Le Cyber Resilience Act ou CRA est un sujet qui a déjà été évoqué sur ces pages.
Il s’agit d’un projet de directive qui a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial cette semaine, le 19 juillet, au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien de change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.
Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?
Nous en discutons de manière plus détaillée dans cette dépêche, qui reprend, en très grande partie, un communiqué du CNLL.
Sommaire
Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?
Le CRA va imposer des exigences administratives et techniques très coûteuses pour les organisations qui diffusent des produits ou des services logiciels ou contenant des logiciels. Elles devront notamment développer, documenter et mettre en œuvre des politiques et des procédures pour chaque projet, préparer une documentation technique pour chaque version de produit et suivre un processus complexe de marquage CE. L’étude d’impact de la Commission estime à 30% l’augmentation des coûts de développement pour les PME, ce qui est largement supérieur aux marges habituellement constatées dans le secteur. En cas de non-respect de ces obligations, les PME sont passibles d’une amende de 15 millions d’euros.
Les logiciels libres sont, par définition, des logiciels diffusés sous une licence de logiciel libre (ou open source, ce qui revient essentiellement au même). Toutes les licences de logiciel libre en usage actuellement comprennent une clause de non-responsabilité: il est en effet logique qu’un individu, une entreprise, petite ou grande, une fondation, un institut de recherche, etc. ne tiennent pas à être tenu à une responsabilité (lorsqu’il n’y a pas une volonté délibérée de nuire) quand il ou elle offre, gratuitement, le fruit de son travail en tant que bien commun au reste de l’humanité. En parallèle, les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à assurer la maintenance de leurs logiciels libres, contre une rémunération, qui couvre les frais de maintenance mais aussi les frais de R&D nécessaire à la création et à l’évolution de ces logiciels.
Dans le texte d’origine de la Commission, le CRA comprend une exemption pour les « activités non-commerciales », dont les représentants de l’écosystème open source ont souligné, dès la publication du projet de texte initial, l’ambiguïté et les risques que celle-ci représente.
Selon le projet de texte actuel du comité ITRE, dont des éléments ont été publiés par GitHub la semaine dernière, tout projet de logiciel libre qui compte parmi ses contributeurs des employés d’une entreprise est considéré comme une activité commerciale. Cette définition élargie englobe presque tous les projets de logiciels libres significatifs, avec des conséquences potentiellement dévastatrices. Non seulement cela inciterait les projets, dont on sait que certains ont des difficultés à assurer leur durabilité financière, à refuser les contributions de sociétés utilisatrices de leurs logiciels, mais cela pourrait également conduire les entreprises à interdire à leurs employés de participer à des projets de logiciel libre. Cela inciterait également les entreprises de la filière du logiciel libre à cesser de publier leurs composants en open source, à rendre moins transparentes leurs pratiques de développement, et à renoncer à contribuer à des projets de logiciels libres lorsque ceux-ci ne rentrent pas dans les exceptions, très restrictives, prévues par le texte.
Par ailleurs, le texte du comité ITRE dispose que tout projet de logiciel libre acceptant des donations récurrentes de la part d’entités commerciales est considéré comme une activité commerciale. Cela représente un risque majeur pour la pérennité des projets de logiciel libre qui servent de briques de base aux produits que les PME du logiciel libre mettent sur le marché. En effet, la durabilité financière de ces projets open source est un défi maintes fois évoqué et largement reconnu. Les donations régulières provenant d’entités commerciales sont souvent une source de financement essentielle qui permet aux projets de continuer leur travail. Cependant, si le CRA est adopté en l’état, ces projets seront incités à refuser les donations, et donc voir leurs ressources limitées strictement au bénévolat, ce qui va à l’encontre de la volonté affichée par ailleurs d’améliorer leur durabilité financière. L’impact négatif se propagera en aval de tous ces projets, avec comme conséquence systémique un affaiblissement de la sécurité globale des produits mis sur le marché en Europe, en plus de la disruption de la chaîne d’approvisionnement logicielle des éditeurs de logiciels européens.
Enfin, notons que la filière du logiciel libre, au-delà des PME qui la composent principalement, est un secteur économique majeur pour l’Europe. Elle contribue à l’économie de l’UE à hauteur de 65 à 95 milliards d’euros par an, selon l’étude de la Commission de 2021, et est au cœur de la recherche et développement dans de nombreux domaines technologiques avancés, y compris du programme de R&D Horizon Europe. L’impact du CRA sur cette filière risque donc d’avoir des conséquences bien au-delà des entreprises directement concernées.
Le CNLL appelle donc les législateurs européens à prendre en compte ces enjeux, et à réviser le CRA de manière à protéger la filière du logiciel libre, et notamment les PME qui en sont le socle, sans pour autant compromettre l’objectif de renforcement de la cybersécurité.
À l’avenir, ce type de réglementation devra être élaboré en concertation étroite avec les acteurs de l’écosystème open source, y compris les entreprises européennes qui développement des logiciels libres et celles qui intègrent des composants open source dans leurs produits, les plus à même de comprendre et d’expliquer les spécificités et les enjeux de leur secteur. L'APELL (Association Professionnelle Européenne du Logiciel Libre), qui fédère les associations nationales d’entreprises du libre en Europe, doit être un interlocuteur privilégié des institutions européennes sur ces questions, tout comme le CNLL auprès du gouvernement français. Nous appelons également à la création au sein de la Commission d’un OSPO (Open Source Programme Office) externe, focalisé sur le développement de la filière du logiciel libre en Europe, qui devra travailler en étroite collaboration avec OSOR, l’OSPO interne de la Commission, et apporter son expertise lors des initiatives législatives à venir qui concerneront le logiciel libre.
Enfin, nous devons collectivement favoriser une meilleure compréhension, au sein de nos institutions, des enjeux du numérique ouvert et des dynamiques technologiques et économiques complexes qui caractérisent l’écosystème du logiciel libre. Cela passe par une formation renforcée des décideurs politiques sur ces questions, mais aussi par une meilleure prise en compte de l’expertise technologique interne et externe dans les processus décisionnels.
Comment réagir à ce stade ?
Compte-tenu de l’urgence de la situation, il faut contacter les eurodéputé(es) membres du comité ITRE en leur expliquant l’importance de préserver la dynamique de l’écosystème du logiciel libre pour l’indépendance technologique et économique européenne dans le domaine du numérique.
Annexe: Chronologie des événements
- Sept. 2022: La Commission publie sa proposition de directive. L’écosystème du logiciel libre n’a pas été consulté en amont.
- Oct.-Nov. 2022: Plusieurs organisations constatent et rapportent les ambiguïtés du texte initial, dont l’Internet Society et NLNet Labs
- Déc. 2022: La Commission organise à Bruxelles une série d’ateliers: "Open Source workshops for computing and sustainability", auxquels sont invités de nombreux experts et représentant de la filière du logiciel libre européenne. Le CRA ne fait pas partie des sujets à l’ordre du jour. Les fonctionnaires responsables du CRA au sein de la Commission ne sont pas impliqués dans ces ateliers.
- Jan.-Fév. 2023: L’APELL obtient un RDV avec la Commission pour discuter du développement de la filière et de la menace que représente potentiellement le CRA. Ce RDV est repoussé deux fois, la deuxième sine die.
- Avril 2023: Une lettre ouverte, co-signée par de nombreuses organisations représentatives de l’écosystème du logiciel libre européen, est adressée aux eurodéputés, aux membres du Conseil et aux représentants de la Commission.
- Avril 2023: L’APELL demande un RDV auprès de Thierry Breton. Sans réponse.
- Mai 2023: L’APELL demande un RDV auprès des fonctionnaires responsables du CRA au sein de la Commission (unité H2). Sans réponse.
- Mai 2023: La Commission organise un webinaire pour « expliquer le CRA aux PME ». Le sujet du logiciel libre, soulevé par les participants, est jugé inapproprié par les représentants de la Commission, qui promettent néanmoins qu’il n’y a pas lieu de s’inquiéter.
- Juin 2023: Le comité IMCO votes des amendements qui permettent de clarifier le texte originel dans un sens qui préserve l’écosystème du logiciel libre. Hélas, ces amendements ne sont pas recevables, car ils ne relèvent pas de la compétence du comité IMCO.
- Juillet 2023: Le comité ITRE s’apprête à voter ses amendements. Le texte fuite et provoque la sidération de l’écosystème du logiciel libre.
- Fin juillet 2023: Le Conseil arrêtera probablement sa position.
- Sept. 2023: Début du trilogue entre la Commission, le Parlement et le Conseil.
- Début 2024: Le texte sera probablement adopté définitivement.
