Plus d'une douzaine d'organismes industriels de l'open source ont a publié une lettre ouverte demander à la Commission européenne (CE) de reconsidérer certains aspects de sa proposition Loi sur la cyber-résilience (CRA), affirmant que cela aura un « effet dissuasif » sur le développement de logiciels open source s’il est mis en œuvre sous sa forme actuelle.
Treize organisations, dont la Fondation Eclipse, la Linux Foundation Europe et l'Open Source Initiative (OSI), notent également que la Cyber Resilience Act, telle qu'elle est rédigée, « pose un risque économique et technologique inutile pour l'UE ».
Le but de la lettre, semble-t-il, est de permettre à la communauté open source d'avoir davantage son mot à dire dans l'évolution de l'ARC à mesure qu'elle progresse au sein du Parlement européen.
La lettre dit :
Nous vous écrivons pour exprimer notre inquiétude quant au fait que la communauté open source dans son ensemble a été sous-représentée jusqu'à présent lors de l'élaboration de la loi sur la cyber-résilience, et souhaitons garantir que cela soit corrigé tout au long du processus co-législatif en apportant notre soutien. Les logiciels open source représentent plus de 70 % des logiciels présents dans les produits comportant des éléments numériques en Europe. Pourtant, notre communauté ne bénéficie pas d’une relation établie avec les colégislateurs.
Les logiciels et autres artefacts techniques que nous produisons sont sans précédent dans leur contribution à l’industrie technologique ainsi qu’à notre souveraineté numérique et aux avantages économiques associés à de nombreux niveaux. Avec le CRA, plus de 70 % des logiciels en Europe sont sur le point d'être réglementés sans concertation approfondie.
Étapes préliminaires
Dévoilé pour la première fois sous forme de projet dès septembre, le Cyber Resilience Act vise à codifier dans la loi les meilleures pratiques de cybersécurité pour les produits connectés vendus dans l’Union européenne. La législation est conçue pour forcer les fabricants de matériel et de logiciels connectés à Internet, par exemple ceux qui fabriquent des jouets connectés à Internet ou des réfrigérateurs « intelligents », à garantir que leurs produits sont robustes et tenus à jour avec les dernières mises à jour de Sécurité.
Les sanctions en cas de non-respect peuvent inclure des amendes pouvant aller jusqu'à 15 millions d'euros, soit 2,5 % du chiffre d'affaires global.
Bien que la loi sur la cyber-résilience en soit encore à ses débuts et que rien ne soit prévu pour devenir une loi dans un avenir immédiat, la législation a déjà tiré la sonnette d'alarme dans le monde open source. C'est estimé que les composants open source constituent entre 70 et 90 % de la plupart des produits logiciels modernes, des navigateurs Web aux serveurs, et pourtant de nombreux projets open source sont développés par des individus ou de petites équipes pendant leur temps libre. Ainsi, les intentions de l'ARC de prolonger la marquage CE Un système d'autocertification des logiciels, par lequel tous les développeurs de logiciels devront attester que leur logiciel est en parfait état, pourrait étouffer le développement open source par crainte d'enfreindre la nouvelle législation.
Le projet de loi dans sa forme actuelle, il contribue en fait dans une certaine mesure à répondre à certaines de ces préoccupations. Il dit (c'est nous qui soulignons) :
Afin de ne pas entraver l'innovation ou la recherche, les logiciels libres et open source développés ou fournis en dehors du cadre d'une activité commerciale ne doivent pas être couverts par le présent règlement. C'est notamment le cas des logiciels, y compris leur code source et leurs versions modifiées, qui sont ouvertement partagés et librement accessibles, utilisables, modifiables et redistribuables. Dans le contexte des logiciels, une activité commerciale peut être caractérisée non seulement par la facturation d'un prix pour un produit, mais également par la facturation de services d'assistance technique, par la fourniture d'une plate-forme logicielle à travers laquelle le fabricant monétise d'autres services, ou par l'utilisation des données personnelles pour des raisons autres que exclusivement l'amélioration de la sécurité, de la compatibilité ou de l'interopérabilité du logiciel.
Cependant, le langage tel qu’il est a suscité des inquiétudes dans le monde open source. Bien que le texte semble effectivement exempter les logiciels open source non commerciaux de son champ d'application, tenter de définir ce que l'on entend par « non commercial » n'est pas une entreprise simple. En tant que directeur politique de GitHub, Mike Linksvayer noté dans un article de blog le mois dernier, les développeurs « créent et maintiennent souvent de l'open source dans une variété de contextes rémunérés et non rémunérés », qui peuvent inclure des entreprises, des gouvernements, des organisations à but non lucratif, des universités, etc.
« Les organisations à but non lucratif proposent des services de conseil payants comme support technique pour leurs logiciels open source », a écrit Linksvayer. « Et de plus en plus, les développeurs reçoivent des parrainages, des subventions et d'autres formes de soutien financier pour leurs efforts. Ces nuances nécessitent une exemption différente pour l’open source.
En réalité, tout se résume à une question de langage : préciser que les développeurs de logiciels open source ne seront pas tenus responsables des erreurs de sécurité d'un produit en aval qui utilise un composant particulier.
« La Cyber Resilience Act peut être améliorée en se concentrant sur les produits finis », a ajouté Linksvayer. « Si un logiciel open source n'est pas proposé sous forme de produit payant ou monétisé, il devrait être exonéré. »
« Effet glacial »
Un nombre croissant de réglementations proposées en Europe suscitent des inquiétudes dans le paysage technologique, les logiciels open source étant un thème récurrent. En effet, les problèmes liés à l’ARC rappellent quelque peu ceux auxquels sera confrontée la prochaine loi européenne sur l’IA, qui vise à régir les applications d’IA en fonction des risques perçus. Le PDG de GitHub, Thomas Dohmke, a récemment estimé que les développeurs de logiciels open source devraient être exemptés du champ d'application de cette législation lorsqu'elle entrera en vigueur, car elle pourrait créer une lourde responsabilité juridique pour les systèmes d'IA à usage général (GPAI) et donner plus de pouvoir aux grandes entreprises bien financées. entreprises technologiques.
Quant à la Cyber Resilience Act, le message de la communauté des logiciels open source est assez clair : ils ont le sentiment que leurs voix ne sont pas entendues, et si des changements ne sont pas apportés à la législation proposée, cela pourrait avoir un impact majeur à long terme.
« Nos voix et notre expertise doivent être entendues et avoir la possibilité d'éclairer les décisions des autorités publiques », peut-on lire dans la lettre. « Si le CRA est effectivement mis en œuvre tel qu'il est rédigé, il aura un effet dissuasif sur le développement de logiciels open source en tant qu'entreprise mondiale, avec pour effet net de saper les objectifs exprimés par l'UE en matière d'innovation, de souveraineté numérique et de prospérité future. »
La liste complète des signataires comprend : La Fondation Eclipse ; Fondation Linux Europe ; Initiative Open Source (OSI); Forum ouvert Europe (OFE) ; Associação de Empresas de Software Open Source Portuguesas (ESOP); CNLL ; La Fondation Documentaire (TDF) ; Associations européennes d'entreprises de logiciels open source (APELL) ; COSS – Centre finlandais pour les systèmes et solutions ouverts ; Alliance commerciale open source (OSBA) ; Systèmes et solutions ouverts (COSS) ; OW2 et Software Heritage Foundation.