Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Malheureusement le texte actuellement proposé par la Commission et en cours d’examen au Parlement et au Conseil représente une menace existentielle pour la filière européenne du logiciel libre. C’est ce qui a été mis en évidence depuis la publication du texte par les experts de la filière du logiciel libre (cf. références).

Dans un communiqué commun et une lettre ouverte aux eurodéputés et aux représentants du Conseil de l’Union européenne publiés ce jour, les institutions signataires, représentatives de la communauté des logiciels libres, soulèvent les principaux problèmes avec le CRA, notamment que:

• Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.
• Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.
• La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.
• Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.

La Commission européenne a publié cette semaine une étude sur l’impact des logiciels et du matériel libres sur l’économie européenne, réalisée par Fraunhofer ISI et OpenForum Europe.

Selon le résumé exécutif du rapport :

Les entreprises dans l’UE ont investi environ 1 milliard d’euros dans les logiciels libres en 2018, avec un impact sur l’économie européenne entre 65 et 95 milliards d’euros. L’analyse estime un rapport coûts-bénéfices supérieur à 1:4 et prédit qu’une augmentation de 10 % des contributions aux logiciels libres créerait annuellement 0,4 % à 0,6 % de PIB en plus ainsi que plus de 600 start-ups technologiques supplémentaires dans l’UE. Des études de cas révèlent qu’en privilégiant les logiciels libres, le secteur public pourrait réduire le coût total de possession, éviter un effet de dépendance à l’égard des fournisseurs et accroître ainsi son autonomie numérique. L’étude analyse également les actions de politique publique en Europe et dans le monde.

Le rapport fait également des recommandations, parmi lesquelles :

• mener une politique industrielle dédiée à l’open source et de l’inclure dans ses principaux cadres politiques, tels que le pacte vert pour l’Europe et la stratégie industrielle européenne, ainsi que dans les politiques relatives aux PME,
• mettre en place un réseau européen d’entités administratives dédiées à l’accélération de l’utilisation des logiciels libres et des technologies ouvertes (OSPOs ou “Missions logiciels libres”),
• fournir un financement substantiel aux mécanismes de support, ainsi qu’aux projets open source eux-mêmes, par exemple par le biais du programme de R&D Horizon Europe, d’améliorer l’inclusion des logiciels libres dans les marchés publics,
• et plus globalement promouvoir l’autonomie numérique et la souveraineté technologique via le logiciel libre.

Le Deuxième Plan national pour la science ouverte a été publié récemment par le Ministère de la Recherche.

Parmi les quatre axes d’action de ce plan, qui sont par ailleurs tous intéressants, on note en particulier l’axe 3 : « Ouvrir et promouvoir les codes sources produits par la recherche », avec les mesures suivantes :

• valoriser et soutenir la diffusion sous licence libre des codes sources issus de recherches financées sur fonds publics ;
• mettre en valeur la production des codes sources de l’enseignement supérieur, de la recherche et de l’innovation ;
• définir et promouvoir une politique en matière de logiciel libre.

Le document met en particulier en exergue les deux éléments suivants :

• L’ouverture des codes source des logiciels est un enjeu majeur de reproductibilité des résultats scientifiques.
• La diffusion des productions logicielles sous licence libre sera privilégiée.

Dans un contexte où la doctrine cloud de l’État fait l’objet de nombreuses critiques (« Doctrine cloud de l’État : l’open source mis de côté », « Tribune : les technologies libres ou européennes de cloud sont-elles exclues des marchés publics en France ? », « Service après-vente bonjour ! : le futur de la French Tech ? », etc.), 23 entreprises européennes indépendantes qui créent des technologies originales de cloud, dont une partie sont des acteurs du logiciel libre, ont annoncé la création de l’European Cloud Industrial Alliance (Euclidia), pour la promotion de l’indépendance numérique et de l’autonomie stratégique.

La création d’Euclidia est également soutenue par plusieurs associations du logiciel libre, comme le CNLL, le Fond de Dotation du Libre et OW2.

Euclidia portera la voix des innovateurs européens du cloud. Sa mission est de fournir aux législateurs et aux décideurs politiques à la fois la vision et l’expertise de terrain pour créer des politiques qui encouragent l’adoption et le développement des technologies du cloud créées en Europe. Ces politiques doivent refléter les valeurs européennes telles que la protection de la vie privée et la promotion d’une concurrence loyale, tout en permettant aux industries européennes du cloud d’être compétitives.

Le sujet de la souveraineté numérique, vue comme une autonomie stratégique pour l’Union européenne et les États membres dans l’espace du numérique, est un sujet qui revient de plus en plus souvent dans l’actualité, compte-tenu notamment de la prise de conscience collective de l’influence grandissante et sans doute excessive des GAFAM.

La Commission européenne, dans sa Communication d’octobre 2020 sur sa stratégie open source, en faisait un principe fondateur, et mettait en avant de nombreux arguments faisant le lien entre logiciel libre et souveraineté numérique.

Le gouvernement allemand a décidé au mois d’avril 2021 de créer un « centre pour la souveraineté numérique » (ZenDiS) dont la mission première sera la promotion des logiciels libres dans l’administration publique.

Le CNLL a récemment publié son étude de la filière du logiciel libre en France qui met en avant cette année, entre autres, ce sujet, et notamment l’implication des entreprises de l’écosystème français et des propositions concrètes. Voir en particulier les pages 59 à 93 du rapport détaillé.

Stefane Fermigier, co-président du CNLL, a été auditionné la semaine dernière par la mission d’étude de l’Assemblée nationale sur la souveraineté numérique, et a détaillé l’ensemble de ces points. La vidéo de ses échanges avec le rapporteur de la mission, le député Philippe Latombe, ainsi qu’une transcription, sont à présent disponibles.

La Mission Bothorel « ayant pour objet la politique de la donnée et des codes sources de l’État », lancée en juin dernier, vient de rendre son rapport au Premier Ministre qui « assure d’ores et déjà que des mesures seront prises pour mettre en œuvre les recommandations formulées. » Le Conseil National du Logiciel Libre (CNLL) avait été auditionné par la mission et était intervenu lors de la consultation publique qui a eu lieu en octobre et novembre.

Le rapport fait 215 pages et il contient 37 recommandations. Il est difficile de le résumer en quelques lignes, nous nous contenterons de saluer ici la reconnaissance des « logiciels libres comme composants stratégiques de nos systèmes d’information », et parmi les propositions, celle-ci: « Créer un “Open Source Program Office” (OSPO) […], chargé d’aider l’administration à ouvrir et à réutiliser les codes sources publics, d’identifier les enjeux de mutualisation et de créer des liens avec les communautés open source existantes et d’accompagner les talents français dans ce domaine ».

On pourrait regretter que des sujets comme la politique d’achat de logiciels de l’État (autrement dit, la notion de « priorité », de « préférence » ou même d’« encouragement » pour le logiciel libre) ou la politique industrielle de soutien à la filière du logiciel libre ne soient pas abordés dans le rapport, mais on observera que ces sujets ne faisaient pas partie de la commande passée par le Premier Ministre à la Mission.

Selon TechRepublic, qui commente la dernière édition de l’indice TIOBE qui mesure (de façon certes un peu opaque) la popularité des langages de programmation, Python vient de passer devant Java et est devenu deuxième derrière C. Preuve à la fois de la maturité du langage Python dans l’industrie et de la montée en force des usages pour lesquels il excelle (notamment l’apprentissage automatique).

Cela serait sans doute anecdotique si d’autres sources n’avaient pas également classé Python parmi les langages les plus dynamiques ces dernières années, notamment :

• IEEE Spectrum, qui l’a classé numéro 1 en 2020, 2019, 2018 et 2017 ;
• Stack Overflow, qui l’a classé, après une enquête auprès de ses utilisateurs en 2020, 3ᵉ « langage le plus aimé » et 1ᵉʳ « plus désiré ».

Par ailleurs, si vous utilisez Python et que vous souhaitez exprimer votre avis sur son évolution, il vous reste (à la date d’écriture de cette dépêche) deux jours pour participer à l’enquête annuelle de la PSF (Python Software Foundation) et de JetBrains auprès des développeurs Python.

Dans le cadre de la mission parlementaire démarrée en juin 2020 par le député Éric Bothorel ayant pour objet la politique de la donnée et des codes sources, une consultation est ouverte jusqu’au 9 novembre. La consultation vise à récolter des avis sur les freins actuels à l’ouverture des données, des codes sources et des données d’intérêt général, et les solutions à mettre en œuvre pour libérer le potentiel de la donnée et des codes pour la société et l’économie française.

Le CNLL a rédigé plusieurs propositions, notamment un constat et une solution :

• constat : l’article 16 de la Loi République Numérique n’est pas appliqué, c’est l’article qui prévoit un « encouragement à l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation, de tout ou partie, de [leurs] systèmes d’information » ;
• solution : créer une mission indépendante chargée du suivi de la politique open source de l’État (OSPO — open source programme office) : pour assurer le « SAV » de l’article 16 de la loi Lemaire, il faut une organisation dédiée, avec un mandat stratégique clair (à l’instar de ce que la Commission européenne a décidé récemment dans sa stratégie open source 2020-2023) et composée de personnes compétentes et motivées.

Vous êtes donc invités à participer, à voter pour les propositions du CNLL si elles vous semblent opportunes (ou pour d’autres, ou de rédiger vos propres propositions), afin de mettre le sujet du logiciel libre au cœur de cette mission.

N. D. M. — Dépêche sur le même sujet avec les propositions de l’April.

La Commission européenne a publié le 21 octobre sa stratégie sur le logiciel libre pour la période 2020-2023.

Dans un document en français de seize pages, on peut prendre connaissance de la vision de la Commission : « [exploiter] la puissance de transformation, d’innovation et de collaboration du code source ouvert en encourageant le partage et la réutilisation de solutions logicielles, de connaissances et d’expertise, afin de fournir de meilleurs services européens qui visent à réduire les coûts pour la société et l’enrichissent », de son lien avec la stratégie de la Commission en matière de souveraineté numérique (« il est encore temps pour parvenir à une souveraineté technologique dans certains domaines technologiques essentiels »), de sa volonté de partager et de contribuer (« Nous partageons notre code et rendons possible les contributions incidentes aux projets à code source ouvert associés. […] Nous nous efforçons d’être un membre actif de l’écosystème diversifié du code source ouvert. »), et enfin des leviers et actions concrets envisagés par la Commission, dont, par exemple :

• privilégier les solutions « open source » lorsqu’elles sont équivalentes en matière de fonctionnalités, de coût total et de cybersécurité (ce principe a déjà été adopté par la Commission en 2018 et discuté dans ce communiqué) ;
• adopter une culture de travail fondée sur les principes du code source ouvert, le partage et la réutilisation ;
• s’assurer que les codes utilisés et partagés sont exempts de failles en appliquant des tests de sécurité continus ;
• encourager des normes et spécifications ouvertes qui sont mises en œuvre et diffusées selon le principe du code source ouvert ;
• mettre en place un bureau de programme open source (OSPO, Open Source Program Office) qui agira en tant que facilitateur pour toutes les activités décrites dans la stratégie et le plan d’action ; il aidera les spécialistes des différents domaines concernés, encouragera les directions générales et contribuera à équilibrer les priorités internes et les activités externes.

Dans une ordonnance rendue publique ce jour, le Conseil d’État, saisi par le collectif Santenathon, reconnaît que le gouvernement des États‑Unis peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft, et demande des garanties supplémentaires.

Cette décision est justifiée par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui juge que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens est excessive, insuffisamment encadrée et sans réelle possibilité de recours. La CJUE en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États‑Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.

Les jours sont donc bien comptés pour cette plate‑forme développée depuis deux ans, sans appel d’offre, et au mépris de l’offre des sociétés françaises et européennes, notamment des acteurs du logiciel libre. Le Gouvernement a en effet exprimé, jeudi dernier devant le Sénat, sa volonté de transférer le Health Data Hub sur des plates‑formes françaises ou européennes. Dans l’intervalle, la juge du Conseil d’État demande au Health Data Hub de travailler à minimiser ce risque, notamment en concluant un nouvel avenant avec Microsoft, et à ce que la CNIL instruise les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant que l’intérêt du projet, compte tenu de l’urgence sanitaire actuelle, est suffisant pour justifier le risque encouru et que le recours à la plate‑forme est nécessaire.

Le 15 mai 2020, en séance plénière, le Parlement européen a approuvé plusieurs rapports de décharge budgétaire qui comprennent des amendements invitant les institutions de l’UE à utiliser principalement des solutions open source. En pratique, à partir de maintenant, toutes les solutions informatiques développées par et pour les institutions de l’UE devront d’abord être évaluées par rapport à la possibilité d’utiliser des solutions open source. Les évaluations devront ensuite être rapportées à la commission du contrôle budgétaire du Parlement sur une base annuelle, lors de la procédure de décharge.

Le texte exact et officiel de la résolution concernant la préférence pour le logiciel libre :

« [Le parlement] reconnaît la valeur ajoutée que les logiciels libres et ouverts peuvent apporter au Parlement ; souligne en particulier leur rôle dans l’amélioration de la transparence et dans la prévention des effets de blocage des fournisseurs ; reconnaît également leur potentiel en matière d’amélioration de la sécurité étant donné qu’ils permettent de relever et de corriger les faiblesses ; recommande vivement que tout logiciel développé pour l’institution soit rendu public sous licence de logiciel libre et ouvert »

Une autre résolution concernant les formats ouverts :

[Le parlement] reconnaît que la production de données publiques sous un format ouvert, lisible par machine, facilement accessible et réutilisable offre de grandes possibilités tant pour la transparence envers le public que pour l’innovation ; salue les initiatives en cours visant à créer et à convertir une partie de ses données qui revêtent un intérêt pour le public sous ce format ; souligne la nécessité d’adopter une approche plus conviviale, systématique et coordonnée pour de telles initiatives, dans le cadre d’une politique bien définie des données ouvertes du Parlement »

Merci au Parti pirate européen, et en particulier à l’eurodéputé tchèque et vice‑président du Parlement européen, Marcel Kolaja, qui sont à l’origine des amendements en question.

Précisons que ces résolutions ne concernent que les institutions de l’UE, et pas celles des États membres. Elles donnent néanmoins un signal fort dont on espère qu’il sera aussi suivi par les gouvernements nationaux, et en particulier le nôtre, qui s’est avéré très timide sur la promotion du logiciel libre depuis trois ans.

La Cour des comptes a publié il y a quelques semaines un rapport de deux cents pages consacré à « l’accès à l’enseignement supérieur », et notamment à son application emblématique, Parcoursup.

Le rapport contient notamment de longs passages consacrés à la qualité du code publié.

On peut retenir à ce sujet deux points cruciaux et plutôt désolants :

• seul environ 1 % du code source de l’application a été publié (en 2018), contrairement à la décision des pouvoirs publics annoncée en 2017 de « permettre une totale transparence sur l’affectation des candidats » ;
• la qualité du code audité est qualifiée par la Cour des comptes de « médiocre », avec « un niveau de risque élevé et de nombreuses violations critiques identifiées », la Cour évoque un code qui « n’a pas été produit selon les standards professionnels » et d’un « processus de développement [qui n’a pas été] mené dans les règles de l’art ».

D’un point de vue technique, on apprend dans le rapport que l’application est constituée de 858 752 lignes de SQL (!) et 11 331 de Java.

Plus d’extraits du rapport en cliquant sur « lire la suite ».

Après avoir accueilli environ 300 pythonistes en juin 2017, la conférence PyParis revient cette année en novembre (14 et 15 novembre 2018). Les principaux thèmes à l’honneur ne changent pas :

• l’analyse de données (data science) en Python, avec en corollaire l’apprentissage automatique (machine learning, notamment avec scikit-learn) et ses applications à l’intelligence artificielle ;
• le Web, le Cloud et les applications ;
• le langage Python, lui‐même, son évolution, les outils de développement associés, les meilleures pratiques ;
• l’utilisation de Python dans l’éducation — scolaire, universitaire, ou hors des sentiers battus.

L’appel à propositions est en ligne pour encore quelques jours. Les présentations se feront en anglais devant une audience internationale (de 250 à 300 personnes attendues). La conférence aura lieu à Paris, à l’EPITA (la billetterie ouvrira prochainement).

Le parlement européen s’apprête en septembre à finaliser le texte de la nouvelle directive sur le droit d’auteur en Europe.

Le texte actuel contient de nombreux points qui nous semblent problématiques, notamment (mais pas seulement) l’article 13 sur le « filtrage d’Internet » qui provoque des débats acharnés entre le lobby des industries culturelles et les tenants d’un Internet ouvert (des lunatiques comme Vint Cerf ou Tim Berners‐Lee).

Le CNLL, le pôle de compétitivité Systematic Paris Région et le Syntec Numérique réalisent en ce moment (et comme à peu près chaque année, il faut bien le dire) une grande enquête nationale sur le secteur du logiciel libre et open source en France et ses perspectives.

Nous mobilisons pour cela toutes les organisations qui utilisent d’une façon ou d’une autre (dans leur système d’information, dans leurs produits…) du logiciel libre et open source, ainsi que les prestataires de services et fournisseurs de solutions libres et open source.

Objectifs de l’étude

Nous cherchons à quantifier :

• le marché et les chiffres clés dans la filière (CA, emploi, segments de marché en croissance) ;
• les attentes et besoins des entreprises et utilisateurs ;
• l’impact du logiciel libre et open source dans la dynamique d’innovation.

Les résultats et principaux enseignements seront présentés lors du Paris Open Source Summit et communiqués aux médias, le 6 décembre prochain.