Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre

Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre


 

Image pxhere / domaine public

Présenté par la Commission européenne en septembre 2022, le CRA (Cyber Resilience Act) doit imposer des obligations de cybersécurité pour les produits et services numériques dans l’Union européenne. Mais ce texte, qu’examinent le Parlement et le Conseil européens, «représente une menace existentielle pour la filière européenne du logiciel libre», affirme le CNLL (qui «représente plus de 300 entreprise dont le modèle économique repose sur l’open source»).

«Profondément dissuasif» contre les logiciels libres

Le CNLL et d’autres organisations (dont l’APELL – Association Professionnelle Européenne du Logiciel Libre -, la Linux Foundation Europe, l’Open Document Foundation, la fondation Eclipse, l’Open Source Initiative, l’OW2, la fondation Software Heritage et des organisations portugaise, allemande et finlandaise) ont publié cette semaine un communiqué commun et une lettre ouverte (PDF) aux eurodéputés et aux représentants du Conseil de l’Union européenne.

Les principaux problèmes avec le CRA, résume le CNLL, sont:

«Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.

• Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.

• La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.

• Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.»

Les communiqués ont suscité un débat dans Linuxfr, où l’internaute Micromy donne ce résumé d’un article de la Python Software Foundation (PSF) (qui n’est pas parmi les cosignataires apparemment, mais qui a également réagi au CRA):

«En gros ce qui est reproché est que le texte actuel considère dans 2 parties qu’un fournisseur ou modificateur de logiciel, personne physique ou juridique, devient automatiquement juridiquement responsable ou co-responsable de la présence d’un problème de sécurité.

Ce que la PSF reproche, c’est que les termes sont trop généraux et engloberaient de fait un éditeur qui vend une solution basée sur du logiciel libre (avec relation contractuelle, support payant, garantie, tout ça…) et les fournisseurs bénévoles de ces bases logicielles libres, en particulier dans le cas où une faille exploitée serait dans cette base.

Or pour PSF, si le manque de clarté persiste, il y a un risque juridique et financier trop important qui pourrait les conduire à ne plus proposer Python pour dans l’Union Européenne. Et également un déséquilibre entre un vendeur qui peut potentiellement assumer ce risque tout en ayant profité « gratuitement » des ressources libres.»

Limiter le CRA «en excluant sans équivoque le logiciel libre»

Pour le CNLL, «le texte doit impérativement être amendé afin notamment de limiter son application aux produits (matériels et logiciels) et services finis, vendus dans un cadre contractuel de nature commerciale, en excluant sans équivoque le logiciel libre, diffusé sous forme de code source ou de binaires, quelle que soit l’entité qui en réalise le développement (individus, PME, startups, grands groupes…), dès lors qu’aucune relation contractuelle commerciale n’existe entre le ou les auteurs du logiciel et ses utilisateurs».

La lettre ouverte des organisations du Libre demande:

«À l’avenir, nous vous exhortons à vous engager auprès de la communauté Open Source et à prendre en compte nos préoccupations lorsque vous envisagez la mise en œuvre de la loi sur la cyber-résilience. Plus précisément, à l’avenir, nous vous exhortons à:

1. Reconnaître les caractéristiques1 uniques des logiciels libres et veiller à ce que la loi sur la cyber-résilience ne nuise pas involontairement à l’écosystème des logiciels libres.

2. Consulter la communauté Open Source au cours du processus co-législatif.

3. Veiller à ce que tout développement sous le CRA tienne compte de la diversité des pratiques ouvertes et transparentes de développement des logiciels Open Source.

4. Mettre en place un mécanisme de dialogue et de collaboration continus entre les institutions européennes et la communauté Open Source, afin de garantir que la législation et les décisions politiques futures soient pertinentes.»

Outre cette réaction collective, d’autres acteurs libristes mettent en garde contre les risques du CRA: la Free Software Foundation Europe (qui pointe aussi du doigt les AI Act et Product Liability Directive ou PLD) et Wikimedia Bruxelles, des wikimédiens (le mouvement qui soutient Wikipédia et les projets associés) travaillant sur la législation européenne.

Lire aussi

La Commission européenne va obliger les fabricants d’objets connectés à muscler leur cybersécurité – 16 septembre 2022

L’Europe veut promouvoir les communs numériques – 23 juin 2022

Logiciels libres et open source: l’Apell veut fédérer les associations d’entreprises en Europe – 5 février 2020






Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.