Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Qui veut la peau des logiciels libres de caisse ?

✇April
Par : egonnu

Communiqué de presse : le 5 novembre 2024

Entre 2016 et 2018, l'April avait participé à des échanges avec l'administration fiscale pour s'assurer que les logiciels libres qui proposent une fonctionnalité de caisse soient correctement pris en compte par la réglementation. Mission accomplie…
Jusqu'au projet de loi de finances pour 2025 où l'Assemblée nationale semble avoir décidé que la lutte contre la fraude à la TVA nécessite de réduire à néant tout un pan de l'écosystème des logiciels (libres) de caisse. Le Sénat saura-t-il réagir ?

Jusque là, tout va (presque) bien

Un petit rappel historique.

Depuis janvier 2018, toute personne assujettie à la taxe sur la valeur ajoutée (TVA), qui enregistre les règlements de sa clientèle au moyen d'un logiciel ou d'un système de caisse, doit pouvoir fournir, en cas de contrôle, une certification ou une attestation individuelle de conformité à la loi fiscale1. Ce document lui est remis par l'« éditeur », au sens de la doctrine fiscale qui définit très largement le terme (incluant notamment les prestataires qui proposent de l'intégration et/ou du support système) 2.

L'April avait activement participé à des échanges avec l'administration fiscale afin de s'assurer que la réglementation n'interdise pas, de fait, les logiciels libres de caisse – c'était la crainte –, en rendant incompatible la liberté de modification avec le dispositif prévu. Des échanges constructifs avaient permis l'élaboration d'un texte 3 aux définitions et aux champs d'application plus clairs. Particulièrement en termes de partage des responsabilités. Les logiciels libres de caisse étaient « sauvés ».

Notons d'ailleurs que parler de logiciel (libre) de caisse est une facilité. Le dispositif vise en réalité les fonctionnalités d'encaissement. Des logiciels de planification des ressources de l'entreprise (dit ERP) ou gestion des relations client (dit CRM), par exemple, peuvent être concernés s'ils intègrent de telles fonctions.

En résumé, l'équilibre trouvé en 2018 reposait sur un point central : la responsabilité. Qui est responsable en cas de fraude ? Et, pour ce qui nous intéresse ici, qui est responsable en cas de « faux » document qui affirmerait la conformité d'un logiciel qui ne le serait pas ? Les entreprises qui émettent des « attestations individuelles » engagent leur responsabilité, donc leur réputation et leur trésorerie. Ce n'est en aucun cas leur intérêt que les systèmes qu'elles mettent en place pour leur clients et clientes permettent la fraude, bien au contraire.

Et là, c'est le drame…

Nous voilà rendus au projet de loi de finances pour 2025. Avec toujours le souci – légitime – de lutter contre la fraude à la TVA via des logiciels de caisse, l'Assemblée nationale a adopté des amendements modifiant ce dispositif. Non pas pour revenir sur la liberté de modification, mais, plus généralement, pour imposer une procédure de certification aux « éditeurs » de logiciel de caisse. Ainsi, ces derniers devraient, à chaque mise à jour « majeure »4, faire certifier à nouveau leur logiciel par un organisme agréé. Un processus très lourd et onéreux, difficilement accessible aux TPE/PME. Les logiciels libres, par la nature même de leurs modèles de développement, seraient particulièrement impactés.
La certification pourra même s'avérer impossible à réaliser lorsque l’organisme qui demande la certification doit s’assurer et faire respecter la bonne conduite des distributeurs concernant l’installation et le paramétrage des logiciels. L’organisme certifiant étant garant de la conformité de la solution dans son ensemble.

Dit simplement, supprimer la possibilité de « l'attestation individuelle » revient à soumettre toute activité économique autour des logiciels de caisse, libres ou non, à une très importante pression financière et réglementaire, et à imposer une responsabilité contractuelle auprès de l’organisme certifiant. C'est rendre aussi (très) chère « l'innovation » ainsi que tout développement logiciel spécifiquement adapté aux besoins d'un client ou d'une cliente sur qui se répercuteraient nécessairement les coûts.

Quel est le rapport entre fraude et dispositif des « attestations individuelles » ?

Trois amendements identiques avaient été déposés 5. La députée C. Pirès Beaune a présenté le sien ainsi : « l'amendement vise à mettre fin à la prolifération des logiciels de caisse dits permissifs, autocertifiés, en supprimant la possibilité de recourir à une attestation individuelle de l’éditeur du logiciel. » 6.

Elle mélange ainsi des choses très différentes :

  • l'attestation individuelle d'un « éditeur » pour son client. Ce qui constitue la norme ;
  • l'attestation pour soi-même, l'exception, uniquement accessible aux assujettis qui ont une activité réelle et corroborée d'édition de logiciels ou de systèmes de caisse. 7

Un flou très préoccupant vu les enjeux car, en fait, de quoi parle-t-on donc ici ?

Jusqu'à preuve du contraire, les fraudes ne sont constatées que sur contrôle, après coup. Trois cas de fraude semblent envisageables :

  • avec un logiciel de caisse, malgré une certification ou une attestation de conformité à jour ;
  • avec un logiciel de caisse, sans document de conformité correspond à la version du logiciel utilisé ;
  • hors logiciel de caisse, en contournant l'outil informatique.

Dans le premier cas, l'autorité certifiante ou l'« éditeur » sera responsable pour les manquements qui la concerne et devra payer une amende, comme les restaurateurs et l’éditeur cités en exemple par la députée Pirès Beaune, à Toulouse8.

Dans les deux autres cas, le dispositif de preuve de conformité n'a aucune incidence, aucune. Comment alors la suppression de l' « attestation individuelle » est-elle censée participer à la lutte contre la fraude à la TVA ?

Se pose ici la question de l'utilité de cette règle de droit : en quoi aurait-elle pu empêcher les fraudes prises en exemple pour justifier son adoption ? Une chose est sûre, cette réforme risque de mettre en péril tout un écosystème autour des logiciels libres intégrant des fonctionnalités de caisse.

On notera d'ailleurs que si l'exposé des motifs de l'amendement adopté évoque un « manque à gagner fiscal imputable à la fraude à la TVA entre 20 et 25 milliards d’euros par an », cela recouvre de nombreuses réalités et pas seulement l'utilisation de systèmes de caisse non-conformes, loin s'en faut. Pour ne prendre qu'un exemple, parmi les plus courants, le non reversement de la TVA perçue.

« On se demande quand même d'où vient cet amendement. Quel est le but ? Montrer un manque de confiance dans celles et ceux qui font vivre l'écosystème des logiciels libres? Assécher le marché des logiciels de caisse au profit d'une poignée de gros éditeurs privateurs ? Ou alors est-ce, encore, le signe d'une profonde incompréhension des réalités économiques du développement logiciel…? Quoi qu'il en soit, on voit difficilement comment une telle réforme pourrait être compatible avec le principe constitutionnel de proportionnalité » s'exaspère Étienne Gonnu, chargé de mission affaires publiques pour l'April.

Tout n'est pas perdu : prochaine étape, le Sénat

Après la fin de l'examen du texte par l'Assemblée nationale 9, le projet de loi de finances pour 2025 sera étudié et amendé par le Sénat., d'abord en commission des finances, puis en séance publique. L'April ne manquera pas de contacter les sénateurs et sénatrices pour les informer de la situation et les inviter à rétablir l'article 286 3° bis du Code général des impôts dans sa rédaction initiale. L'April appelle également toutes les personnes concernées - développeurs et développeuses, utilisatrices et utilisateurs, entreprises, associations ou fondations en charge d'un projet de logiciel libre de caisse - à faire de même.

N'hésitez pas aussi à rejoindre notre liste publique dédiée à ce sujet pour partager vos interrogations, vos réflexions et arguments, et participer à cette mobilisation.

  • 1. Voir l’article 286 3° bis du code général des impôts, issu de la loi de finances pour 2016
  • 2. Le dispositif utilise le terme d'« éditeur » pour qualifier la catégorie de personnes concernées par les obligations de certification et d'attestation. Mais la notion d'« éditeur » doit être entendue dans un sens large, englobant par exemple le prestataire qui fera de l’intégration et/ou qui s’occupera de maintenir le système à jour dès lors qu'il sera « le dernier intervenant ayant paramétré le logiciel ou système lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données » (§310 du BOI-TVA-DECLA-30-10-30).
  • 3. La doctrine fiscale, opposable à l'administration, qui précise comment cette dernière va mettre en œuvre la loi.
  • 4. Le §340 du BOI-TVA-DECLA-30-10-30 définit une mise à jour « majeure » comme toute mise à jour concernant les conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données en vue du contrôle de l'administration fiscale. Toutefois, toute modification autre (dite « mineure »), doit faire l’objet d’un suivi régulier par l’organisme certificateur, ce qui rend complexe l’adaptation du logiciel à différents contextes d’utilisation malgré une base « majeure » commune. La certification nécessite que l’organisme qui demande la certification puisse s’assurer et faire respecter la bonne conduite des distributeurs concernant l’installation et le paramétrage des logiciels, chose impossible à faire dans le cadre de logiciels libres.
  • 5. Les amendements 1548, 2078 et 2206
  • 6. Le compte-rendu des échanges et la vidéo (voir à partir de 4:46:55) sont disponibles
  • 7. Voir les point §370 et §375 du BOI-TVA-DECLA-30-10-30 pour les conditions d'attestation pour autrui et d'attestation pour soi-même
  • 8. Fraude dans les restaurants à Toulouse : condamnés, les gérants échappent à l'interdiction de gérer, La dépêche, 9 février 2022
  • 9. L'Assemblée dispose de 40 jours pour adopter le texte, donc jusqu'au 18 novembre 2024. Sinon, à l'expiration de ce délai, il sera transmis tel qu'amendé au Sénat. Pour plus de détails

Libre en Fête 2024 : découvrir les logiciels libres à l’arrivée du printemps

✇April
Par : ivanni

Vendredi 8 mars 2023, communiqué de presse.

Initiée et coordonnée par l’April, l'initiative Libre en Fête revient pour la 23ème année consécutive. Pour accompagner l’arrivée du printemps, des événements de découverte du logiciel libre et de la culture libre sont proposés par plusieurs organisations partout en France autour du 20 mars. L'édition 2024 du Libre en Fête aura lieu du samedi 9 mars au dimanche 7 avril.

Bannière du Libre en Fête 2024

Les logiciels libres sont des logiciels que chaque personne peut utiliser, étudier, copier, modifier et redistribuer à volonté et en toute légalité. De la même façon, les services en ligne basés sur des logiciels libres appartiennent à ceux et celles qui les utilisent : chaque personne ou organisation peut s’en emparer, les adapter à ses besoins, les héberger en éditant ses propres règles…

En participant aux événements du Libre en Fête, le grand public est invité à découvrir les avantages du logiciel libre : son inscription dans une logique de commun numérique accessible à toutes et à tous, son aptitude à favoriser la diffusion et le partage de la connaissance, ses valeurs d'entraide et de coopération, comme en témoigne une communauté vivante prête à accompagner les personnes souhaitant s’émanciper informatiquement.

À ce jour, plus de 60 événements sont déjà référencés dans le cadre du Libre en Fête, notamment des ateliers d'initiation à des logiciels et à des services libres, pour apprendre à libérer son informatique dans ses pratiques quotidiennes comme dans des usages plus spécifiques. Mais aussi : des conférences, des projections de films et des expositions sur le logiciel libre, des fêtes d'installation1, de la cartographie participative, des échanges autour des enjeux de l'informatique libre…

«&nbspPourquoi devrions-nous nous laisser renfermer dans des solutions opaques, privatrices de libertés, qui aspirent nos données personnelles, quand il existe des alternatives libres, loyales, respectueuses des utilisateurs et utilisatrices et de leurs données ? Grâce à la variété des organisations impliquées et des activités proposées partout en France, le Libre en Fête se veut une occasion pour de nouveaux publics de découvrir et de s’initier aux logiciels et services libres, brique essentielle pour le contrôle de nos équipements informatiques et de nos données à l’ère numérique » , rappelle Isabella Vanni, coordinatrice de l’initiative Libre en Fête.

  • 1. Une fête d'installation (install party en anglais) est un événement physique qui permet de trouver de l'aide pour installer un système libre ou des logiciels libres sur sa propre machine ou à les configurer s'ils sont déjà installés.

Violation d'une licence libre : Entr'Ouvert n'a pas fait de quartier à Orange

✇April
Par : egonnu

Après plus de douze ans de procédure, voilà Orange enfin condamnée pour contrefaçon pour la violation des termes de la licence GNU GPL v2, et donc du droit d'auteur d'Entr'ouvert, société coopérative autrice de la bibliothèque libre LASSO 1. Bien qu'en deçà de ce qu'elle avait demandé, Orange devra verser plus de 860 000 euros à l'entreprise libriste. Bravo à Entr'ouvert pour sa ténacité. Un beau combat qui aboutit à une excellente nouvelle pour le libre.

Rappelons les faits : la société Entr’ouvert avait assigné, en 2011, la société Orange en contrefaçon du droit d’auteur pour non-respect de la licence libre GNU GPL version 2 sous laquelle était diffusée la bibliothèque libre LASSO. Le tribunal de grande instance de Paris, le 21 juin 2019, avait jugé le litige uniquement sur le fondement de la responsabilité contractuelle, et non sur le terrain délictuel de la contrefaçon, et avait débouté Entr'Ouvert. Cette première décision avait été confirmée par la Cour d'appel de Paris en mars 2021, en contradiction avec la jurisprudence pourtant claire de la CJUE (Cour de Justice de l'Union européenne) : la violation d'une licence de logiciel, y compris libre, est bien un délit de contrefaçon. L'interprétation de la CJUE a été confirmée, s'il en était besoin, par la Cour de cassation qui a cassé l'arrêt en appel en octobre 20222. Enfin, l'affaire a été renvoyée devant la Cour d'appel de Paris qui a mis en application cette interprétation, en condamnant Orange pour contrefaçon, dans son arrêt du 14 février 2024 (mise à jour du 26 février 2024, la page n'est plus accessible, vous pouvez trouver une copie sur Internet archive et une version PDF).

Orange est bel et bien condamnée pour contrefaçon, suite à sa violation des termes de la licence GNU GPL v2, et doit verser à Entr'Ouvert 500 000 euros « en raison des conséquences économiques négatives de l’atteinte [à ses] droits d’auteur », 150 000 euros au titre du préjudice moral subi, 150 000 euros au titre des bénéfices réalisés par les sociétés Orange et Orange Business Services et 60 000 euros au titre de l’article 700 du code de procédure civile. Ce qui fait un montant minimum de 860 000 euros (huit cent soixante mille euros), sans compter d'autres frais de procédure, Orange et Orange Business Services ayant également été condamnées aux dépens.

Les demandes de la société Entr'ouvert étaient cependant beaucoup plus élevées :

  • 3 000 000 euros (trois millions d’euros) en raison des conséquences économiques négatives de l’atteinte aux droits d’auteur de la société Entr’Ouvert, dont le manque à gagner et la perte subis,
  • 500 000 euros (cinq cent mille euros) au titre du préjudice moral subi par la société Entr’Ouvert,
  • 500 000 euros (cinq cent mille euros) au titre des bénéfices réalisés par les sociétés Orange et Orange Business Services.
  • Condamner in solidum les sociétés Orange et Orange Business Services à payer à la société Entr’Ouvert la somme de 100 000 euros (cent mille euros) au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens en ce compris les frais d’Huissiers dont ceux relatifs à la saisie-contrefaçon.

Ce qui fait plus de 4 millions d'euros. Notons que si la cour a condamné Orange à des montants bien inférieurs, elle a retenu l'ensemble des motifs invoqués.

« Mille bravos à Entr'Ouvert pour sa ténacité, et de ne pas s'être laissé faire face à une structure de la taille d'Orange, qui a cru pouvoir ne pas respecter les règles du jeu face à une petite structure du Libre. Un beau combat et une belle nouvelle pour le Libre » déclare Frédéric Couchet, délégué général de l'April.

De nombreuses entreprises et administrations, y compris le groupe Orange3, utilisent, intègrent et parfois même contribuent à des logiciels sous licences libres sans problème. Cela implique de respecter les règles simples fixées par leurs licences. Dans le cas présent, les sociétés Orange et Orange Business Services ont délibérément choisi de ne pas respecter ces règles. Cela a contraint la société Entr'ouvert à agir en justice pour faire valoir ses droits.

À moins de régler les 860 000 € auxquels elle est condamnée, la balle est à présent dans le camp d'Orange, qui, a priori, ne pourra former de pourvoi en cassation contre ce nouvel arrêt, dans un délai de deux mois, qu'à moins de trouver un fondement qui ne soit pas lié à l'arrêt initialement « cassé » par la haute cour. En tout cas, cela ne pourra pas être sur le point de droit litigieux déjà tranché : une violation de licence, y compris libre, est bien un délit de contrefaçon.

À ce jour, ni Orange ni Entr'ouvert n'ont communiqué sur la décision.

Un rapport parlementaire sur la cybersécurité alerte sur « le piège Microsoft »

✇April
Par : egonnu

Constituée en mars 2023, la mission flash « sur les défis de la cybersécurité » a remis ses conclusions le 17 janvier 2024. Le rapport d'information, résultat des travaux de la députée Anne Le Hénanff (Horizons) et du député Frédéric Mathieu (LFI - Nupes) présente un portrait large des enjeux de la cybersécurité et adresse, notamment, la question des capacités techniques, en particulier logicielles. À cette occasion, le document pointe l'existence d'un « piège Microsoft » et recommande que la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres soit explorée.

Lire le rapport d'information

Le rapport d'information pose assez clairement le constat d'une dépendance trop grande aux GAFAM1, en pointant les risques en termes de souveraineté pour le ministère des Armées, notamment face à ce qu'il appelle le « piège Microsoft ». Expression qui trouve un écho particulier dans la longue histoire des relations entre ce ministère et la multinationale. En 2013, déjà, l'April relayait une analyse de risques conduite par des experts du ministère, préalablement à la signature d'un accord cadre « Open Bar » avec Microsoft, qui signalait des « risques élevés », notamment en termes de « perte de souveraineté nationale » 2. En réponse à ce piège, les deux parlementaires posent judicieusement la question du recours aux systèmes d'exploitation et aux logiciels libres.

Le piège Microsoft

Le rapport explique que la stratégie du ministère des Armées – en dehors des cas de « souveraineté absolue comme, par exemple, la dissuasion nucléaire », pour lequel il ne recourt pas aux solutions des GAFAM – est de « miser sur des couches de chiffrement » pour protéger ses données. Pour autant, cette solution pourrait visiblement être remise en cause par les décisions de Microsoft en termes de commercialisation. En effet, la stratégie du ministère repose sur le principe que les logiciels sont installés sur ses propres machines, or, comme l'indique le document, l'entreprise s'appuie de plus en plus sur « une logique de service », qui suppose, donc, que les logiciels proposés ne s'exécutent non plus chez soi… mais sur les machines de la multinationale.

Au-delà du cas spécifique de Microsoft, et de la capacité de l'État français, pour le moment, d'éviter une telle évolution contractuelle pour lui, cela rappelle bien le danger de dépendre des choix commerciaux d'une entité privée qui, somme toute logiquement, poursuit ses propres intérêts. Qualifier cette situation de « piège » semble tout à fait à propos ; empêtrée dans un système informatique conçu en silo, les décisions de l'administration, en termes de sécurisation, peuvent être rendues inopérantes par les choix commerciaux d'un éditeur. Qui aurait-pu prédire ?

Une question de souveraineté

Un rapport sur « le défi de la cybersécurité » ne pouvait évidemment pas faire l'impasse sur la question de la « souveraineté numérique ». La rapporteure et le rapporteur s'arrêtent notamment sur la question, presque rituelle, d'un hypothétique système d'exploitation souverain. De ce point de vue, le rapport s'appuie sur une appréciation plus traditionnelle de la question de la souveraineté, fondée sur un critère plus géographique : « s’agissant, par exemple, des serveurs et des systèmes d’exploitation, il n’y a quasiment rien sur le sol européen : il n’existe pas, à ce jour, de système d’exploitation souverain, ce qui contraint le ministère des Armées à recourir à des solutions extra-européennes, et singulièrement celles des GAFAM. »

Si l'on parle de logiciels privateurs, conçus comme des boîtes noires, cette considération n'est effectivement pas anodine dans un contexte de possibles divergences d'intérêts géopolitiques. C'est, encore ici, une force du logiciel libre, qui, en garantissant l'accès à ses sources, assure à l'administration utilisatrice la capacité d'audit du code – donc que le logiciel ne fait pas autre chose que ce qu'il est censé faire –, et qui, par sa licence, assure à l'administration le libre usage et la libre modification de celui-ci, donc la capacité d'agir sur le logiciel. Les logiciels libres et, à fortiori, les systèmes d'exploitation libres, permettent de revenir à une définition plus opérante de la souveraineté numérique, c'est-à-dire à l'ensemble des conditions de l'expression et de la maîtrise de nos activités et libertés fondamentales sur les réseaux informatiques. Ou, dans le contexte des pouvoirs publics, pour citer le rapport Latombe qui préconisait la systématisation du recours au logiciel libre, les conditions de l'autonomie stratégique 3.

Il est ainsi notable que, selon le rapport « le développement d’un système d’information entièrement souverain paraît inatteignable et d’un coût prohibitif », alors même que des systèmes libres comme GNU/Linux existent déjà. Parallèlement, le rapport n'oublie pas de mentionner, à juste titre, les considérations relatives à la production du matériel informatique, notamment sa localisation.

La pertinence du recours aux systèmes d’exploitation et aux logiciels libres

La rapporteure et le rapporteur n'éludent pas la question et s'interrogent sur la pertinence du recours au logiciel libre, jugé d'ailleurs souhaitable. En témoigne la recommandation 24 du rapport qui appelle à « explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres ».

Recommandations du rapport :

[…]

23/ Élaborer une feuille de route pour réduire l’empreinte des GAFAM au sein du ministère des Armées ;

24/ Explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres

[…]

La direction interarmées des réseaux d'infrastructure et des systèmes d'information du ministère des Armées (DIRISI), interrogée pour l'occasion, s'appuie malheureusement, par des périphrases, sur l'argument éculé des coûts cachés des logiciels libres, notamment en termes de formation. Pire, elle justifie l'impossibilité d'une migration par la trop grande importance des coûts liés, notamment, à des problèmes de compatibilité… problèmes inhérents, justement, à la dépendance à un système fermé comme celui de Microsoft.

La position de la DIRISI, cohérente avec le passif du ministère, apparaît d'autant plus agaçante lorsque l'on sait qu'entre novembre 2020 et mars 2021, le ministère des Armées a conduit une étude sur l'opportunité de s'équiper en système libre sur le périmètre des postes de travail internet pour « réduire l'empreinte du fournisseur Microsoft en utilisant des solutions libres ». Document dont l'April a finalement réussi à obtenir communication et qui confirme la faisabilité d'une telle migration. Pourtant, à ce jour et malgré les demandes de l'April, rien n'indique si une décision a été prise… 4

Face à cela, la position exprimée par les deux parlementaires parait appropriée, puisqu'elle avance qu'« une analyse à grande échelle resterait nécessaire pour identifier les coûts, délais, et impacts d’un passage à Linux et aux logiciels libres ». Ce qui n'est pas sans rappeler une proposition soutenue par l'April en 2022 dans le cadre d'une consultation de la Cour des comptes, qui consistait à demander l'évaluation des dépenses logicielles de l'État, préalable nécessaire pour envisager des chantiers aussi importants qu'une migration complète vers du logiciel libre. Malheureusement, mais c'est le propre de ce genre de rapport issu de mission flash5, l'auteur et l'autrice du rapport ne vont pas plus loin que le constat de l'administration de sa propre impuissance, et ne remettent ainsi pas en cause l'impossibilité mise en avant par l'administration d'un effort substantiel vers le libre. Or, ce qui est dressé comme un constat objectif, n'est rien d'autres qu'un choix politique aux lourdes et malheureuses conséquences.

« Qui n'a jamais prétendu qu'une migration des systèmes d'informations vers du libre serait simple ? Est-ce une raison suffisante pour continuer à subir la domination d'une poignée d'éditeurs de logiciels privateurs ? Pour dépasser le stade du constat désabusé que semblent dresser certaines administrations et pouvoir mener une politique publique cohérente, à la hauteur des enjeux, une vision claire et globale de la situation est indispensable : audit des dépenses logicielles, mise en évidence des décisions prises sur les postes de travail, etc. Des questions écrites des parlementaires pourraient être un outil efficace pour pousser le gouvernement à entamer ce travail nécessaire », suggère Étienne Gonnu, chargé de mission affaires publiques pour l'April.

Les rapports parlementaires semblent se succéder en partageant le double constat d'une dépendance, dangereuse et exagérée, aux GAFAM et consort, et de la pertinence d'un recours accru aux logiciels libres. Il est grand temps de dépasser les prétextes comme celui des coûts cachés et de sortir d'une stratégie dite « par opportunité », au gré des besoins, qui montre clairement ses limites. Ce n'est qu'en mettant en œuvre une politique publique ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, que l'on pourra répondre aux enjeux de la souveraineté numérique et, in fine, au « défi de la cybersécurité ».

Cyber Resilience Act : le futur du logiciel libre en suspend en attendant le trilogue

✇April
Par : egonnu

Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Projet, tel que présenté par la Commission européenne, que l'April avait qualifié d'épée de Damoclès sur le logiciel libre puisque il faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent. L'April a également relayé une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne. Point d'étape alors que le Parlement et le Conseil de l'Union européenne ont avancé sur le sujet et que les négociations interinstitutionnelles auront, semble-t-il, lieu à l'automne.

La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États-membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires.

Depuis que l'April a qualifié le Cyber Resilience Act d'« épée de Damoclès », la procédure législative a suivi son cours.

Au Parlement, c'est la commission ITRE (Commission de l'industrie, de la recherche et de l'énergie) qui a été saisie au fond. Elle a donc la responsabilité de la conduite des travaux sur ce texte pour le Parlement, notamment dans le cadre du trilogue à venir. Le 19 juillet, cette commission a voté sa version amendée du texte. Malheureusement, ses amendements ne contribuent aucunement à clarifier la situation pour les logiciels libres. Plus précisément, elle a adopté deux nouveaux considérants – 10a et 10b – qui, d'une part, apportent de la confusion en prenant deux extrêmes en exemple : le cas d'une communauté de développement complètement décentralisée sans qu'aucune entreprise n'ait de pouvoir de décision et celui d'un logiciel libre développé majoritairement par une entreprise qui, elle seule, dégage des revenus. Il reste beaucoup d'incertitudes pour tout l'entre-deux existant, en particulier pour les petites et moyennes entreprises du Libre. D'autre part, les donations récurrentes par des entités commerciales seraient de nature à qualifier une activité commerciale… 1
Lire le texte de la commission ITRE (en anglais).

Particularité supplémentaire : là où, habituellement, le texte issu de la commission au fond devrait être débattu et voté en séance plénière, avant de poursuivre la navette législative, ITRE a simultanément voté, conformément à l'article 71 du règlement intérieur du Parlement, que le texte qu'elle a voté servirait directement de base aux négociations interinstitutionnelles. Cette entrée directement en négociation devra toutefois être adoptée par le Parlement qui siégera à nouveau à compter du 11 septembre 2023.

Il convient justement de noter que parallèlement à cela la commission IMCO (Commission du marché intérieur et de la protection des consommateurs), saisie pour avis, a également voté sa position sur le projet de règlement. Le texte voté semblerait constituer une sortie de crise intéressante, clarifiant les termes, particulièrement la notion « d'activité commerciale », et les responsabilités, notamment en les faisant avant tout reposer sur le fabricant d'un « produit final » incluant des composantes logicielles. Le texte d'IMCO a également le mérite d'amender non seulement le considérant 10, mais aussi l'article 2 sur le champ d'application du projet de règlement. Il serait donc regrettable que le Parlement ne puisse débattre et voter à la lumière de cette position divergente. Espérons que l'avis de la commission IMCO sera lu avec attention et qu'il éclairera utilement les travaux du trilogue le cas échéant. Lire le texte de la commission IMCO.

Du côté du Conseil de l'UE, la situation semble meilleure. Adopté le 13 juillet 2023, son texte reprend en profondeur le considérant 10 de la proposition de la Commission, afin de le rendre plus clair et didactique. Il pose en principe de base que c'est l'activité commerciale qui fait tomber sous le coup du règlement, il pose plus clairement ce qui caractérise une activité commerciale et il définit les logiciels libres tout en réaffirmant que ce n'est que s'ils sont fournis dans le cadre d'une activité commerciale qu'ils sont concernés. Le texte exclut par ailleurs explicitement les « gestionnaires de paquets », « hébergeurs de code » ou les « plateformes de collaboration » agissant en dehors d'activités commerciales. Le texte du Conseil n'amende en revanche pas l'article 2 sur le champ d'application. Lire le texte du Conseil (en anglais).

Il semble trop tôt pour dire que l'épée de Damoclès n'est plus suspendue au-dessus du logiciel libre, néanmoins ces réactions institutionnelles nous confirment à minima que les craintes de « l'écosystème du logiciel libre » ont été, si ce n'est écoutées, du moins entendues. Reste à voir sur quelles bases le Parlement participera au trilogue, et ce qui en ressortira… L'étape du trilogue étant, par ailleurs, notamment connue pour son faible niveau de transparence.

Contrôle parental : un décret qui réduit la portée des droits garantis par la loi

✇April
Par : egonnu

Le décret d'application de la loi du 2 septembre 2022 « visant à renforcer le contrôle parental » a été publié au journal officiel le 13 juillet 2023. L'April s'était mobilisée, avec succès, sur cette loi pour obtenir de meilleures garanties pour les libertés informatiques des personnes souhaitant acquérir des équipements vendus sans système d'exploitation. Malheureusement le décret, en remplaçant un mot, prévoit des garanties inférieures à celles inscrites dans la loi en ce qui concerne la faculté de désinstaller le dispositif de contrôle parental, et cela, malgré notre signalement.

L'article L34-9-3 du code des postes et des communications électroniques, crée par la loi du 2 septembre 2022, impose aux vendeurs d'équipements informatiques vendus avec un système d'exploitation la présence d'un dispositif de contrôle parental pré-installé et activable par les personnes l'acquérant. Il dispose que « l'activation, l'utilisation et, le cas échéant, la désinstallation de ce dispositif sont permises sans surcoût pour l'utilisateur. ».

Suite à la promulgation de la loi, une consultation a été conduite dans le cadre de l'élaboration du projet de décret d'application. L'April y a contribué, notamment pour signaler ce qui apparaît comme une erreur : là où la loi prévoit le droit pour les personnes utilisatrices de désinstaller le logiciel de contrôle parental pré-installé sur leur équipement, le décret se contente de ne prévoir qu'une désactivation du dispositif.

Malheureusement, malgré notre signalement, répété, le terme « désactivation » est resté dans le décret officiellement publié le 13 juillet, en contradiction donc avec la loi. La distinction entre « désinstallation » et « désactivation » est évidemment loin d'être anodine, les parlementaires ayant voté pour une protection plus forte des droits des utilisateurs et utilisatrices, leur garantissant le droit de ne pas se voir imposer la présence d'un logiciel qu'ils et elles ne souhaitent pas sur leur machine.

La loi reste bien sûr de valeur supérieure au décret, qui ne correspond qu'à sa traduction plus opérationnelle par le pouvoir administratif. Toutefois, le décret correspond à la manière dont sera mise en œuvre la loi. Cette erreur d'adaptation des dispositions de la loi nous interpelle, et il conviendra d'être vigilant sur la manière dont sera appliquée cette nouvelle obligation par les fabricants et contrôlée par les services administratifs en charge de son exécution.

Le décret doit entrer en vigueur 12 mois après sa publication, soit en juillet 2024.

Le Cyber Resilience Act : une épée de Damoclès sur le logiciel libre

✇April
Par : egonnu

La Commission européenne porte un projet de règlement visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels, le Cyber Resilience Act. Comme malheureusement trop souvent, l'approche de la Commission semble traduire une vision strictement industrielle, fondée sur le modèle verticalisé et centralisé des grandes entreprises éditrices d'une informatique privatrice. Ce projet représente une menace très sérieuse pour le logiciel libre, comme en témoigne notamment une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne.

La sécurité informatique, dès lors qu'elle est un outil au service des utilisatrices et utilisateurs, maîtrisée par elles et eux, est une condition importante de l'exercice des libertés informatiques dans leur ensemble. Les différentes méthodes de développement propres au logiciel libre, fondées notamment sur la transparence, la reproductibilité et la collaboration, qui s'apparentent le plus, en ce sens, à la méthode scientifique, sont bien davantage vectrices de sécurité qu'un modèle basé sur une approche verticale et opaque. Quoi qu'il en soit, la sécurité ne peut-être un prétexte suffisant par lui-même pour justifier la réduction des libertés fondamentales. Toute mesure de « sécurité » se doit de répondre aux principes de proportionnalité et de stricte nécessité, c'est vrai pour l'informatique comme partout ailleurs.

Agir pour une meilleure sécurité informatique est un objectif louable et, en tout état de cause, un levier politique que la Commission européenne a pleine légitimité à vouloir actionner. Toutefois, cela ne peut se faire de manière décorrélée de la réalité des pratiques et sans concertation. Dans une lettre ouverte adressée aux membres du Parlement européen et du Conseil de l’Union Européenne, aux représentants au Conseil de l'Union européenne, des organisations actrices de l'écosystème du logiciel libre à l'échelle européenne ont exprimé leur vive inquiétude et ont pointé l'absence de consultation des communautés du logiciel libre, alors même que « les logiciels libres représentent en Europe plus de 70 % des logiciels présents dans les produits contenant des éléments numériques ».

La Commission veut donc imposer de manière verticale une méthodologie basée sur un système de « norme CE », adossée à une très forte responsabilité de celles et ceux qui produisent du code et de celles et ceux qui le diffusent. Toute personne produisant ou diffusant du code serait ainsi individuellement responsable de la sécurité de ce code, dans le cadre des obligations découlant du règlement. Or, la plupart des logiciels libres sont développés avec des moyens dérisoires, par des bénévoles ou de petites structures, et n’ont pas la capacité financière et humaine de mettre en œuvre les processus lourds et complexes qu’induirait le projet de règlement, notamment en termes de certification.

Position d'autant plus paradoxale que la Commission européenne semble pourtant reconnaître l'importance des logiciels libres dans le socle technologique qui sous-tend Internet, notamment du point de vue des enjeux de sécurité. Elle avait ainsi mené des projets visant justement à soutenir la sécurité des logiciels libres critiques, notamment l'initiative EU-FOSSA, European Union Free and Open Source Software Auditing, qui accordait des primes pour la détection de failles de sécurité dans des logiciels libres utilisés par les institutions européennes1. Pourtant, le Cyber Resilience Act disqualifierait ce socle critique en Europe au lieu de participer à sa sécurisation. Dans le même temps, ce socle technologique continuera à être utilisé et développé dans le reste du monde. Par effet de bord, la Commission va sérieusement démunir et handicaper l’industrie européenne.

Les organisations signataires de la lettre ouverte et notamment le CNLL (l'Union des entreprises du numérique ouvert) dans son communiqué, s'alarment du risque que fait porter le Cyber Resilience Act sur la filière européenne du logiciel libre, qui représente, rappelle le CNLL, « 30 milliards d’euros de chiffre d’affaires direct et environ 100 milliards d’euros d’impact économique total ». En forçant une responsabilité lourde sur les éditeurs de logiciels libres – sans considération de possible relation contractuelle avec les utilisateurs et utilisatrices –, ce projet semble témoigner d'une méconnaissance profonde des logiciels libres, des méthodes de développement qui leur sont propres, ainsi que des communautés qui les font vivre. On rappellera, par exemple, que les acteurs et actrices du logiciel libre n'ont pas attendu la Commission pour proposer des contrats de maintenance et/ou d'assurance, distincts du développement du code.

Dans son projet de règlement, la Commission cherche visiblement à donner des gages vis-à-vis des logiciels libres. Mais, loin de convaincre, celle-ci témoigne, ici encore, d'une méconnaissance importante. Ainsi, dans un des considérants de principe – et non pas dans un article à part entière – le règlement prévoit une exception pour les logiciels libres développés et distribués dans le cadre d'activités non commerciales. Ces activités non commerciales sont définies de manière très restrictive, ce qui rend presque inopérante l'exception2. À titre d'exemple, elle ferait, entre autres, tomber sous le coup des lourdes obligations prévues par le texte les codes publiés sur les plateformes type GitHub et GitLab puisque celles-ci proposent, par ailleurs, des services payants à leurs utilisateurs et utilisatrices.

Le Cyber Resilience Act risquerait d'avoir un effet dissuasif délétère sur le développement et l'utilisation des logiciels libres en Europe et sans doute, par répercussion, à une échelle plus globale. On imagine ainsi aisément que des entreprises puissent d'elles-mêmes exclure le recours à des composants libres, tiers, de leurs propres solutions au profit de logiciels privateurs, préférant laisser à l'éditeur le soin de se conformer aux obligations du règlement, plutôt que de se charger elles-mêmes d'une maintenance pro-active de ces composants tiers.

L'April rappelle la Commission européenne à ses prises de positions passées sur le logiciel libre 3, qui se voulaient, selon elle, ambitieuses, alors que la proposition de Cyber Resilience Act traduit plutôt une perception verticale et centralisée de l'informatique. Si elle ne veut pas porter un grave coup à l'ensemble des vertus du logiciel libre qu'elle prétend elle-même défendre (ouverture, souveraineté, innovation, etc.), elle se doit d'écouter très attentivement les actrices et acteurs concernés et amender en profondeur son projet.

❌