Publicité

​​​​​​​Stéfane Fermigier : "la loi sur la cyber-résilience présente des risques considérables pour l'écosystème du logiciel libre"

  • stephane-fermigier-entreprises-logiciels-libres.jpg

    stefane-fermigier-cnll-logiciel-libre
    Stéfane Fermigier, cofondateur et coprésident du CNLL (Union des entreprises du logiciel libre et du numérique ouvert). (DR)
  • Stéfane Fermigier est cofondateur et coprésident du CNLL (Union des entreprises du logiciel libre et du numérique ouvert), il revient sur les risques que la loi sur la cyberrésilience (Cyber Resilience Act) fait peser sur la filière du logiciel libre en France et en Europe.

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Quels risques le Cyber Resilience Act (CRA) fait-il peser sur la filière du logiciel libre en France et en Europe ?

    Le CRA, qui constitue une avancée potentiellement significative pour la sécurité numérique en Europe, présente, par effet de bord, des risques considérables pour l’ensemble de l’écosystème professionnel du logiciel libre.

    Il va en effet imposer des exigences administratives et techniques très coûteuses aux organisations qui mettent sur le marché des produits ou des services logiciels ou qui contiennent des logiciels. Ces entités devront développer, documenter et mettre en œuvre des politiques et des procédures de sécurité, préparer une documentation technique pour chaque version de produit et suivre un processus complexe de marquage CE. La Commission estime à 30 % les surcoûts de développement induits.

    Lire aussi : Data Governance Act : le règlement sur la gouvernance des données est applicable

    Or les logiciels libres sont historiquement couverts par des clauses de non-responsabilité, légitimes lorsqu’une entité offre, gratuitement, le fruit de son travail en tant que bien commun au reste de l’humanité. En parallèle, les éditeurs de logiciels libres n’ont pas attendu le CRA pour proposer à leurs clients des contrats où ils s’engagent à en assurer la maintenance.

    La question cruciale est donc de savoir si les logiciels libres, et notamment les composants logiciels qui sont intégrés dans plus de 80 % des logiciels mis en œuvre de nos jours, seront ou non soumis au CRA, et selon quels critères.

    Quelles recommandations proposez-vous ?

    Il est encore possible de "patcher" le texte du CRA en étant clair sur l’exclusion des activités non commerciales du champ d’application du CRA.

    Nous recommandons aux co-législateurs de s’inspirer de la législation américaine, qui postule : "la responsabilité doit être placée sur les parties prenantes les plus capables d’agir pour prévenir les problèmes de sécurité, et non sur les utilisateurs finaux qui supportent souvent les conséquences d’un logiciel non sécurisé ni sur le développeur open source d’un composant qui est intégré dans un produit commercial".

    Lire aussi : Vers un IA Act en Europe et plus… Ce qu'il faut retenir du projet de réglementation

    Les législateurs doivent donc s’assurer qu’une exemption claire est intégrée au texte pour les logiciels libres qui ne sont pas des produits mis sur le marché dans le cadre d’une activité commerciale.

    Le gouvernement français a-t-il un rôle à jouer ?

    Le trilogue qui s’engage à présent implique la Commission, le Parlement et le Conseil de l’Union européenne. Le gouvernement français doit et peut encore jouer de son influence au sein du Conseil de l’Union pour préserver les écosystèmes français et européens du logiciel libre, qui sont vitaux pour notre compétitivité économique et notre souveraineté numérique.

    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité