Plus d’une douzaine d’organismes de l’industrie open source ont a publié une lettre ouverte demandant à la Commission européenne (CE) de reconsidérer certains aspects de sa proposition Loi sur la cyber-résilience (CRA), affirmant qu’il aura un « effet dissuasif » sur le développement de logiciels open source s’il est mis en œuvre sous sa forme actuelle.

Treize organisations, dont la Fondation Eclipse, Linux Foundation Europe et l’Open Source Initiative (OSI), notent également que le Cyber ​​Resilience Act tel qu’il est rédigé « présente un risque économique et technologique inutile pour l’UE ».

Le but de la lettre, semble-t-il, est que la communauté open source ait son mot à dire dans l’évolution de l’ARC à mesure qu’elle progresse au sein du Parlement européen.

La lettre se lit comme suit :

Nous écrivons pour exprimer notre inquiétude quant au fait que la communauté open source dans son ensemble a été sous-représentée lors de l’élaboration de la loi sur la cyber-résilience à ce jour, et souhaitons veiller à ce que cela soit corrigé tout au long du processus de co-législation en apportant notre soutien. Les logiciels open source représentent plus de 70% des logiciels présents dans les produits à éléments numériques en Europe. Pourtant, notre communauté ne bénéficie pas d’une relation établie avec les colégislateurs.

Les logiciels et autres artefacts techniques que nous produisons sont sans précédent dans leur contribution à l’industrie technologique, ainsi qu’à notre souveraineté numérique et aux avantages économiques associés à de nombreux niveaux. Avec le CRA, plus de 70% des logiciels en Europe sont sur le point d’être réglementés sans concertation approfondie.

Table des matières hide
1 Étapes préliminaires
2 « Effet froideur »

Étapes préliminaires

Dévoilé pour la première fois sous forme de projet en septembre, le Cyber ​​Resilience Act s’efforce de codifier dans la loi les meilleures pratiques de cybersécurité pour les produits connectés vendus dans l’Union européenne. La législation est conçue pour inciter les fabricants de matériel et de logiciels connectés à Internet, par exemple ceux qui fabriquent des jouets connectés à Internet ou des réfrigérateurs « intelligents », à s’assurer que leurs produits sont robustes et mis à jour avec les dernières mises à jour de sécurité.

Publicité

Les sanctions en cas de non-conformité peuvent inclure des amendes pouvant aller jusqu’à 15 millions d’euros, soit 2,5 % du chiffre d’affaires global.

Alors que la loi sur la cyber-résilience n’en est qu’à ses débuts, et que rien ne devrait être adopté dans l’immédiat, la législation a déjà déclenché quelques sonnettes d’alarme dans le monde open source. C’est estimé que les composants open source constituent entre 70 et 90 % de la plupart des produits logiciels modernes, des navigateurs Web aux serveurs, mais de nombreux projets open source sont développés par des individus ou de petites équipes pendant leur temps libre. Ainsi, les intentions de l’ARC de prolonger la marquage CE système d’auto-certification des logiciels, par lequel tous les développeurs de logiciels devront attester que leur logiciel est en forme, pourrait étouffer le développement open source de peur de contrevenir à la nouvelle législation.

Le projet de loi tel qu’il se présente, contribue en fait à répondre à certaines de ces préoccupations. Il dit (c’est nous qui soulignons):

Afin de ne pas entraver l’innovation ou la recherche, les logiciels libres et open source développés ou fournis en dehors du cadre d’une activité commerciale ne doivent pas être couverts par le présent règlement. C’est notamment le cas des logiciels, y compris leur code source et leurs versions modifiées, qui sont ouvertement partagés et librement accessibles, utilisables, modifiables et redistribuables. Dans le contexte des logiciels, une activité commerciale peut se caractériser non seulement par la facturation d’un prix pour un produit, mais également par la facturation d’un prix pour des services d’assistance technique, par la fourniture d’une plate-forme logicielle à travers laquelle le fabricant monétise d’autres services, ou par l’utilisation de données personnelles pour des raisons autres que exclusivement pour améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel.

Cependant, le langage tel qu’il est a suscité des inquiétudes dans le monde open source. Bien que le texte semble exempter les logiciels open source non commerciaux de son champ d’application, essayer de définir ce que l’on entend par « non commercial » n’est pas une entreprise simple. En tant que directeur des politiques de GitHub, Mike Linksvayer indiqué dans un article de blog le mois dernier, les développeurs « créent et maintiennent souvent l’open source dans une variété de contextes payants et non rémunérés », qui peuvent inclure des entreprises, des gouvernements, des organisations à but non lucratif, des universités, etc.

« Les organisations à but non lucratif proposent des services de conseil payants en tant que support technique pour leurs logiciels open source », a écrit Linksvayer. « Et de plus en plus, les développeurs reçoivent des parrainages, des subventions et d’autres formes de soutien financier pour leurs efforts. Ces nuances nécessitent une exemption différente pour l’open source.

Donc, vraiment, tout se résume à la langue – en précisant que les développeurs de logiciels open source ne seront pas tenus responsables des dérapages de sécurité d’un produit en aval qui utilise un composant particulier.

« Le Cyber ​​​​Resilience Act peut être amélioré en se concentrant sur les produits finis », a ajouté Linksvayer. « Si un logiciel open source n’est pas proposé en tant que produit payant ou monétisé, il devrait en être exempté. »

« Effet froideur »

Un nombre croissant de réglementations proposées en Europe suscite des inquiétudes dans le paysage technologique, les logiciels open source étant un thème récurrent. En effet, les problèmes liés à l’ARC rappellent quelque peu ceux auxquels est confrontée la prochaine loi sur l’IA de l’UE, qui vise à régir les applications d’IA en fonction de leurs risques perçus. Le PDG de GitHub, Thomas Dohmke, a récemment estimé que les développeurs de logiciels open source devraient être exemptés du champ d’application de cette législation lorsqu’elle entrera en vigueur, car elle pourrait créer une lourde responsabilité légale pour les systèmes d’IA à usage général (GPAI) et donner plus de pouvoir aux grandes entreprises bien financées. entreprises technologiques.

En ce qui concerne le Cyber ​​Resilience Act, le message de la communauté des logiciels open source est assez clair – ils ont le sentiment que leurs voix ne sont pas entendues, et si des modifications ne sont pas apportées à la législation proposée, cela pourrait avoir un impact majeur à long terme.

« Nos voix et notre expertise doivent être entendues et avoir la possibilité d’éclairer les décisions des autorités publiques », indique la lettre. « Si l’ARC est, en fait, mise en œuvre telle qu’elle est écrite, elle aura un effet dissuasif sur le développement de logiciels open source en tant qu’entreprise mondiale, avec pour effet net de saper les objectifs exprimés par l’UE en matière d’innovation, de souveraineté numérique et de prospérité future. ”

La liste complète des signataires comprend : La Fondation Eclipse ; Fondation Linux Europe ; Initiative Open Source (OSI); OpenForum Europe (OFE); Associação de Empresas de Software Open Source Portuguesas (ESOP); CNLL ; La Fondation Documentaire (TDF); Associations européennes d’entreprises de logiciels libres (APELL); COSS – Centre finlandais pour les systèmes et solutions ouverts ; Open Source Business Alliance (OSBA); Systèmes et Solutions Ouverts (COSS); OW2 et Software Heritage Foundation.

4.8/5 - (25 votes)
Publicité
Article précédentLiam Hemsworth étourdit dans le rôle de Geralt dans une image à couper le souffle
Article suivantLibérez le facteur Wow avec la gamme de téléviseurs 2023 de Samsung – la commande anticipée est maintenant disponible en Afrique du Sud – Samsung Newsroom Afrique du Sud
Berthe Lefurgey
Berthe Lefurgey
https://muckrack.com/berthe-lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici