Bonne idée, le Cyber Resilience Act ! Mais pas sans l’Open Source. En l’état, la règlementation met en danger la dynamique des développements dans l’écosystème européen. Explications

Si le Cyber Reslience Act (CRA),est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe.  Et, par conséquent, de compromettre les objectifs de l’Union européenne en matière d’innovation, de souveraineté numérique et de prospérité future. Dans un courrier ouvert adressé cette semaine aux parlementaires européens, les associations représentatives de la communauté open source (dont Eclipse, OFE, Apell et le CNLL) font part de leurs inquiétudes.

Pour rappel, cette réglementation impose aux éditeurs de respecter un certain nombre de règles en matière de cybersécurité sous peine de sanctions financières. Elle prévoit d’exclure de son champ d’application les bénévoles, comprendre les développeurs publiant gratuitement du code source et les associations non commerciales. Pour la communauté , « les législateurs à l’origine du texte ont une vision très partielle du monde open source. » 

Cyber Resilience Act, totalement irréaliste en l’état

Les critiques sont nombreuses. Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels. La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe. Enfin, il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards EUR d’impact économique en Europe.

Plus généralement, « attribuer une norme CE, avec notamment ce que cela suppose de travail administratif, à toutes les versions successives de logiciels publiées dans une démarche open source est totalement irréaliste, tout comme l’engagement de responsabilité auquel seront soumis les contributeurs de code, qu’il s’agisse de grands groupes ou de PME ! » 

Souveraineté et innovation

En l’état, selon les signataires, le CRA risque d’avoir « un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres. »

Pour conforter leurs propos, les signataires rappellent l’importance de l’open source. Tous les secteurs, de l’infrastructure cloud aux applications mobiles en passant par les systèmes de transport public, sont concernés. Qui plus est, l’open source est un facteur essentiel de souveraineté et d’innovation.

Pour ces motifs, la communauté open Source -par la voie de ses associations- souligne qu’elle n’a pas été consultée lors de l’élaboration de cette loi. Aujourd’hui, elle continue d’être exclue des discussions en cours. Elle demande donc aujourd’hui une vraie prise en compte de ses spécificités.

Associations signataires du courrier

> ESOP – Associação de Empresas de Software Open Source Portuguesas
> CNLL – Conseil National du Logiciel Libre
> Eclipse Foundation
> APELL – European Open Source Software Business Associations
> Linux Foundation Europe
> COSS – Finnish Centre for Open Systems and Solutions 
> ODF – Open Document Foundation
> OFE – Open Forum Europe
> OSBA – Open Source Business Alliance
> OSI – Open Source Initiative
> OW2 Initiative