Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Une pétition pour un « EU-Linux » : un appel à la souveraineté numérique européenne

17 novembre 2024 à 10:06

Une pétition récemment déposée au Parlement européen propose de développer un système d’exploitation open source, baptisé « EU-Linux », destiné à équiper les administrations publiques des États membres. Selon son auteur, un citoyen autrichien anonyme, cette initiative vise à réduire la dépendance de l’Union européenne aux logiciels propriétaires, notamment ceux de Microsoft, tout en renforçant la souveraineté numérique, la conformité au RGPD et la transparence, et en contribuant au développement durable. Le texte de la pétition souligne également l'importance de promouvoir des solutions open source pour remplacer les logiciels propriétaires dans les tâches quotidiennes des administrations publiques.

Cette initiative, certes modeste, a le mérite de remettre sur la table les enjeux techniques et organisationnels du passage de grandes administrations publiques à Linux. Elle interroge aussi sur la manière dont l’Union européenne pourrait s’engager plus activement en faveur des logiciels libres dans ses infrastructures numériques: Comment garantir, par des choix techniques et de gouvernance, une collaboration efficace entre les institutions, les communautés open source et les acteurs industriels pour assurer la qualité, la pérennité et l’évolution de cette distribution ? Comment surmonter les résistances culturelles et organisationnelles au sein des administrations ?

En s’appuyant sur des précédents comme, par exemple, LiMux en Allemagne ou GendBuntu en France, ce projet offre une opportunité de tirer les leçons des expériences passées. La communauté open source est invitée à participer à ce débat pour proposer des solutions concrètes et faire de cette proposition un catalyseur pour une véritable souveraineté numérique européenne.

Ce qui suit est une version condensée des idées et des références développées dans la note Sovereign OS “EU Linux” de l'auteur de cette dépêche.

Pourquoi cette initiative est pertinente ?

L’initiative EU-Linux répond à des enjeux stratégiques cruciaux pour l’Union européenne. La dépendance aux logiciels propriétaires et aux services cloud, majoritairement développés et opérés hors de l’Europe, expose les données sensibles des administrations à des risques de cybersécurité et à une surveillance permise par les loi extra-territoriales des pays concernés. En adoptant un système et des solutions open source, l’Europe pourrait garantir une transparence totale, renforcer la protection des données personnelles, économiques et stratégiques, et accroître sa souveraineté numérique, tout en favorisant des économies substantielles sur les coûts de licences logicielles.

Des études récentes démontrent que l’open source est déjà un pilier essentiel de l’économie numérique européenne. Une analyse publiée par la Commission (2021) estime que l’adoption accrue des logiciels libres pourrait générer jusqu’à 95 milliards d’euros de valeur économique annuelle d’ici 2030 dans l’UE.

Quels sont les précédents ?

Plusieurs initiatives à travers le monde ont exploré des approches similaires pour renforcer leur autonomie numérique. En France, la Gendarmerie a migré plus de 70 000 postes vers Ubuntu, réalisant des économies significatives tout en améliorant la sécurité. En Russie, Astra Linux a été adopté pour les besoins des administrations nationales, garantissant une conformité totale avec leurs exigences sécuritaires. En Allemagne, le projet LiMux à Munich a démontré la faisabilité technique, financière et organisationnelle d’un tel passage, bien qu’il ait été stoppé en raison de pressions politiques et institutionnelles. Le plan de migration engagé par le Land de Schleswig-Holstein, en cours depuis 2021, démontre que l'expérience malheureuse de Munich n'a pas freiné les volontés de certains gouvernements régionaux d'adopter des solutions open source pour leurs administrations.

En France, le sujet a été abondamment discuté en 2016 dans le cadre de l'idée d'un "OS souverain", mise en avant notamment par Delphine Batho, députée de l’époque. Cette proposition visait à créer une alternative open source pour les administrations publiques, basée sur des distributions Linux existantes comme Debian ou Ubuntu, tout en favorisant un développement national pour mieux protéger les données sensibles et réduire la dépendance aux géants étrangers. Bien que cette idée ait reçu un certain écho médiatique, elle s’est heurtée à un scepticisme important, y compris de personnes qui auraient pu contribuer plus positivement à la discussion et à des propositions constructives. Deux études récentes (2022), l'une pour la DGFIP et l'autre pour le Ministère des armées, soulignent la faisabilité technique et esquissent des pistes de réalisation de tels projets.

Quelle approche pourrions-nous proposer ?

Pour maximiser les chances de succès d’EU-Linux, il est essentiel d’adopter une approche collaborative impliquant les institutions européennes, les communautés open source et les industriels locaux. Plutôt que de partir de zéro, l’initiative devrait s’appuyer, d'une façon ou d'une autre, sur des distributions Linux existantes, disposant d'une forte proportion de développeurs en Europe, comme par exemple Debian ou NixOS, reconnues pour leur fiabilité et leur large adoption. La communauté open source européenne pourrait ainsi jouer un rôle central dans la personnalisation et la maintenance de cette distribution, dans le cadre d'une gouvernance partagée, et en tirant parti de l’écosystème déjà riche de compétences et de solutions disponibles.

Quelles sont les questions ouvertes ?

Plusieurs interrogations stratégiques restent en suspens. Quelle base technique choisir pour EU-Linux afin d’assurer une adoption fluide dans des contextes administratifs variés ? Comment garantir un engagement à long terme des gouvernements européens dans ce projet ? Et comment concilier les différences entre les besoins nationaux et la nécessité d’une standardisation au niveau de l’UE ? Enfin, quelles mesures, y compris financières, mettre en place pour pérenniser la contribution des communautés open source et assurer la maintenance et l’évolution continue d’EU-Linux ?

La communauté du logiciel libre est invitée à s’exprimer et à contribuer pour répondre à ces défis et construire une infrastructure numérique véritablement souveraine et innovante.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Compte-rendu de la conférence APELL - Quelles politiques européennes de soutien au logiciel libre?

La conférence 2024 de l'APELL avait rassemblé l'été dernier à Berlin des acteurs clés du logiciel libre et des décideurs politiques pour échanger sur l'avenir des politiques open source en Europe. Les discussions ont abordé, notamment, les thèmes de la souveraineté numérique, du renforcement de la collaboration entre les pays et de l'adoption de politiques publiques favorisant le logiciel libre. Un compte-rendu détaillé de la conférence (PDF, 33 pages) est à présent disponible.

Les participants ont formulé ou rappelé de nombreuses propositions concrètes pour promouvoir et dynamiser la filière européenne de l'open source. Les participants ont notamment débattu d'initiatives visant à harmoniser les politiques publiques, à soutenir la formation, à plus communiquer sur les réussites. Le rôle central de l'APELL, en tant que voix unifiée de l'open source professionnel en Europe, a été souligné, ainsi que l'importance de créer et de promouvoir standards ouverts et de développer des partenariats transfrontaliers. In fine, les participants ont appelé à une mobilisation collective pour ancrer l'open source au cœur de la stratégie numérique européenne, garantissant résilience et innovation sur le continent.

Sommaire

La conférence APELL 2024 a été l'occasion de discuter des enjeux stratégiques et d'élaborer des propositions concrètes visant à renforcer l'open source en Europe.

Renforcer la souveraineté numérique par l'open source

Les discussions ont mis en avant l'importance de dépasser les simples questions de conformité légale pour intégrer la souveraineté numérique dans la culture et la pratique des institutions européennes. Le logiciel libre a été reconnu comme un levier essentiel pour garantir la liberté de choix et l'innovation technologique. Les participants ont proposé que l'Union européenne fixe l'objectif ambitieux de ne financer que des solutions open source dans l'administration publique à l'horizon 2035. Cette idée repose sur un engagement à long terme soutenu par des financements ciblés et des stratégies de mise en œuvre durable.

Cinq idées fortes

Cinq points clés ont particulièrement marqué les débats et témoignent de la portée des discussions :

  1. Le passage à l'open source pour la souveraineté numérique : Le consensus parmi les participants était clair : adopter et promouvoir les logiciels libres est une étape stratégique incontournable pour que l'Europe atteigne une véritable souveraineté numérique. Dans un monde où les dépendances technologiques peuvent fragiliser des économies entières, l'open source offre un moyen de regagner du contrôle sur les infrastructures numériques.
  2. L'importance des logiciels libres dans les produits et services technologiques innovants : Les logiciels open source ne se limitent pas à représenter des alternatives à des solutions dominant le marché, mais sont présents dans 96 % des bases de code actuelles, selon les experts présents. Ils sont essentiels pour soutenir l'innovation dans des domaines aussi divers que le cloud, l'IoT, l'intelligence artificielle et l'analyse des données massives (big data). Selon Manuel Hoffman, économiste à la Harvard Business School, qui est intervenu pendant la conférence, sans les logiciels libres, les entreprises auraient besoin de tripler leurs dépenses en logiciels (cf. Hoffmann, Manuel, Frank Nagle, and Yanuo Zhou. "The Value of Open Source Software." Harvard Business School Working Paper, No. 24-038, January 2024.). Ce constat met en évidence le caractère irremplaçable des logiciels libres dans le développement technologique et économique.
  3. Les standards ouverts et le projet Sovereign Cloud Stack : Le projet Sovereign Cloud Stack (SCS) a été cité en exemple pour illustrer la manière dont les standards ouverts peuvent servir de fondement à la souveraineté numérique. SCS combine les principes de liberté de choix, d'innovation, de conformité et de concurrence, permettant aux utilisateurs de ne pas être enfermés dans un écosystème unique. Cette approche favorise une plus grande résilience et réduit les coûts de transition entre solutions.
  4. Renforcer la coopération transfrontalière : Un autre point crucial a été l'appel à intensifier les efforts de collaboration entre les pays européens. En unissant leurs forces et en coordonnant leurs efforts, ceux-ci peuvent sensibiliser davantage les décideurs à l'importance stratégique de l'open source et orienter les investissements publics et privés vers des initiatives qui soutiennent cet écosystème. Cette collaboration est essentielle pour maintenir la compétitivité de l'Europe face aux géants mondiaux de la technologie (e.g. les GAFAM).
  5. Le rôle central de l'APELL : En tant qu'association européenne des entreprises de logiciel libre, l'APELL a réaffirmé son engagement à défendre et à promouvoir des politiques qui soutiennent l'écosystème open source. L'association se positionne comme une voix unifiée pour représenter les intérêts de la filière du logiciel libre à l'échelle européenne, encourageant des actions politiques cohérentes et des initiatives qui renforcent l'innovation collective.

Initiatives et propositions concrètes

Plusieurs propositions et recommandations ont émergé des ateliers et des discussions :

  1. Harmonisation des politiques "Public Money, Public Code" : Inspirées des cadres législatifs existants en France et en Italie, les recommandations du groupe de travail appellent à une harmonisation de ces principes à l'échelle européenne, accompagnée de financements pour des programmes de formation et des études d'impact sur l'adoption de l'open source.
  2. Développement des compétences et formations : Pour répondre au manque de main-d'œuvre qualifiée, les participants ont suggéré la création de partenariats entre les universités et l'industrie pour développer et standardiser les enseignements spécifiques au logiciel libre, et des travaux de fin d'études axés sur des contributions aux projets open source. Le financement de formations spécialisées dans des domaines stratégiques tels que la cybersécurité a également été discuté.
  3. Collaboration transfrontalière : Afin de renforcer l'écosystème open source, l'APELL a été invitée à encourager la création d'associations professionnelles nationales là où elles manquent, comme en Pologne et en République tchèque, ou encore d'aider à la relance d'une association en Espagne. L'objectif est de créer un réseau européen plus intégré capable de partager ressources et meilleures pratiques, et de peser au niveau des institutions de l'Union.
  4. Promotion de la transparence et de la confiance : Les participants ont recommandé de créer des outils et des campagnes de sensibilisation pour promouvoir la transparence et la fiabilité des solutions open source, particulièrement dans les secteurs réglementés tels que la finance et la santé.
  5. Réglementation et standards ouverts : La conférence a plaidé pour l'élaboration de nouvelles régulations favorisant l'interopérabilité et les standards ouverts, en s'appuyant sur des cadres tels que le cadre européen d'interopérabilité (EIF). L’adoption de solutions modulaires, permettant une flexibilité accrue et des coûts de migration réduits, a été recommandée pour soutenir la transformation numérique des administrations publiques de manière durable et pérenne. Ces réglementations devraient également inclure une obligation pour les administrations publiques de privilégier des solutions open source lorsque celles-ci répondent aux besoins. Toutefois, l’expérience en France et en Italie montre qu’un cadre légal ne suffit pas à lui seul à provoquer un changement durable. Pour que cette adoption soit efficace, un soutien actif à la mise en œuvre est essentiel, qui doit être l'objet de plan cohérents.
  6. Soutien aux initiatives de "proof of concept" : Pour surmonter les réticences des administrations, l'encouragement à financer des projets pilotes démontrant la valeur des solutions open source a été recommandé par les participants, afin de prouver l'efficacité et les avantages à long terme de ces solutions.

Redéfinir le message autour du logiciel libre

Un des thèmes centraux abordés lors de la conférence a été l’importance de choisir le bon message pour promouvoir l’open source. Les participants ont débattu de l’efficacité de mettre en avant la "mitigation des risques" – un argument souvent utilisé pour justifier l’adoption des logiciels libres, en particulier auprès des administrations publiques. Bien que pertinent, cet argument reste dans un "espace de problème" plutôt que de présenter l’open source comme un outil "d’opportunités et d'innovation". Pour une communication plus impactante, les experts ont proposé de recentrer le discours sur le potentiel de l’open source à favoriser l'innovation et la collaboration.

L'open source ne se limite pas à réduire les risques; il constitue aussi une source de croissance et de compétitivité. Par exemple, dans l'industrie automobile, où l’interopérabilité entre divers sous-systèmes est cruciale, l'open source permet aux grandes entreprises et à leurs nombreux sous-traitants de collaborer plus efficacement et de garantir la compatibilité de leurs systèmes. Les développeurs, en travaillant dans un écosystème open source, peuvent ainsi obtenir des résultats plus rapidement que s'ils travaillaient de manière isolée sur des solutions propriétaires.

La voie à suivre : une mobilisation collective

La conférence s'est conclue par un appel à l'action pour une mobilisation collective et proactive afin de garantir que le logiciel libre devienne durablement un pilier de la politique numérique européenne. La mise en place de prix et de trophées européens pour célébrer les réussites open source (ex: Acteurs du Libre en France ou les EU Open Source Awards), la publication régulière d'études pour attirer l'attention des médias (cf. les publications du CNLL ou celles de l'OSBA, etc.), et l'organisation d'événements dédiés ont été identifiés comme des moyens de stimuler l'intérêt et l'engagement.

La conférence APELL 2025 aura vraisemblablement lieu à Varsovie au début de l'été 2025 et sera l'occasion de faire le bilan des actions en cours, au niveau des institutions européennes comme des États membres.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Linus Torvalds: comment éviter que RISC-V ne reproduise les erreurs du passé?

13 juillet 2024 à 08:02

Lors de leur keynote à l'Open Source Summit 2024, Linus Torvalds et Dirk Hohndel ont échangé sur l’avenir des architectures matérielles libres, en particulier RISC-V. Linus, avec son franc-parler habituel, a partagé ses craintes et ses espoirs concernant l’évolution de RISC-V et le rôle crucial que peuvent jouer les communautés open source pour éviter les erreurs passées, notamment dans le développement des plateformes comme ARM et x86.

Linus estime qu’il existe un risque majeur que RISC-V répète les erreurs commises par les architectures précédentes, comme lorsqu’ARM est devenu une plateforme serveur et a ignoré en partie les leçons apprises lors du développement de l’architecture x86, notamment en matière de sécurité. Cependant, il reconnaît également que grâce à l’expérience accumulée, ces erreurs ont été corrigées plus rapidement. La question cruciale est à présent de savoir si RISC-V saura tirer parti de cette expérience collective pour éviter ces écueils ou s’il devra traverser les mêmes cycles d’apprentissage douloureux.

Leçons du passé et rôle des logiciels libres

Les erreurs évoquées par Linus sont multiples. Il parle notamment des problèmes de compatibilité et d’interopérabilité qui ont compliqué l’adoption de nouvelles architectures matérielles. Il mentionne également le manque de communication entre les concepteurs de matériel et les développeurs de logiciels, créant un fossé qui ralentit l’innovation et entraîne des inefficacités. Enfin, il rappelle que les délais nécessaires pour corriger les erreurs matérielles sont bien plus longs que pour les logiciels, ce qui peut freiner l’évolution des nouvelles technologies.

Cependant, l’open source présente une opportunité unique pour surmonter ces obstacles. Une architecture matérielle ouverte comme RISC-V permet une transparence totale, où les développeurs de logiciels peuvent intervenir dès les premières phases de conception pour s’assurer que les erreurs du passé ne se reproduisent pas. Cette collaboration précoce entre développeurs matériels et logiciels est essentielle pour anticiper et résoudre les problèmes avant qu’ils ne deviennent des obstacles majeurs.

L’open source a déjà prouvé sa valeur dans le domaine des logiciels en offrant une flexibilité et une adaptabilité incomparables. Cette même philosophie appliquée au matériel peut accélérer l’innovation et permettre de répondre plus rapidement aux besoins du marché. De plus, une communauté ouverte permet de partager les connaissances et les meilleures pratiques, réduisant ainsi les risques de répéter les erreurs passées.

Sécurité et architecture matérielle open source

Un point crucial soulevé par Linus concerne la sécurité, en particulier les défis posés par les failles matérielles et les attaques par canal auxiliaire. Ces vulnérabilités résultent souvent des optimisations dans le silicium, comme l'exécution spéculative, qui peuvent être exploitées pour compromettre la sécurité des systèmes.

Linus a exprimé sa frustration face à la nature secrète des processus de gestion des failles de sécurité dans le domaine du matériel. Il a souligné que cette opacité empêche de travailler en toute transparence sur ces problèmes intéressants et techniques. Une architecture matérielle open source, comme RISC-V, pourrait potentiellement atténuer ces frustrations en permettant une collaboration ouverte dès le début, facilitant ainsi la détection et la correction rapide des vulnérabilités.

L’open source offre également un modèle de confiance basé sur la transparence et la vérification par les pairs. Dans le contexte de la sécurité, cela signifie que les failles peuvent être identifiées et corrigées plus rapidement grâce à une surveillance continue et à une coopération étroite entre les développeurs de matériel et de logiciels.

La vision d’un avenir open source pour le hardware

L’un des points forts de l’open source est sa capacité à démocratiser l’accès à la technologie. Avec des projets comme RISC-V, il est possible de voir émerger des solutions matérielles qui ne sont pas seulement le produit de quelques grandes entreprises, mais le fruit d’une collaboration globale. Cela peut mener à des avancées significatives non seulement en termes de performances, mais aussi de coûts et d’efficacité énergétique, en offrant des alternatives viables aux architectures propriétaires.

Linus Torvalds a également évoqué l’évolution des pratiques du développement du matériel. Il y a dix ans, il était difficile de passer de x86 à une autre plateforme, mais aujourd’hui, grâce à l’open source, la transition est beaucoup plus fluide. Les utilisateurs finaux ne se soucient plus de savoir si leur serveur fonctionne sur un processeur Intel, AMD ou ARM ; ce qui compte, c’est que l’infrastructure logicielle soit solide et interopérable.

Pour que RISC-V réalise pleinement son potentiel, il est donc crucial que les communautés du logiciel et du matériel libres continuent de favoriser une culture de partage et de collaboration. Les développeurs de logiciels doivent être encouragés à s’impliquer dans le processus de conception matérielle, et vice versa. En travaillant ensemble, ils peuvent s’assurer que les erreurs du passé ne se reproduisent pas et que les nouvelles technologies répondent aux besoins réels du marché.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Proposition du ZenDis sur la souveraineté numérique et le droit des marchés publics en Allemagne

Le ZenDis (de) vient de publier des propositions sur la souveraineté numérique et le droit des marchés publics en Allemagne.

Le ZenDis (Zentrum Digitale Souveränität - Centre pour la Souveraineté Numérique) est une agence gouvernementale (SARL à capitaux publics) allemande, dont la création avait été annoncée dans une dépêche de 2021 et dont la mission est de « servir d’organe central et de coordination pour la promotion des logiciels libres (OSS) dans l’administration publique ».

Le document « Positionspapier: Digitale Souveränität im Vergaberecht»  met en avant l’importance de renforcer la souveraineté numérique des administrations publiques allemandes face à une situation géopolitique incertaine. Il souligne la volonté politique exprimée dans diverses stratégies et documents officiels depuis 2020, qui prônent l’adoption systématique de standards ouverts et de logiciels open source pour les projets informatiques publics afin de réduire les dépendances aux fournisseurs de technologies propriétaires.

L’utilisation de logiciels open source est présentée comme un levier essentiel pour atteindre cette souveraineté numérique. Les avantages comprennent la flexibilité de changer de fournisseur, la capacité d’adaptation des logiciels aux besoins spécifiques des administrations et une meilleure position de négociation avec les fournisseurs. Toutefois, malgré un cadre juridique favorable, l’open source reste peu utilisé dans la pratique des marchés publics.

Enfin, le texte appelle à utiliser la réforme en cours du droit des marchés publics (Vergabetransformationspaket) pour intégrer de manière plus étendue cette préférence pour l’open source, en s’inspirant d’exemples de législation comme celle de la Thuringe. Le texte met en avant des propositions d’amendements spécifiques au code des marchés publics allemand pour favoriser l’adoption de l’open source, renforcer la souveraineté numérique et réduire les dépendances technologiques au sein des administrations publiques allemandes.

Sommaire

Le document « Positionspapier: Digitale Souveränität im Vergaberecht » élaboré par le Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) met en avant la nécessité de renforcer la souveraineté numérique au sein des administrations publiques allemandes, en particulier par le biais de la réforme du droit des marchés publics.

Il comprend cinq parties.

1. Contexte et volonté politique

Le texte commence par souligner l’importance croissante de la souveraineté numérique face à une situation géopolitique incertaine, en particulier pour les administrations publiques. Depuis 2020, des initiatives ont été mises en place pour renforcer cette souveraineté, telles que les stratégies définies par l’IT-Planungsrat (pdf, de) et les engagements du gouvernement fédéral inscrits dans la stratégie numérique de 2022 (de). Ces documents insistent sur l’utilisation de standards ouverts et sur l’adoption systématique de logiciels open source dans les projets informatiques publics.

2. Open-Source: catalyseur de la souveraineté numérique

L’adoption de logiciels open source est considérée comme un levier crucial pour atteindre la souveraineté numérique. Les avantages de l’open source incluent la possibilité de changer de fournisseur sans contraintes, la capacité à adapter et à personnaliser les logiciels, ainsi qu’une meilleure position de négociation vis-à-vis des fournisseurs. Une étude de marché (de) réalisée en 2019 pour le ministère de l’Intérieur allemand souligne l’importance de réduire les dépendances aux fournisseurs de logiciels propriétaires.

3. Spécificités du droit des marchés publics dans l’acquisition de logiciels

Le document distingue deux types de prestations dans l’acquisition de logiciels : la fourniture du produit logiciel (licences) et les services associés. Les licences open source, étant exemptes de droits d’utilisation, échappent souvent aux obligations de mise en concurrence des marchés publics. Cependant, les services liés à ces logiciels doivent faire l’objet de procédures d’appel d’offres. La pratique actuelle, qui consiste à combiner la fourniture de logiciels et les services associés dans un même appel d’offres, doit évoluer pour favoriser l’open source.

4. Nécessité et conformité juridique d’une préférence pour le libre

Malgré un cadre juridique favorable, l’open source reste marginal dans les pratiques d’achat public. Le texte plaide pour une préférence explicite pour les logiciels open source dans le droit des marchés publics pour éviter les effets de verrouillage (lock-in) liés aux logiciels propriétaires. Il s’appuie sur l’article 97 du code des marchés publics allemand, qui permet des traitements différenciés justifiés par des objectifs légitimes, comme la souveraineté numérique.

5. Opportunités de réforme du droit des marchés publics

Le texte appelle à profiter de la réforme en cours du droit des marchés publics (Vergabetransformationspaket) pour inscrire de manière plus étendue la préférence pour les logiciels open source. Des exemples de la législation en Thuringe montrent comment cette approche peut être intégrée dans les textes de loi, en mettant l’accent sur l’interopérabilité et la durabilité.

Citons à présent les propositions:

C’est pourquoi la réforme actuelle du droit des marchés publics (doit absolument être mise à profit pour établir une priorité open source étendue et efficace. Ou plus encore : pour ancrer la priorité de la Souveraineté numérique.

Concernant le logiciel libre, le document reprend les propositions (de) issues d’une étude réalisée en 2022 par le professeur Andreas Wiebe pour le compte de l’Open Source Business Alliance (OSBA):

(1) Afin de garantir une large interopérabilité, les nouvelles applications et technologies doivent être dotées d’interfaces et de normes ouvertes et être utilisables par ce biais. Les nouvelles applications et technologies doivent, dans la mesure du possible, être compatibles en amont.

(2) L’utilisation de logiciels open source doit être privilégiée par rapport aux logiciels dont le code source n’est pas accessible au public et dont la licence limite l’utilisation, la distribution et la modification, ainsi que l’utilisation d’applications et de technologies qui sont durables tout au long de leur cycle de vie.

(3) Pour les nouveaux logiciels développés par l’administration publique ou spécialement pour elle, le code source doit être placé sous une licence de logiciel libre et open source appropriée et publié, pour autant qu’aucune tâche liée à la sécurité ne soit effectuée avec ces logiciels et que cela soit autorisé par le droit des licences.

Commentaire: les points 1 et 2 font écho à l’article 16 de la loi République Numérique en France, mais dans celle-ci il n’est question que d’ « encouragement » alors qu’ici il s’agit d’une obligation (point 1) ou d’une préférence (point 2). Le point 3 est aussi proche de ce qui est prévu en France concernant les logiciels vus comme des documents administratifs communicables.

Le document ajoute pour conclure:

Nous nous rallions à ce point de vue et à la proposition de formulation, mais nous nous prononçons explicitement en faveur d’un ancrage dans le code des marchés publics. En effet, comme le fait remarquer Wiebe, la loi sur la cyberadministration ne se réfère pas directement à l’attribution des marchés. En revanche, le décret sur les marchés publics permet de donner la priorité à l’open source ou à la souveraineté numérique. […]

Nous estimons qu’il est nécessaire, au regard des exigences de la description des prestations,

1. de rendre obligatoire la mention, dans le cahier des charges, des exigences qui renforcent la Souveraineté Numérique.

En ce qui concerne les conditions d’attribution, nous pensons qu’il est nécessaire,
1. d’établir l’effet du logiciel sur la Souveraineté Numérique comme critère autonome d’évaluation des offres,

2. de concrétiser l’évaluation de la rentabilité du logiciel,

• de manière à inclure les éventuels coûts induits par un éventuel effet de verrouillage,

• de sorte que l’impact économique sur d’autres acteurs de l’administration publique (réutilisation de logiciels) soit pris en compte.

En résumé

Le ZenDiS préconise des amendements spécifiques au code des marchés publics pour établir une préférence claire et opérationnelle en faveur des logiciels libres, afin de contribuer à la souveraineté numérique. Ce document présente des propositions concrètes pour adapter le cadre juridique afin de favoriser l’adoption de l’open source et de réduire les dépendances aux technologies propriétaires dans le secteur public.

Il nous semble indispensable de mener une réflexion similaire en France.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Enquête de l’UE sur Microsoft pour abus de position dominante avec Teams

La Commission européenne a publié un avis préliminaire selon lequel Microsoft aurait enfreint les règles antitrust de l’UE en liant Teams à ses suites bureautiques, Office 365 et Microsoft 365, avec pour effet de limiter la concurrence sur le marché des outils de communication et de collaboration.

La Commission a constaté que Microsoft est en position dominante sur le marché mondial des suites bureautiques SaaS pour un usage professionnel. Elle s’inquiète du fait que, depuis au moins avril 2019, Microsoft inclut Teams dans ses suites bureautiques en SaaS, restreignant ainsi la concurrence sur le marché des produits de communication et de collaboration. Cette stratégie empêche les concurrents de Teams de rivaliser efficacement, réduisant ainsi l’innovation au détriment des clients dans l’Espace économique européen.

La Commission juge insuffisants les changements apportés par Microsoft à la distribution de Teams après l’ouverture de l’enquête en juillet 2023. Si ces accusations sont confirmées, elles constitueraient une violation de l’article 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), qui interdit l’abus de position dominante. La Commission pourrait alors interdire ces pratiques et imposer une amende pouvant atteindre 10 % du chiffre d’affaires annuel mondial de l’entreprise, ainsi que des remèdes pour rétablir la concurrence.

Commentaires : voir le flux Atom ouvrir dans le navigateur

La souveraineté numérique, grande absente de la campagne pour les Européennes en France

3 juin 2024 à 15:44

Le Conseil National du Logiciel Libre (CNLL) déplore la sous-représentation de la souveraineté numérique dans le débat politique actuel en vue des élections européennes en France. Le CNLL a en effet élaboré et diffusé un questionnaire auprès des principaux partis candidats aux Européennes de juin. Aucun des "grands" partis sollicités à de multiples reprises et par différents canaux n'a donné suite. Cette absence de réponse des grands partis est la marque soit d'un désintérêt, soit d'une absence d'expertise, confirmés pour l'essentiel par l'analyse de Benoît Sibaud dans une dépêche précédente.

Seuls deux "petits" partis, Volt France (leur réponse) et le Parti Pirate (leur réponse), ont répondu à ce questionnaire, en reconnaissant pleinement l'importance de la souveraineté numérique et en proposant des stratégies claires pour intégrer davantage le logiciel libre dans la politique numérique européenne.

En comparaison, tous les grands partis allemands ont répondu à un questionnaire similaire de l'Open Source Business Alliance (OSBA), mettant en lumière le retard préoccupant des partis français en la matière.

Dans ces conditions, le CNLL appelle les électeurs français sensibles aux sujets de la souveraineté numérique européenne et du soutien au logiciel libre à considérer avec attention les listes de ces deux partis lors du scrutin du 9 juin prochain.

NB pratiques: Volt figure sur la liste « Europe Territoires Écologie » (n°31) avec d'autres partis de centre-gauche. Le Parti Pirate (n°10) invite ses électeurs à imprimer leur propre bulletin.

N. D. M. : l'April a aussi extrait les différentes propositions relatives aux sujets de l'association parmi les programmes des 38 listes candidates

Commentaires : voir le flux Atom ouvrir dans le navigateur

Élections européennes: bilan rapide de la conférence « Convergences numériques »

29 avril 2024 à 01:51

Le collectif « Convergences Numériques », qui regroupe dix organisations professionnelles du numérique françaises, dont Numeum et le Cigref (mais pas le CNLL), avait organisé jeudi dernier une soirée pour à la fois présenter un « manifeste » concernant la politique européenne du numérique, et pour auditionner 7 représentants des listes candidates aux élections européennes de juin prochain.

Sur les 10 pages du manifeste, une seule proposition concerne le logiciel libre: « Encourager l’Europe à soutenir l’open source : largement adopté par les entreprises et administrations françaises, l’open source est un atout majeur pour répondre aux défis de l’indépendance technologique et de la transition écologique. » C'est peu, compte-tenu notamment du fait que le logiciel libre représente plus de 10% du chiffre d'affaire annuel de la filière informatique (logiciels et services) en France et un peu moins de 10% en Europe (source: étude Markess 2022 pour le CNLL, Numeum et Systematic), et que la stratégie de la Commission pour l'Open Source s'arrête à 2023.

Lors des auditions, seuls deux candidats ont parlé du logiciel libre, y consacrant chacun l'essentiel de leur temps de parole: Sven Franck, co-tête de liste du parti Volt, et Pierre Beyssac, numéro 2 de la liste du Parti Pirate. Sven Franck a notamment présenté l'intérêt du logiciel libre pour la souveraineté et la compétitivité européennes, et Pierre Beyssac l'importance d'une forme de souveraineté numérique « personnelle » en plus d'une vision plus « étatique » de la souveraineté.

Notons enfin que le CNLL a publié en mars un questionnaire adressés aux partis politiques qui souligne l'importance stratégique du logiciel libre pour la souveraineté numérique, l'innovation et les valeurs démocratiques de l'Europe. Il invite les candidats à partager leur vision et leurs propositions sur un large éventail de sujets liés au logiciel libre, notamment la gouvernance numérique, l'éducation et la formation, le soutien aux PME, l'innovation, les politiques spécifiques et la collaboration. Les questions portent sur des aspects concrets tels que la promotion du logiciel libre dans l'administration publique, l'accès aux marchés pour les PME, les programmes de financement, l'interopérabilité, l'inclusion sociale et la durabilité numérique.

À ce jour, aucune réponse n'a été reçue (malgré de multiples relances), et seuls Volt et le Parti Pirate se sont engagés à répondre. Notons pour finir que des propositions en faveur du logiciel libre sont détaillées dans leurs programmes (cliquez sur "lire la suite" pour en savoir un peu plus).

À propos des programmes des partis

Les propositions relatives au logiciel libre du programme du Parti Pirate se trouvent sur cette page et celles de Volt dans ce PDF (p. 73).

Les deux partis vont dans le même sens d'un soutien affirmé au logiciel libre, mais le Parti Pirate entre davantage dans les détails et propose un programme plus exhaustif et radical de transition vers l'open source, là où Volt en reste à des propositions plus générales. Les motivations mises en avant diffèrent également en partie.

Convergences

Les programmes de Volt et du Parti Pirate concernant le logiciel libre présentent plusieurs points de convergence:

  1. Les deux partis soutiennent la publication sous licence open source des logiciels développés grâce à des fonds publics, afin de garantir leur transparence et leur réutilisation.
  2. Ils souhaitent tous deux promouvoir l'utilisation de logiciels libres et formats ouverts dans l'administration publique.
  3. Ils proposent de soutenir financièrement le développement de l'écosystème du logiciel libre et des technologies open source.
  4. Ils veulent éviter de rendre de facto obligatoire l'usage de formats propriétaires dans les communications avec l'administration.

Différences

  1. Le Parti Pirate va plus loin dans les détails et les mesures concrètes proposées (migration du secteur public vers le libre, création d'OSPO dans les États membres, licences copyleft, compatibilité multi-plateformes des logiciels publics, accès aux données publiques…).
  2. Le Parti Pirate insiste davantage sur les enjeux de transparence, d'autonomie et de vie privée des utilisateurs, tandis que Volt met plus l'accent sur la pérennité de l'écosystème.
  3. Le Parti Pirate veut éviter de soumettre le développement de logiciel libre aux mêmes contraintes que le logiciel propriétaire, point qui n'est pas abordé par Volt.
  4. Volt propose de responsabiliser les intégrateurs sur la conformité des logiciels libres déployés, ce qui n'apparaît pas dans le programme du Parti Pirate.

Les propositions des autres partis

À ce jour, et malgré des dizaines de courriels envoyés aux autres partis, nous n'avons pas identifié de propositions concernant le logiciel libre dans les programmes des autres partis. Si vous avez des contacts au sein de ces partis, n'hésitez pas à relayer cette information. Une nouvelle dépêche sera publiée si nous arrivons à obtenir des réponses.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Les enchères en temps réel, un danger pour la vie privée mais aussi pour la sécurité européenne

7 avril 2024 à 12:08

Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Détails et exemples

La menace posée par le RTB est très réelle, comme le démontrent les exemples suivants :

  • Aux USA, un groupe conservateur catholique a utilisé des données RTB d’une application de rencontre pour révéler que des prêtres catholiques n’étaient pas célibataires, ce qui a conduit l’un d’eux à démissionner lorsque ses visites sur des applications et lieux gays ont été rendues publiques.
  • Les données RTB peuvent indiquer une variété de problèmes de santé, tels que la dépression, les douleurs chroniques, la toxicomanie ou les troubles anxieux.
  • Les acteurs malveillants peuvent utiliser les données RTB pour identifier les enfants, les collègues et les trajets quotidiens d’une cible.
  • La situation financière d’une personne peut être exposée, et donc une vulnérabilité potentielle à la corruption.
  • Les opinions politiques et les affiliations peuvent être déduites à partir des données RTB, ciblant potentiellement des individus pour de l’exploitation ou de la manipulation, comme on l’a vu avec le scandale « Facebook-Cambridge Analytica » il y a quelques années.

Solutions proposées

Face à ces menaces, nous recommandons les actions suivantes :

  1. La Commission européenne devrait solliciter le Conseil européen de la protection des données pour examiner la crise de sécurité du RTB. Les autorités de protection des données devraient appliquer le « principe de sécurité » du RGPD, en exigeant que IAB TechLab et Google, en tant que contrôleurs de données, modifient leurs normes RTB pour interdire l’inclusion de données personnelles. Toutes les données d’identification et de liaison doivent être supprimées.
  2. L’Agence européenne pour la cybersécurité (ENISA) devrait émettre une alerte aux États membres et aux institutions de l’Union, recommandant le blocage des publicités pour réduire la collecte de données par des tiers.
  3. Le Service européen pour l’action extérieure (SEAE), le groupe de coopération NIS et l’ENISA devraient évaluer conjointement l’impact du RTB sur la sécurité de l’Union européenne.
  4. Si nécessaire, la Commission européenne devrait envisager des mesures juridiques pour introduire une certitude et une harmonisation dans la gestion de cette menace pour la sécurité commune.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Cybersécurité - le texte du CRA a été finalisé

10 janvier 2024 à 01:35

Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.

Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :

La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».

Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:

(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.

Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.

Commentaires : voir le flux Atom ouvrir dans le navigateur

❌
❌