A travers une lettre ouverte adressée la semaine dernière aux membres du Parlement européen et du conseil de l'Union européenne, la communauté open source dans son ensemble (*), y compris les vastes écosystèmes gravitant autour de Linux et d’Eclipse, s’inquiète des conséquences du Cyber Resilience Act européen. Ce document présenté l'an passé met en avant une série d’obligations pour les objets connectés vendus sur le vieux continent, obligations qui concernent les fabricants de ces produits ou les éditeurs des logiciels intégrés dans lesdits produits (voir notre article). Et ce afin de s’assurer que la sécurité des données est prise en compte dans les appareils de l’Internet des objets avec une procédure de certification associée qui englobe les logiciels qu’ils embarquent.
Pour 90% des produits, les fabricants pourront les autoévaluer, mais l’intervention d’un tiers sera obligatoire pour les appareils jugés critiques. Quant aux entreprises qui ne respectent pas ces exigences, elles s’exposent à des amendes et/ou à une interdiction de la commercialisation des appareils incriminés.
Selon les termes de la lettre envoyée aux instances européennes, les représentants de l’open source “expriment leur préoccupation quant au fait que la grande communauté open source n'ait pas été consultée lors de l'élaboration de la Loi sur la cyberrésilience et qu'elle continue d'être exclue des discussions en cours tout au long des activités de colégislation”. Car, selon les membres de l’open source, notamment les éditeurs de logiciels libres, ce projet va en effet avoir un “effet dissuasif” sur le développement des logiciels. Dans leur missive, ils rappellent par ailleurs que les logiciels libres représentent plus de 70% des logiciels qui seront concernés par la future réglementation.
Là où le bât blesse pour l’open source, c'est que la communauté craint que ce texte imposant des sanctions concerne aussi les codes sources utilisés par les fabricants qui pourraient potentiellement attribuer des failles de sécurité aux contributeurs du logiciel libre. Bien que le texte indique que les logiciels libres développés ou fournis “en dehors du cadre d'une activité commerciale” ne seront pas concernés par ces nouvelles obligations, les tenants de l’open source estiment que cette formulation est trop floue.
Ils souhaitent en conséquence une exemption totale du code open source dans le cadre de ce texte afin que la communauté ou les contributeurs ne soient pas inquiétés si une faille de sécurité est détectée dans un objet connecté, de telle sorte qu'ils ne vivent pas avec une épée de Damoclès au-dessus de leur tête qui pourrait freiner l’innovation et le dynamisme de l’open source.
A l'avenir, les auteurs de la lettre souhaitent que l’Europe “reconnaisse les caractéristiques uniques des logiciels libres, qu’elle “veille à ce que la loi sur la cyberrésilience ne nuise pas involontairement à l'écosystème des logiciels libres” et que la communauté open source soit consultée au cours du processus colégislatif avec la mise en place d’un mécanisme de dialogue et de collaboration continus avec les institutions européennes.
(*) Le document adressé aux représentants européens est cosigné par les directeurs exécutifs, les présidents du conseil d'administration et les présidents au nom de leurs organisations respectives : ESOP, CNLL - Conseil national du logiciel libre, Eclipse Foundation, APELL - European Open Source Software Business Association, Fondation Linux, COSS - Finnish Centre for Open Systems and Solutions, ODF - Open Document Foundation, OFE - OpenForum Europe, OSBA - Open Source Business Alliance, OSI - Open Source Initiative, OW2, Software Heritage Foundation
