Le Cyber Resilience Act ou CRA est un sujet qui a déjà été évoqué sur ces pages.

Il s’agit d’un projet de directive qui a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial cette semaine, le 19 juillet, au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien de change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.

Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?

Nous en discutons de manière plus détaillée dans cette dépêche, qui reprend, en très grande partie, un communiqué du CNLL.

Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Malheureusement le texte actuellement proposé par la Commission et en cours d’examen au Parlement et au Conseil représente une menace existentielle pour la filière européenne du logiciel libre. C’est ce qui a été mis en évidence depuis la publication du texte par les experts de la filière du logiciel libre (cf. références).

Dans un communiqué commun et une lettre ouverte aux eurodéputés et aux représentants du Conseil de l’Union européenne publiés ce jour, les institutions signataires, représentatives de la communauté des logiciels libres, soulèvent les principaux problèmes avec le CRA, notamment que:

• Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.
• Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.
• La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.
• Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.

Le 15 mai 2020, en séance plénière, le Parlement européen a approuvé plusieurs rapports de décharge budgétaire qui comprennent des amendements invitant les institutions de l’UE à utiliser principalement des solutions open source. En pratique, à partir de maintenant, toutes les solutions informatiques développées par et pour les institutions de l’UE devront d’abord être évaluées par rapport à la possibilité d’utiliser des solutions open source. Les évaluations devront ensuite être rapportées à la commission du contrôle budgétaire du Parlement sur une base annuelle, lors de la procédure de décharge.

Le texte exact et officiel de la résolution concernant la préférence pour le logiciel libre :

« [Le parlement] reconnaît la valeur ajoutée que les logiciels libres et ouverts peuvent apporter au Parlement ; souligne en particulier leur rôle dans l’amélioration de la transparence et dans la prévention des effets de blocage des fournisseurs ; reconnaît également leur potentiel en matière d’amélioration de la sécurité étant donné qu’ils permettent de relever et de corriger les faiblesses ; recommande vivement que tout logiciel développé pour l’institution soit rendu public sous licence de logiciel libre et ouvert »

Une autre résolution concernant les formats ouverts :

[Le parlement] reconnaît que la production de données publiques sous un format ouvert, lisible par machine, facilement accessible et réutilisable offre de grandes possibilités tant pour la transparence envers le public que pour l’innovation ; salue les initiatives en cours visant à créer et à convertir une partie de ses données qui revêtent un intérêt pour le public sous ce format ; souligne la nécessité d’adopter une approche plus conviviale, systématique et coordonnée pour de telles initiatives, dans le cadre d’une politique bien définie des données ouvertes du Parlement »

Merci au Parti pirate européen, et en particulier à l’eurodéputé tchèque et vice‑président du Parlement européen, Marcel Kolaja, qui sont à l’origine des amendements en question.

Précisons que ces résolutions ne concernent que les institutions de l’UE, et pas celles des États membres. Elles donnent néanmoins un signal fort dont on espère qu’il sera aussi suivi par les gouvernements nationaux, et en particulier le nôtre, qui s’est avéré très timide sur la promotion du logiciel libre depuis trois ans.