Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Quels risques le Cyber Resilience Act (CRA) fait-il peser sur la filière du logiciel libre en France et en Europe ?
Le CRA, qui constitue une avancée potentiellement significative pour la sécurité numérique en Europe, présente, par effet de bord, des risques considérables pour l’ensemble de l’écosystème professionnel du logiciel libre.
Il va en effet imposer des exigences administratives et techniques très coûteuses aux organisations qui mettent sur le marché des produits ou des services logiciels ou qui contiennent des logiciels. Ces entités devront développer, documenter et mettre en œuvre des politiques et des procédures de sécurité, préparer une documentation technique pour chaque version de produit et suivre un processus complexe de marquage CE. La Commission estime à 30 % les surcoûts de développement induits.
Lire aussi : Data Governance Act : le règlement sur la gouvernance des données est applicable
Or les logiciels libres sont historiquement couverts par des clauses de non-responsabilité, légitimes lorsqu’une entité offre, gratuitement, le fruit de son travail en tant que bien commun au reste de l’humanité. En parallèle, les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à en assurer la maintenance.
La question cruciale est donc de savoir si les logiciels libres, et notamment les composants logiciels qui sont intégrés dans plus de 80 % des logiciels mis en œuvre de nos jours, seront ou non soumis au CRA, et selon quels critères.
Quelles recommandations proposez-vous ?
Il est encore possible de "patcher" le texte du CRA en étant clair sur l’exclusion des activités non commerciales du champ d’application du CRA.
Nous recommandons aux co-législateurs de s’inspirer de la législation américaine, qui postule : "la responsabilité doit être placée sur les parties prenantes les plus capables d’agir pour prévenir les problèmes de sécurité, et non sur les utilisateurs finaux qui supportent souvent les conséquences d’un logiciel non sécurisé ni sur le développeur open source d’un composant qui est intégré dans un produit commercial".
Lire aussi : Vers un IA Act en Europe et plus… Ce qu'il faut retenir du projet de réglementation
Les législateurs doivent donc s’assurer qu’une exemption claire est intégrée au texte pour les logiciels libres qui ne sont pas des produits mis sur le marché dans le cadre d’une activité commerciale.
Le gouvernement français a-t-il un rôle à jouer ?
Le trilogue qui s’engage à présent implique la Commission, le Parlement et le Conseil de l’Union européenne. Le gouvernement français doit et peut encore jouer de son influence au sein du Conseil de l’Union pour préserver les écosystèmes français et européens du logiciel libre, qui sont vitaux pour notre compétitivité économique et notre souveraineté numérique.