Le ZenDis (de) vient de publier des propositions sur la souveraineté numérique et le droit des marchés publics en Allemagne.

Le ZenDis (Zentrum Digitale Souveränität - Centre pour la Souveraineté Numérique) est une agence gouvernementale (SARL à capitaux publics) allemande, dont la création avait été annoncée dans une dépêche de 2021 et dont la mission est de « servir d’organe central et de coordination pour la promotion des logiciels libres (OSS) dans l’administration publique ».

Le document « Positionspapier: Digitale Souveränität im Vergaberecht»  met en avant l’importance de renforcer la souveraineté numérique des administrations publiques allemandes face à une situation géopolitique incertaine. Il souligne la volonté politique exprimée dans diverses stratégies et documents officiels depuis 2020, qui prônent l’adoption systématique de standards ouverts et de logiciels open source pour les projets informatiques publics afin de réduire les dépendances aux fournisseurs de technologies propriétaires.

L’utilisation de logiciels open source est présentée comme un levier essentiel pour atteindre cette souveraineté numérique. Les avantages comprennent la flexibilité de changer de fournisseur, la capacité d’adaptation des logiciels aux besoins spécifiques des administrations et une meilleure position de négociation avec les fournisseurs. Toutefois, malgré un cadre juridique favorable, l’open source reste peu utilisé dans la pratique des marchés publics.

Enfin, le texte appelle à utiliser la réforme en cours du droit des marchés publics (Vergabetransformationspaket) pour intégrer de manière plus étendue cette préférence pour l’open source, en s’inspirant d’exemples de législation comme celle de la Thuringe. Le texte met en avant des propositions d’amendements spécifiques au code des marchés publics allemand pour favoriser l’adoption de l’open source, renforcer la souveraineté numérique et réduire les dépendances technologiques au sein des administrations publiques allemandes.

Sommaire

• 1. Contexte et volonté politique
• 2. Open-Source: catalyseur de la souveraineté numérique
• 3. Spécificités du droit des marchés publics dans l’acquisition de logiciels
• 4. Nécessité et conformité juridique d’une préférence pour le libre
• 5. Opportunités de réforme du droit des marchés publics
• En résumé

Le document « Positionspapier: Digitale Souveränität im Vergaberecht » élaboré par le Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) met en avant la nécessité de renforcer la souveraineté numérique au sein des administrations publiques allemandes, en particulier par le biais de la réforme du droit des marchés publics.

Il comprend cinq parties.

1. Contexte et volonté politique

Le texte commence par souligner l’importance croissante de la souveraineté numérique face à une situation géopolitique incertaine, en particulier pour les administrations publiques. Depuis 2020, des initiatives ont été mises en place pour renforcer cette souveraineté, telles que les stratégies définies par l’IT-Planungsrat (pdf, de) et les engagements du gouvernement fédéral inscrits dans la stratégie numérique de 2022 (de). Ces documents insistent sur l’utilisation de standards ouverts et sur l’adoption systématique de logiciels open source dans les projets informatiques publics.

2. Open-Source: catalyseur de la souveraineté numérique

L’adoption de logiciels open source est considérée comme un levier crucial pour atteindre la souveraineté numérique. Les avantages de l’open source incluent la possibilité de changer de fournisseur sans contraintes, la capacité à adapter et à personnaliser les logiciels, ainsi qu’une meilleure position de négociation vis-à-vis des fournisseurs. Une étude de marché (de) réalisée en 2019 pour le ministère de l’Intérieur allemand souligne l’importance de réduire les dépendances aux fournisseurs de logiciels propriétaires.

3. Spécificités du droit des marchés publics dans l’acquisition de logiciels

Le document distingue deux types de prestations dans l’acquisition de logiciels : la fourniture du produit logiciel (licences) et les services associés. Les licences open source, étant exemptes de droits d’utilisation, échappent souvent aux obligations de mise en concurrence des marchés publics. Cependant, les services liés à ces logiciels doivent faire l’objet de procédures d’appel d’offres. La pratique actuelle, qui consiste à combiner la fourniture de logiciels et les services associés dans un même appel d’offres, doit évoluer pour favoriser l’open source.

4. Nécessité et conformité juridique d’une préférence pour le libre

Malgré un cadre juridique favorable, l’open source reste marginal dans les pratiques d’achat public. Le texte plaide pour une préférence explicite pour les logiciels open source dans le droit des marchés publics pour éviter les effets de verrouillage (lock-in) liés aux logiciels propriétaires. Il s’appuie sur l’article 97 du code des marchés publics allemand, qui permet des traitements différenciés justifiés par des objectifs légitimes, comme la souveraineté numérique.

5. Opportunités de réforme du droit des marchés publics

Le texte appelle à profiter de la réforme en cours du droit des marchés publics (Vergabetransformationspaket) pour inscrire de manière plus étendue la préférence pour les logiciels open source. Des exemples de la législation en Thuringe montrent comment cette approche peut être intégrée dans les textes de loi, en mettant l’accent sur l’interopérabilité et la durabilité.

Citons à présent les propositions:

C’est pourquoi la réforme actuelle du droit des marchés publics (doit absolument être mise à profit pour établir une priorité open source étendue et efficace. Ou plus encore : pour ancrer la priorité de la Souveraineté numérique.

Concernant le logiciel libre, le document reprend les propositions (de) issues d’une étude réalisée en 2022 par le professeur Andreas Wiebe pour le compte de l’Open Source Business Alliance (OSBA):

(1) Afin de garantir une large interopérabilité, les nouvelles applications et technologies doivent être dotées d’interfaces et de normes ouvertes et être utilisables par ce biais. Les nouvelles applications et technologies doivent, dans la mesure du possible, être compatibles en amont.

(2) L’utilisation de logiciels open source doit être privilégiée par rapport aux logiciels dont le code source n’est pas accessible au public et dont la licence limite l’utilisation, la distribution et la modification, ainsi que l’utilisation d’applications et de technologies qui sont durables tout au long de leur cycle de vie.

(3) Pour les nouveaux logiciels développés par l’administration publique ou spécialement pour elle, le code source doit être placé sous une licence de logiciel libre et open source appropriée et publié, pour autant qu’aucune tâche liée à la sécurité ne soit effectuée avec ces logiciels et que cela soit autorisé par le droit des licences.

Commentaire: les points 1 et 2 font écho à l’article 16 de la loi République Numérique en France, mais dans celle-ci il n’est question que d’ « encouragement » alors qu’ici il s’agit d’une obligation (point 1) ou d’une préférence (point 2). Le point 3 est aussi proche de ce qui est prévu en France concernant les logiciels vus comme des documents administratifs communicables.

Le document ajoute pour conclure:

Nous nous rallions à ce point de vue et à la proposition de formulation, mais nous nous prononçons explicitement en faveur d’un ancrage dans le code des marchés publics. En effet, comme le fait remarquer Wiebe, la loi sur la cyberadministration ne se réfère pas directement à l’attribution des marchés. En revanche, le décret sur les marchés publics permet de donner la priorité à l’open source ou à la souveraineté numérique. […]

Nous estimons qu’il est nécessaire, au regard des exigences de la description des prestations,

1. de rendre obligatoire la mention, dans le cahier des charges, des exigences qui renforcent la Souveraineté Numérique.

En ce qui concerne les conditions d’attribution, nous pensons qu’il est nécessaire,
1. d’établir l’effet du logiciel sur la Souveraineté Numérique comme critère autonome d’évaluation des offres,

2. de concrétiser l’évaluation de la rentabilité du logiciel,

• de manière à inclure les éventuels coûts induits par un éventuel effet de verrouillage,

• de sorte que l’impact économique sur d’autres acteurs de l’administration publique (réutilisation de logiciels) soit pris en compte.

En résumé

Le ZenDiS préconise des amendements spécifiques au code des marchés publics pour établir une préférence claire et opérationnelle en faveur des logiciels libres, afin de contribuer à la souveraineté numérique. Ce document présente des propositions concrètes pour adapter le cadre juridique afin de favoriser l’adoption de l’open source et de réduire les dépendances aux technologies propriétaires dans le secteur public.

Il nous semble indispensable de mener une réflexion similaire en France.

La Commission européenne a publié un avis préliminaire selon lequel Microsoft aurait enfreint les règles antitrust de l’UE en liant Teams à ses suites bureautiques, Office 365 et Microsoft 365, avec pour effet de limiter la concurrence sur le marché des outils de communication et de collaboration.

La Commission a constaté que Microsoft est en position dominante sur le marché mondial des suites bureautiques SaaS pour un usage professionnel. Elle s’inquiète du fait que, depuis au moins avril 2019, Microsoft inclut Teams dans ses suites bureautiques en SaaS, restreignant ainsi la concurrence sur le marché des produits de communication et de collaboration. Cette stratégie empêche les concurrents de Teams de rivaliser efficacement, réduisant ainsi l’innovation au détriment des clients dans l’Espace économique européen.

La Commission juge insuffisants les changements apportés par Microsoft à la distribution de Teams après l’ouverture de l’enquête en juillet 2023. Si ces accusations sont confirmées, elles constitueraient une violation de l’article 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), qui interdit l’abus de position dominante. La Commission pourrait alors interdire ces pratiques et imposer une amende pouvant atteindre 10 % du chiffre d’affaires annuel mondial de l’entreprise, ainsi que des remèdes pour rétablir la concurrence.

Le Conseil National du Logiciel Libre (CNLL) déplore la sous-représentation de la souveraineté numérique dans le débat politique actuel en vue des élections européennes en France. Le CNLL a en effet élaboré et diffusé un questionnaire auprès des principaux partis candidats aux Européennes de juin. Aucun des "grands" partis sollicités à de multiples reprises et par différents canaux n'a donné suite. Cette absence de réponse des grands partis est la marque soit d'un désintérêt, soit d'une absence d'expertise, confirmés pour l'essentiel par l'analyse de Benoît Sibaud dans une dépêche précédente.

Seuls deux "petits" partis, Volt France (leur réponse) et le Parti Pirate (leur réponse), ont répondu à ce questionnaire, en reconnaissant pleinement l'importance de la souveraineté numérique et en proposant des stratégies claires pour intégrer davantage le logiciel libre dans la politique numérique européenne.

En comparaison, tous les grands partis allemands ont répondu à un questionnaire similaire de l'Open Source Business Alliance (OSBA), mettant en lumière le retard préoccupant des partis français en la matière.

Dans ces conditions, le CNLL appelle les électeurs français sensibles aux sujets de la souveraineté numérique européenne et du soutien au logiciel libre à considérer avec attention les listes de ces deux partis lors du scrutin du 9 juin prochain.

NB pratiques: Volt figure sur la liste « Europe Territoires Écologie » (n°31) avec d'autres partis de centre-gauche. Le Parti Pirate (n°10) invite ses électeurs à imprimer leur propre bulletin.

N. D. M. : l'April a aussi extrait les différentes propositions relatives aux sujets de l'association parmi les programmes des 38 listes candidates

Le collectif « Convergences Numériques », qui regroupe dix organisations professionnelles du numérique françaises, dont Numeum et le Cigref (mais pas le CNLL), avait organisé jeudi dernier une soirée pour à la fois présenter un « manifeste » concernant la politique européenne du numérique, et pour auditionner 7 représentants des listes candidates aux élections européennes de juin prochain.

Sur les 10 pages du manifeste, une seule proposition concerne le logiciel libre: « Encourager l’Europe à soutenir l’open source : largement adopté par les entreprises et administrations françaises, l’open source est un atout majeur pour répondre aux défis de l’indépendance technologique et de la transition écologique. » C'est peu, compte-tenu notamment du fait que le logiciel libre représente plus de 10% du chiffre d'affaire annuel de la filière informatique (logiciels et services) en France et un peu moins de 10% en Europe (source: étude Markess 2022 pour le CNLL, Numeum et Systematic), et que la stratégie de la Commission pour l'Open Source s'arrête à 2023.

Lors des auditions, seuls deux candidats ont parlé du logiciel libre, y consacrant chacun l'essentiel de leur temps de parole: Sven Franck, co-tête de liste du parti Volt, et Pierre Beyssac, numéro 2 de la liste du Parti Pirate. Sven Franck a notamment présenté l'intérêt du logiciel libre pour la souveraineté et la compétitivité européennes, et Pierre Beyssac l'importance d'une forme de souveraineté numérique « personnelle » en plus d'une vision plus « étatique » de la souveraineté.

Notons enfin que le CNLL a publié en mars un questionnaire adressés aux partis politiques qui souligne l'importance stratégique du logiciel libre pour la souveraineté numérique, l'innovation et les valeurs démocratiques de l'Europe. Il invite les candidats à partager leur vision et leurs propositions sur un large éventail de sujets liés au logiciel libre, notamment la gouvernance numérique, l'éducation et la formation, le soutien aux PME, l'innovation, les politiques spécifiques et la collaboration. Les questions portent sur des aspects concrets tels que la promotion du logiciel libre dans l'administration publique, l'accès aux marchés pour les PME, les programmes de financement, l'interopérabilité, l'inclusion sociale et la durabilité numérique.

À ce jour, aucune réponse n'a été reçue (malgré de multiples relances), et seuls Volt et le Parti Pirate se sont engagés à répondre. Notons pour finir que des propositions en faveur du logiciel libre sont détaillées dans leurs programmes (cliquez sur "lire la suite" pour en savoir un peu plus).

À propos des programmes des partis

Les propositions relatives au logiciel libre du programme du Parti Pirate se trouvent sur cette page et celles de Volt dans ce PDF (p. 73).

Les deux partis vont dans le même sens d'un soutien affirmé au logiciel libre, mais le Parti Pirate entre davantage dans les détails et propose un programme plus exhaustif et radical de transition vers l'open source, là où Volt en reste à des propositions plus générales. Les motivations mises en avant diffèrent également en partie.

Convergences

Les programmes de Volt et du Parti Pirate concernant le logiciel libre présentent plusieurs points de convergence:

1. Les deux partis soutiennent la publication sous licence open source des logiciels développés grâce à des fonds publics, afin de garantir leur transparence et leur réutilisation.
2. Ils souhaitent tous deux promouvoir l'utilisation de logiciels libres et formats ouverts dans l'administration publique.
3. Ils proposent de soutenir financièrement le développement de l'écosystème du logiciel libre et des technologies open source.
4. Ils veulent éviter de rendre de facto obligatoire l'usage de formats propriétaires dans les communications avec l'administration.

Différences

1. Le Parti Pirate va plus loin dans les détails et les mesures concrètes proposées (migration du secteur public vers le libre, création d'OSPO dans les États membres, licences copyleft, compatibilité multi-plateformes des logiciels publics, accès aux données publiques…).
2. Le Parti Pirate insiste davantage sur les enjeux de transparence, d'autonomie et de vie privée des utilisateurs, tandis que Volt met plus l'accent sur la pérennité de l'écosystème.
3. Le Parti Pirate veut éviter de soumettre le développement de logiciel libre aux mêmes contraintes que le logiciel propriétaire, point qui n'est pas abordé par Volt.
4. Volt propose de responsabiliser les intégrateurs sur la conformité des logiciels libres déployés, ce qui n'apparaît pas dans le programme du Parti Pirate.

Les propositions des autres partis

À ce jour, et malgré des dizaines de courriels envoyés aux autres partis, nous n'avons pas identifié de propositions concernant le logiciel libre dans les programmes des autres partis. Si vous avez des contacts au sein de ces partis, n'hésitez pas à relayer cette information. Une nouvelle dépêche sera publiée si nous arrivons à obtenir des réponses.

Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Détails et exemples

La menace posée par le RTB est très réelle, comme le démontrent les exemples suivants :

• Aux USA, un groupe conservateur catholique a utilisé des données RTB d’une application de rencontre pour révéler que des prêtres catholiques n’étaient pas célibataires, ce qui a conduit l’un d’eux à démissionner lorsque ses visites sur des applications et lieux gays ont été rendues publiques.
• Les données RTB peuvent indiquer une variété de problèmes de santé, tels que la dépression, les douleurs chroniques, la toxicomanie ou les troubles anxieux.
• Les acteurs malveillants peuvent utiliser les données RTB pour identifier les enfants, les collègues et les trajets quotidiens d’une cible.
• La situation financière d’une personne peut être exposée, et donc une vulnérabilité potentielle à la corruption.
• Les opinions politiques et les affiliations peuvent être déduites à partir des données RTB, ciblant potentiellement des individus pour de l’exploitation ou de la manipulation, comme on l’a vu avec le scandale « Facebook-Cambridge Analytica » il y a quelques années.

Solutions proposées

Face à ces menaces, nous recommandons les actions suivantes :

1. La Commission européenne devrait solliciter le Conseil européen de la protection des données pour examiner la crise de sécurité du RTB. Les autorités de protection des données devraient appliquer le « principe de sécurité » du RGPD, en exigeant que IAB TechLab et Google, en tant que contrôleurs de données, modifient leurs normes RTB pour interdire l’inclusion de données personnelles. Toutes les données d’identification et de liaison doivent être supprimées.
2. L’Agence européenne pour la cybersécurité (ENISA) devrait émettre une alerte aux États membres et aux institutions de l’Union, recommandant le blocage des publicités pour réduire la collecte de données par des tiers.
3. Le Service européen pour l’action extérieure (SEAE), le groupe de coopération NIS et l’ENISA devraient évaluer conjointement l’impact du RTB sur la sécurité de l’Union européenne.
4. Si nécessaire, la Commission européenne devrait envisager des mesures juridiques pour introduire une certitude et une harmonisation dans la gestion de cette menace pour la sécurité commune.

Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.

Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :

La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».

Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:

(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.

Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.