Treize organisations du logiciel open source estiment ne pas être assez associées au travail législatif européen en cours avec le Cyber Resilience Act, présenté en septembre dernier. Dans une lettre ouverte à la Commission européenne, ces dernières s’inquiètent d’un “effet dissuasif sur le développement de logiciels open source” que pourrait provoquer la future réglementation envisagée.
Avec ce texte, regrettent-elles, “plus de 70% des logiciels en Europe sont sur le point d’être réglementés sans concertation approfondie”. Les signataires de cette lettre ouverte demandent ainsi que soient reconnues les caractéristiques uniques des logiciels open-source, que la diversité des pratiques de développement soit prise en compte et qu’un mécanisme de dialogue soit ouvert.
Activité commerciale
Dans un post publié en janvier, la fondation Eclipse remarquait par exemple que le principe d’exemption des seuls logiciels libres en dehors du cadre d’une activité commerciale posait problème. Ainsi, remarquait-elle, “nous supposons que le logiciel du projet Eclipse serait considéré comme produit dans le cadre d’une activité commerciale”, alors qu’il s’agit d’une association internationale à but non lucratif.
“Si un logiciel open source n’est pas proposé en tant que produit payant ou monétisé, il devrait en être exempté”, abonde Mike Linksvayer, l’un des cadres de la plateforme GitHub. Cette exclusion du champ d’application permettrait de stabiliser le cadre des plateformes de développement et de distribution de logiciels collaboratifs, ajoute-t-il en substance.
Nouvelles obligations
Le Cyber Resilience Act doit compléter la directive NIS 2 en imposant des nouvelles obligations aux fabricants de produits numériques. Outre des incitations à lancer des programmes de bug bounty, les éditeurs concernés devront par exemple signaler les vulnérabilités actives ou corrigées ainsi que les incidents constatés.
Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5 % du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé. Le non-respect des futures obligations pourrait également entraîner l’interdiction des produits visés dans le marché unique européen.
Pour aller plus loin sur le sujet
Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre