vous de l’analyse de Bert Hubert ?
Vous semble-t-il y avoir des amliorations dans le projet de loi CRA par rapport l’industrie de l’open source ? Dans quelle mesure ?
De faon plus gnrale, quelles en sont les implications pour les dveloppeurs et les professionnels de l’informatique ?