Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.
Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :
La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».
Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:
(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.
Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.
Aller plus loin
- Le texte final (130 clics)
- Dépêche du 18 avril 2023 sur le CRA (23 clics)
- Dépêche du 17 juillet 2023 sur le CRA (35 clics)
- Prise de position de Debian (134 clics)
- Commentaire d'OpenForum Europe (48 clics)
# Autre réaction, liens et complément réaction Debian
Posté par Vincent P (site web personnel) . Évalué à 5.
L'OSGeo a publié également une réaction au texte final, incluant plusieurs liens intéressants :
https://www.osgeo.org/foundation-news/eu-cyber-resilience-act-information-update/
Ils notent en particulier que la réaction de Debian, qui est mentionnée également dans les liens de cet article LinuxFR, a été faite juste après la publication du texte final du CRA et ne prend pas en compte à priori certains éléments, rendant l'analyse pas totalement juste.
Ils pointent vers une analyse plus récente et complète également :
https://berthub.eu/articles/posts/eu-cra-what-does-it-mean-for-open-source/
Clairement, il va falloir un peu de temps pour bien comprendre les implications pour les différents types d'acteurs de l'écosystème. Il semble à première vue qu'on est pas sur la catastrophe du texte initial, mais il est également clair que ce texte aura un impact sur l'écosystème OpenSource ( mais aussi sur tout l'écosystème IT européen voire mondial ). Il y a des points positifs et d'autres qui le sont moins, les lignes vont bouger, il faudra savoir s'adapter au mieux.
Ce serait intéressant que le CNLL finance une étude un peu approfondie pour clarifier les impacts pour les communautés de développeurs, les fondations, et les différents types d'entreprises du libre ( intégrateurs, éditeurs, ENL/SSLL… ), ainsi que les actions à mettre en place.
[^] # Re: Autre réaction, liens et complément réaction Debian
Posté par Stefane Fermigier (site web personnel) . Évalué à 8.
La prise de position de Debian, même si elle a été rédigée juste avant que le texte final issu du trilogue ne soit publié, comprend de nombreux principes intemporels et de remarques qui restent d'actualité avec le texte final, et/ou qui devront être pris en compte lors de la rédaction des normes par le CEN/CENELC. Enfin, elle représente un position forte et réfléchie d'une des organisations les plus significatives de l'écosystème. Il m'a dont paru éclairant de l'annexer comme lien à la dépêche.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: Autre réaction, liens et complément réaction Debian
Posté par Stefane Fermigier (site web personnel) . Évalué à 7.
Oui, nous (CNLL) avons eu la même idée. Il y a aussi des actions prévues au niveau de l'APELL.
Les personnes qui souhaiteraient rejoindre un groupe de travail sur ce sujet peuvent nous contacter (contact@cnll.fr).
"There's no such thing as can't. You always have a choice." - Ken Gor
# Le libre c'est pu c'que c'était
Posté par Toufou (site web personnel) . Évalué à 10.
Alors j'ai été confronté à ça récemment dans un cadre pro : où on a demandé en réunion si la licence libre des softs d'une boîte "interdisait une exploitation commerciale". Je suis intervenu disant qu'on ne peut être libre avec une clause NC (violation de la liberté 0 FSF) et là c'est parti en live, la personne partant dans du discourt Ballmer (licence virale, clause NC dans du libre, etc.).
Cette personne était pourtant une chargé de valorisation des produits donc en théorie vaguement au courant des licences logicielles puisqu'elle les négocie et s'appuie dessus pour définir ou évaluer des business plans.
Ça m'inquièterait sévèrement que les concepts portés par la FSF et l'OSI (et tout ceux qui tournent autour) soient pervertis consciemment ou non dans les formations de nos collègues juristes ou commerciaux.
Suis-je le seul à rencontrer ça ?
[^] # Re: Le libre c'est pu c'que c'était
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 10 janvier 2024 à 14:00.
Pas le seul, non. En environnement professionnel, c'est le grand gloubi-boulga dans la tête de beaucoup de gens, qui collent de l"aupène source" partout.
[^] # Re: Le libre c'est pu c'que c'était
Posté par Renault (site web personnel) . Évalué à 10.
Notons que les développeurs sont tout autant touchés par le phénomène que les juristes et commerciaux.
# Merci !
Posté par TuxMips . Évalué à 6.
Merci beaucoup pour cette analyse et votre travail de fond !
La version française du texte final est elle disponible quelque part et si non, sera t'elle un jour disponible ?
[^] # Re: Merci !
Posté par Stefane Fermigier (site web personnel) . Évalué à 7.
Non, j'ai regardé, le texte actuel (qui doit encore passer par une phase de relecture juridique) n'est dispo qu'en anglais. Mais comme tous les textes importants de l'UE, il sera à un moment traduit dans toutes les langues officielles de l'UE.
"There's no such thing as can't. You always have a choice." - Ken Gor
# Des articles pas des considérants
Posté par Benjamin Henrion (site web personnel) . Évalué à 3.
Vrijschrift dénonce que le Conseil a 'clarifié' les problèmes liés au Logiciel Libre via des considérants (qui n'ont pas force de loi) au lieu des articles, et ce contre les bonnes pratiques du Guide 'Joint practical guide':
https://vrijschrift.org/serendipity/index.php?/archives/265-EU-Cyber-Resilience-Act-and-the-emergence-of-proto-legislation.html
[^] # Re: Des articles pas des considérants
Posté par Benjamin Henrion (site web personnel) . Évalué à 2.
Sinon aussi un article de la Python Software Foundation, qui mentionne le concept de "open source software steward":
https://pyfound.blogspot.com/2024/01/CRA-update.html
" 'open-source software steward' means any legal person, other than a manufacturer, which has the purpose or objective to systematically provide support on a sustained basis for the development of specific products with digital elements qualifying as free and open-source software that are intended for commercial activities, and ensures the viability of those products (p. 76)"
Avec un lien vers la version finale:
https://data.consilium.europa.eu/doc/document/ST-17000-2023-INIT/EN/pdf
# Illisible
Posté par devnewton 🍺 (site web personnel) . Évalué à 4.
Il n'y a pas une méta loi qui oblige à rédiger des textes compréhensibles par la plupart des citoyens ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Illisible
Posté par Colin Pitrat (site web personnel) . Évalué à 8.
Si mais personne ne la comprend.
[^] # Re: Illisible
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
Je ne suis pas juriste mais je dirais arbitrage entre le besoin d'une formalisation de la loi pour définir du vocabulaire commun et éviter un certain flou, et la création d'une technicité de ce fait, rendant le texte moins lisible pour le quidam lambda. En dehors du « qualitatif », le « quantitatif », l'empilement législatif, peut aussi jouer. LinuxFr.org est soumis à plus de lignes de code (juridique) maintenant en 2024 qu'il y a 25 ans par exemple. Et potentiellement complexité linguistique ajoutée quand ça vient du niveau européen et des harmonisations à 27.
A contrario espérer que la loi sera limpide pour tous me semblerait totalement populiste.
Il y a régulièrement des opérations de « simplification législative » lancée par les gouvernements successifs (en France en tout cas), avec plus ou moins de succès à mes yeux de non spécialistes : la volonté d'ajouter toujours plus de textes, d'y caser toujours plus d'exceptions (sans parler des « cavaliers législatifs ») n'aide pas.
Exemple avec le code électoral :
Je ne dis pas que c'est injustifié : peut-être que nous sommes en train de migrer d'une situation à une autre, avec une situation intermédiaire plus complexe du coup, ou peut-être que l'on s'est juste compliqué le droit… faudrait demander à la chaîne Vous avez le droit.
Même chose pour des dispositions très anciennes : veut-on un jour ramener les spécificités Alsace et Moselle dans le cas général ? (et se taper des polémiques sans fin sur la laïcité et le droit local et…). Ou aller dans la localisation du droit ?
[^] # Re: Illisible
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Je m'attends à ce qu'un texte de Loi demande une certaine attention pour être lu et que si c'est hors de mon secteur je n'y comprenne rien.
Mais là le texte n'est pas structuré et rédigé de façon à être compréhensible. Il manque clairement un effort de rédaction.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Communiqué de l'April
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Aboutissement du trilogue sur le Cyber Resilience Act : le pire est évité, mais des flous demeurent
# Synthèse des articles qui concernent le libre ?
Posté par Laurent Destailleur (site web personnel) . Évalué à 2. Dernière modification le 19 janvier 2024 à 08:53.
Ouah, 189 pages et 56 articles.
L'usage TL;DR va devenir de plus en plus répandu ;-)
Existe-t-il une liste des numéros d'articles qui impactent plus particulièrement le libre (afin de simplifier la lecture) ?
Expert ERP CRM Open Source et (Dolibarr ERP CRM, Odoo, ...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.