Risques du Cyber Resilience Act: « Le logiciel libre est une source de souveraineté » (Philippe Latombe)

Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre




Image pxhere / domaine public

Depuis des mois, les alertes se succèdent face au Cyber Resilience Act en préparation : présenté par la Commission européenne en 2022, il doit imposer des obligations de cybersécurité pour les produits et services numériques dans l’Union européenne. Mais il risque de causer des dommages plus que collatéraux aux logiciels libres.

« Appliquer au bon endroit de la chaîne de valeur du logiciel libre »

Interviewé en juillet par la webTV « La Bourse et la Vie », le député (MoDem) Philippe Latombe – auteur en 2021 du rapport « Souveraineté numérique » – y répondait au journaliste financier Didier Testot (transcription dans Libre à lire):

« Ça [le CRA] a des effets de bord, par contre, pour le logiciel libre et j’en discute beaucoup avec les entreprises françaises du logiciel libre. On va voir comment on peut faire en sorte que le CRA s’applique, mais s’applique au bon endroit de la chaîne de valeur du logiciel libre, c’est-à-dire pas forcement à la création intellectuelle, donc là où les contributeurs font du code, mais plutôt, si jamais il y a des éditeurs, ce seraient plutôt les éditeurs qui seraient soumis au CRA. Ce serait beaucoup plus logique et cela permettrait de conserver la filière du logiciel libre et sa richesse parce que, sans le logiciel libre, on aura une perte de souveraineté.

Je suis intimement convaincu que la souveraineté est liée au logiciel libre, à la capacité d’innovation, à cette capacité de plusieurs personnes de s’associer pour discuter d’une même sujet pour pouvoir faire le meilleur code possible. Le logiciel libre est une source de souveraineté parce que ça permet aussi de trouver des alternatives à des logiciels d’éditeurs qui seraient majoritaires que si jamais on n’a plus, ça permettrait à des entreprises de pouvoir continuer à fonctionner. On va regarder avec les entreprises, on va regarder avec le gouvernement qui est ouvert sur le sujet, comment on peut influer sur le CRA pour le rendre le plus efficace possible. »

« En Europe, ce sont essentiellement des salariés », pas des bénévoles

Le 29 août, dans l’émission « Smart Tech » du podcast B-Smart, la journaliste Delphine Sabattier recevait Jean-Paul Smets, PDG de RapidSpace (transcription dans Libre à lire – cœur sur ce groupe de l’April, une fois de plus, pour ce super-utile travail!), ainsi que deux responsables d’entreprises numériques. Jean-Paul Smets souligne que pour les objets connectés, dont les logiciels ne sont souvent pas mis à jour, le CRA sera fort utile, mais il revient sur l’impact pour l’open source:

« Ils [la Commission européenne] ont une espèce d’idée fleur bleue en disant que le logiciel libre c’est forcément des communautés de bénévoles. En fait, en Europe, le logiciel libre ce sont essentiellement des salariés dans des PME et parfois dans des instituts de recherche. Le texte de la Commission a mis une exception aux 15 millions d’euros d’amende pour les communautés de bénévoles. Mais tous les logiciels d’entreprises ont, à un moment ou à un autre, un salarié qui contribue et, dans certaines versions du texte, avoir un salarié fait que le logiciel peut être considéré comme un logiciel libre commercial, ça veut donc dire que pratiquement tous les logiciels libres vont subir les risques du CRA. »

« En mettant en place cette espère d’idée de développeur/payeur, le problème c’est qu’on impose les mêmes contraintes à une entreprise comme Microsoft, un géant de l’édition de logiciels, et à une PME comme Signal18 de Stéphane Varoqui, alors qu’elles n’ont pas du tout les mêmes moyens. On va donc simplement filtrer l’offre en faisant en sorte que les grands éditeurs, qui ont les moyens de créer une équipe dédiée à la réglementation, vont faire et les petites ne seront pas capables de prendre en charge la responsabilité qu’on leur impose. »

L’ensemble de l’émission est à écouter (ou lire), les deux autres intervenants, Stéphane Varoqui, PDG de Signal18 et ancien de MariaDB, et Arthur Heymans, chef de projet chez 9elements, illustrant de façon précise leur fonctionnement et les conséquences d’une responsabilisation sans frein des développeurs.

« Nous ne recevons pas forcément la rétribution des gens qui les distribuent »

Ainsi Stéphane Varoqui:

« L’open source s’est beaucoup démocratisée, peu de grandes sociétés n’utilisent pas de produits open source et, du coup, elles ont pris l’habitude de ne pas payer. Nous sommes vraiment, l’open source, la variable d’ajustement. Maintenant les produits open source sont vendus dans le cloud et nous ne recevons pas forcément, nous les développeurs, la rétribution des gens qui les distribuent. Par exemple, quand Google distribue un produit en mode SaaS as a Software, comme MariaDB… Nous ne touchons pas de droits dessus, nous ne touchons pas d’argent. C’est nous qui prenons en charge le développement et ce sont eux qui en profitent financièrement puisqu’ils louent leur matériel avec le produit qui tourne. Du coup, la seule façon pour les éditeurs open source de s’en sortir, c’est d’aller vers le cloud, de devenir un cloud, un cloud compétiteur, c’est ce qu’a fait MariaDB quand je l’ai quittée. »

Last but not least, le CNLL (représentant plus de 200 entreprises de l’open source), qui a déjà à plusieurs reprises alerté, a publié le 7 septembre « La France doit protéger sa filière du logiciel libre des effets de bord du Cyber Resilience Act (CRA) », qui résume son étude détaillée publiée la veille.

Dans cette dernière, l’organisation écrit:

« Le CNLL s’inquiète vivement des risques, exposés ci-dessous, que constituerait une rédaction finale du CRA inappropriée eu égard à la réalité des modèles économiques et de développement de la filière open source, et demande au gouvernement français de peser sur les négociations finales afin de protéger sa filière nationale du logiciel libre, qui représente près de 6 milliards d’euros de CA annuel et 64.000 emplois directs en 2023. »

Les organisations du libre et de l’open source en Europe sont unies dans ces mises en garde. Le CNLL précise:

« Cette prise de position sur le CRA a été élaborée par le CNLL sur la base de nos discussions avec de nombreuses organisations de l’écosystème open source, et notamment nos partenaires européens réunis au sein de l’APELL (Association Professionnelle Européenne du Logiciel Libre) qui représente la filière européenne du logiciel libre à Bruxelles. Nous avons notamment utilisé le document Stellungnahme zum Cyber Resilience Act de l’OSBA, notre homologue allemand, comme point de départ de ce texte. »

À lire aussi

Cyber Resilience Act: le CNLL sonne l’alarme pour le logiciel libre – 17 juillet 2023

Les eurodéputés veulent protéger les logiciels libres dans le règlement sur l’IA – 15 mai 2023

Le Cyber Resilience Act, un projet européen qui inquiète les acteurs du logiciel libre – 23 avril 2023

Logiciels libres et open source: l’Apell veut fédérer les associations d’entreprises en Europe – 5 février 2020



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.