L’Europe va-t-elle jeter le bébé (le logiciel libre) avec l’eau du bain (la cyber-insécurité)?
Paris, le 17 juillet 2023 – Le Conseil National du Logiciel Libre (CNLL), qui représente plus de 300 entreprises de la filière du logiciel libre et du numérique ouvert en France, exprime sa profonde préoccupation concernant le projet de réglementation de l’Union européenne intitulé “Cyber Resilience Act” (CRA).
Le CRA a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial le 19 juillet au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien ne change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.
Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?
Le CRA va imposer des exigences administratives et techniques très coûteuses pour les organisations qui diffusent des produits ou des services logiciels ou contenant des logiciels. Elles devront notamment développer, documenter et mettre en œuvre des politiques et des procédures pour chaque projet, préparer une documentation technique pour chaque version de produit et suivre un processus complexe de marquage CE. L’étude d’impact de la Commission estime à 30% l’augmentation des coûts de développement pour les PME, ce qui est largement supérieur aux marges habituellement constatées dans le secteur. En cas de non-respect de ces obligations, les PME sont passibles d’une amende de 15 millions d’euros.
Les logiciels libres sont, par définition, des logiciels diffusés sous une licence de logiciel libre (ou open source, ce qui revient essentiellement au même). Toutes les licences de logiciel libre en usage actuellement comprennent une clause de non-responsabilité: il est en effet logique qu’un individu, une entreprise, petite ou grande, une fondation, un institut de recherche, etc. ne tiennent pas à être tenu à une responsabilité (lorsqu’il n’y a pas une volonté délibérée de nuire) quand il ou elle offre, gratuitement, le fruit de son travail en tant que bien commun au reste de l’humanité. En parallèle, les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à assurer la maintenance de leurs logiciels libres, contre une rémunération, qui couvre les frais de maintenance mais aussi les frais de R&D nécessaire à la création et à l’évolution de ces logiciels.