Après le Sénat, l'Assemblée nationale a adopté, le mercredi 10 avril1, le texte issu de la commission mixte paritaire sur le projet de loi « visant à réguler et à sécuriser l'espace numérique ». Un projet de loi qui a notamment pour objet d'instaurer un filtre dit « anti-arnaques », d'imposer la mise en œuvre de systèmes de vérification d'âge pour l'accès aux sites pornographiques ou encore de réguler davantage les plateformes offrant des services à distance.

Comme nous l'exprimions en octobre dernier, lors du vote en première lecture à l'Assemblée, il s'agit d'une énième loi nationale pour « réguler et sécuriser » Internet, alors que l'Union européenne a récemment adopté deux règlements transversaux en la matière. La Commission européenne avait d'ailleurs émis de très fortes réserves sur le texte, raison pour laquelle la commission mixte paritaire ne s'est réunie qu'en mars 2024.

La version issue de la commission mixte n'apporte, à première vue, pas de changement profond en ce qui concerne notamment le filtre « anti-arnaques », contre lequel, dans sa première version, la fondation Mozilla s'était mobilisée avec succès. Dans la version définitive demeure bien une obligation de filtrage et non de blocage, comme on pouvait initialement le craindre.

Notons que La Quadrature du Net, qui a suivi de près le sujet2, a appelé à rejeter le texte, pointant des modifications essentiellement « cosmétiques » et considérant que certaines mesures révèlent une « vision archaïque d'Internet ». Elle signale et critique également la réintroduction d'un nouveau « délit d'outrage en ligne » dans le texte issu de la CMP, qui déroge à la loi de 1881 sur la liberté d'expression, explique-t-elle.

Il s'agira, à présent, de garder un œil sur l'implémentation du texte et de voir si des recours, notamment par une question prioritaire de constitutionnalité, sont formés contre ce texte.

• 1. Voir la vidéo des votes et des échanges préalables à l'Assemblée, notamment le rejet d'une motion de censure déposée par le groupe LFI, ainsi qu'au Sénat
• 2. Écouter ou lire l'intervention de La Quadrature du Net dans Libre à vous ! le 6 février 2024, au sujet de ce projet de loi, au côté de Mozilla France et d'Act Up Paris

Après plus de douze ans de procédure, voilà Orange enfin condamnée pour contrefaçon pour la violation des termes de la licence GNU GPL v2, et donc du droit d'auteur d'Entr'ouvert, société coopérative autrice de la bibliothèque libre LASSO 1. Bien qu'en deçà de ce qu'elle avait demandé, Orange devra verser plus de 860 000 euros à l'entreprise libriste. Bravo à Entr'ouvert pour sa ténacité. Un beau combat qui aboutit à une excellente nouvelle pour le libre.

Rappelons les faits : la société Entr’ouvert avait assigné, en 2011, la société Orange en contrefaçon du droit d’auteur pour non-respect de la licence libre GNU GPL version 2 sous laquelle était diffusée la bibliothèque libre LASSO. Le tribunal de grande instance de Paris, le 21 juin 2019, avait jugé le litige uniquement sur le fondement de la responsabilité contractuelle, et non sur le terrain délictuel de la contrefaçon, et avait débouté Entr'Ouvert. Cette première décision avait été confirmée par la Cour d'appel de Paris en mars 2021, en contradiction avec la jurisprudence pourtant claire de la CJUE (Cour de Justice de l'Union européenne) : la violation d'une licence de logiciel, y compris libre, est bien un délit de contrefaçon. L'interprétation de la CJUE a été confirmée, s'il en était besoin, par la Cour de cassation qui a cassé l'arrêt en appel en octobre 20222. Enfin, l'affaire a été renvoyée devant la Cour d'appel de Paris qui a mis en application cette interprétation, en condamnant Orange pour contrefaçon, dans son arrêt du 14 février 2024 (mise à jour du 26 février 2024, la page n'est plus accessible, vous pouvez trouver une copie sur Internet archive et une version PDF).

Orange est bel et bien condamnée pour contrefaçon, suite à sa violation des termes de la licence GNU GPL v2, et doit verser à Entr'Ouvert 500 000 euros « en raison des conséquences économiques négatives de l’atteinte [à ses] droits d’auteur », 150 000 euros au titre du préjudice moral subi, 150 000 euros au titre des bénéfices réalisés par les sociétés Orange et Orange Business Services et 60 000 euros au titre de l’article 700 du code de procédure civile. Ce qui fait un montant minimum de 860 000 euros (huit cent soixante mille euros), sans compter d'autres frais de procédure, Orange et Orange Business Services ayant également été condamnées aux dépens.

Les demandes de la société Entr'ouvert étaient cependant beaucoup plus élevées :

• 3 000 000 euros (trois millions d’euros) en raison des conséquences économiques négatives de l’atteinte aux droits d’auteur de la société Entr’Ouvert, dont le manque à gagner et la perte subis,
• 500 000 euros (cinq cent mille euros) au titre du préjudice moral subi par la société Entr’Ouvert,
• 500 000 euros (cinq cent mille euros) au titre des bénéfices réalisés par les sociétés Orange et Orange Business Services.
• Condamner in solidum les sociétés Orange et Orange Business Services à payer à la société Entr’Ouvert la somme de 100 000 euros (cent mille euros) au titre de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens en ce compris les frais d’Huissiers dont ceux relatifs à la saisie-contrefaçon.

Ce qui fait plus de 4 millions d'euros. Notons que si la cour a condamné Orange à des montants bien inférieurs, elle a retenu l'ensemble des motifs invoqués.

« Mille bravos à Entr'Ouvert pour sa ténacité, et de ne pas s'être laissé faire face à une structure de la taille d'Orange, qui a cru pouvoir ne pas respecter les règles du jeu face à une petite structure du Libre. Un beau combat et une belle nouvelle pour le Libre » déclare Frédéric Couchet, délégué général de l'April.

De nombreuses entreprises et administrations, y compris le groupe Orange3, utilisent, intègrent et parfois même contribuent à des logiciels sous licences libres sans problème. Cela implique de respecter les règles simples fixées par leurs licences. Dans le cas présent, les sociétés Orange et Orange Business Services ont délibérément choisi de ne pas respecter ces règles. Cela a contraint la société Entr'ouvert à agir en justice pour faire valoir ses droits.

À moins de régler les 860 000 € auxquels elle est condamnée, la balle est à présent dans le camp d'Orange, qui, a priori, ne pourra former de pourvoi en cassation contre ce nouvel arrêt, dans un délai de deux mois, qu'à moins de trouver un fondement qui ne soit pas lié à l'arrêt initialement « cassé » par la haute cour. En tout cas, cela ne pourra pas être sur le point de droit litigieux déjà tranché : une violation de licence, y compris libre, est bien un délit de contrefaçon.

À ce jour, ni Orange ni Entr'ouvert n'ont communiqué sur la décision.

• 1. Lasso est une bibliothèque logicielle libre de gestion d’identité
• 2. Lire l'actu de l'April : Violation d'une licence libre : Entr'Ouvert fondée à poursuivre Orange pour contrefaçon
• 3. Via notamment le « programme Open Source Communautaire à Orange France »

Créé par la loi relative à la lutte contre le gaspillage et à l'économie circulaire, l'indice de réparabilité est censé être progressivement remplacé par un indice de durabilité. Afin de lui donner corps, différents textes réglementaires ont été préparés, dont un arrêté relatif aux « téléphones mobiles multifonctions »1. Ce dernier a finalement été abandonné par l'État français suite à un avis circonstancié de la Commission européenne.

Dans le but de mettre en œuvre un indice de durabilité, un projet de décret et plusieurs projets d'arrêtés avaient été élaborés et soumis à consultation en 2023. L'April y avait contribué, rappelant que ce n'est que par une juste prise en compte des logiciels libres et de leurs modèles de développement que l'on pourra résoudre les problématiques d'obsolescence logicielle. Problématique par ailleurs trop secondaire dans les textes élaborés, quoique présente, par rapport aux considérations plus matérielles.

Cet indice de durabilité, du moins en ce qui concerne les « téléphones mobiles multifonctions », ou ordiphones2, restera finalement lettre morte. Le 27 octobre 2023, par un avis circonstancié, la Commission européenne a refusé l'arrêté « relatif aux critères, aux sous-critères et au système de notation pour le calcul et l'affichage de l'indice de durabilité des téléphones mobiles multifonctions », jugé incompatible avec le règlement (UE) 2023/1669, en vigueur depuis le 20 septembre 2023, sur « l’étiquetage énergétique des smartphones et des tablettes ». Elle y exprime également des réserves quant au décret et aux autres arrêtés.

Dans ces conditions, la France a notifié à la Commission, en février 2024, l'abandon de l'arrêté relatif aux « téléphones mobiles multifonctions », et précise qu'elle transmettra les autres textes finalisés à la Commission.

• 1. L'arrêté de 2020 relatif au critère de l'indice de réparabilité, toujours en vigueur, définit ces équipements comme : « un appareil électronique utilisé pour la communication à longue portée sur un réseau cellulaire de stations de base. Il comporte des fonctionnalités similaires à celles d'un ordinateur portable sans fil qui est principalement destiné au mode batterie et possède une interface tactile. »
• 2. L'expression « ordiphone » permet de rappeler que cet outil, en plus d'offrir des fonctions téléphoniques, intègre un ordinateur personnel lui permettant de gérer ou de transmettre des données informatiques et d'accéder à Internet. Ce qui a, notamment, d'importantes incidences en termes de libertés et de sécurités informatiques, d'autant plus que les ordiphones sont devenus des outils de surveillance, de traçage publicitaire, d'atteinte à la vie privée. (Inspiration : Office québécois de la langue française)

En novembre 2023, l'April a demandé communication au ministère du Travail des études conduites ainsi que d'autres documents liés, justifiant sa dérogation pour le recours à des solutions Microsoft, conformément à la circulaire dite « Cloud au centre »1. L'April a obtenu communication de ces documents administratifs… et a lancé d'autres demandes CADA2 pour comprendre et mettre en lumière ce qui se fait, ou non, pour dépasser l'état de dépendance aux solutions Microsoft.

Télécharger les documents (.zip)

Parmi ces documents, une note du 21 janvier 2020 précise, selon l'administration, le besoin de « transformation de l'environnement bureautique de travail ». L'option, qui s'appuie sur des solutions d'informatique à distance, dites cloud, y est privilégiée plutôt qu'une « remise à plat complète de l'infrastructure ».

Un autre document, de « pré-cadrage », met en balance plusieurs options, dont une basée sur des logiciels libres, et retient, in fine, celle de Microsoft. Le recours à des logiciels libres sera exclu, car, selon le document, cela « nécessit[ait] une collection de services hétérogènes » et qu'il n'y avait pas « d'usages en ligne possibles nativement ». Toujours selon ce document, les choix possibles se limitaient à Google ou Microsoft – ce qui pose déjà un sérieux problème –, la différence principale étant que là où le recours à l'offre Microsoft est présenté comme permettant de la « continuité », celle de Google apparaît comme une « rupture ».

En réalité, comme souvent, ces documents semblent confirmer l'impression générale d'une décision politique de migrer vers les solutions Cloud de Microsoft – dont les logiciels sont déjà omniprésents à l'intérieur du ministère – que des études formelles sont ensuite venues confirmer. Pourrait-il en être autrement sans une « remise à plat complète » … ?

La note du 21 janvier 2020 présente, en effet, des indices de cette dépendance à Microsoft et à ses pratiques commerciales. Une des justifications du recours aux solutions cloud est que « Microsoft indique ainsi que toutes les versions supérieures à Windows 2019 ne seront disponibles que dans le cloud et n'existeront plus en version déployable sur des infrastructures propres ». Par ailleurs, le même document porte le constat – aveu d'impuissance – qu'« au plan politique et symbolique, le choix d'un modèle cloud pourrait être perçu comme une perte de souveraineté numérique, puisque le ministère confierait à des entreprises américaines, GAFA, la gestion de sa bureautique. Ce point est surtout symbolique, car l'ensemble des postes de travail et de la messagerie sont déjà sous licence américaine et portés très majoritairement par des matériels chinois ou coréens. ». Outre l'absence du « M » à « GAFA »3, alors même que l'on parle de bureautique, cela témoigne de l'absence d'une réelle perspective et d'ambition politique à propos de ce sujet. De là à dire que le ministère aurait vu se fermer sur lui un « piège Microsoft »… 4

On notera que « la question de l’évaluation du risque de dépendance de l’administration publique aux logiciels et aux services de Microsoft » est présente dans le document de pré-cadrage, en tant que « point ouvert » à l'issue de ces travaux. Il est évoqué de prévoir une « solution alternative crédible avant le renouvellement du contrat avec Microsoft (ex. Google) » – remplacer une dépendance par une autre ? –, de prévoir des clauses de réversibilité ou encore de « solliciter l'avis consultatif des organismes interministériels ». Ces points ne sont pas développés. S'agirait-il de vœux pieux ?

Rappelons, fait important, que la dérogation ne peut subsister « au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ». De là, il convient de savoir si d'autres études ont été conduites depuis pour s'assurer que de telles solutions ne sont effectivement toujours pas disponibles. Question à laquelle l'administration nous a répondu qu'elle « ne dispose d’aucune autre étude similaire menée postérieurement », mais, en revanche, que la Direction du numérique du ministère « participe activement aux travaux des autorités publiques (ANSSI, DINUM,5 etc.) compétentes en matière de solutions cloud pour l’État et œuvrant pour à la mise à disposition d’offres de services cloud en conformité avec les exigences SecNumCloud ; à ce jour, ces travaux n’ont pas permis d’identifier d’offres alternatives répondant aux conditions précitées. »

Fort bien. Il n'en fallait pas plus à l'April pour exercer à nouveau son droit d'accès aux documents administratifs. Passant par la Direction interministérielle du numérique, nous avons formulé une nouvelle demande de communication portant sur :

• tout document actant la conduite de ces travaux, et/ou les formalisant sous forme de groupe de travail ou autre mode d'organisation ;
• les comptes rendus des réunions relatives à « la mise à disposition d’offres de services cloud en conformité avec les exigences SecNumCloud » et à la recherche « d'offres alternatives » à celle de Microsoft. Ainsi que les correspondances relatives à la préparation de ces réunions.

Nous verrons alors dans quelle mesure les logiciels libres sont pris en compte dans ces travaux. Analyser, sérieusement, l'offre en logiciels libres est évidemment une étape essentielle. De même que faire un état des lieux des dépenses logicielles par administration6. Mais, dans ces situations de dépendance, malheureusement récurrentes, l'État ne peut pas se contenter d'être un observateur et un consommateur passif de solutions logicielles, y compris libres. Ce n'est qu'en mettant en œuvre une politique publique ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, que l'on pourra répondre aux enjeux.

• 1. Circulaire n° 6282-SG du 5 juillet 2021
• 2. Les demande CADA sont des demandes de communication en vertu du droit d'accès au document administratif. Pour plus d'information vous pouvez consulter le site associatif Ma Dada, dont le délégué général, Xavier Berne, propose des chroniques dans l'émission Libre à vous !
• 3. L'acronyme GAFAM désigne les entreprises Google, Amazon, Facebook, Apple et Microsoft
• 4. Un récent rapport parlementaire de janvier 2024 sur « le défi de la cybersécurité » évoque ainsi un « piège Microsoft », du fait de ses pratiques commerciales. Lire le communiqué de l'April
• 5. Agence nationale de la sécurité des systèmes d’information et Direction interministérielle du numérique
• 6. Dans son communiqué sur le « piège Microsoft », l'April appelle les parlementaires à poser des questions écrites en ce sens aux différents ministères

Constituée en mars 2023, la mission flash « sur les défis de la cybersécurité » a remis ses conclusions le 17 janvier 2024. Le rapport d'information, résultat des travaux de la députée Anne Le Hénanff (Horizons) et du député Frédéric Mathieu (LFI - Nupes) présente un portrait large des enjeux de la cybersécurité et adresse, notamment, la question des capacités techniques, en particulier logicielles. À cette occasion, le document pointe l'existence d'un « piège Microsoft » et recommande que la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres soit explorée.

Lire le rapport d'information

Le rapport d'information pose assez clairement le constat d'une dépendance trop grande aux GAFAM1, en pointant les risques en termes de souveraineté pour le ministère des Armées, notamment face à ce qu'il appelle le « piège Microsoft ». Expression qui trouve un écho particulier dans la longue histoire des relations entre ce ministère et la multinationale. En 2013, déjà, l'April relayait une analyse de risques conduite par des experts du ministère, préalablement à la signature d'un accord cadre « Open Bar » avec Microsoft, qui signalait des « risques élevés », notamment en termes de « perte de souveraineté nationale » 2. En réponse à ce piège, les deux parlementaires posent judicieusement la question du recours aux systèmes d'exploitation et aux logiciels libres.

Le piège Microsoft

Le rapport explique que la stratégie du ministère des Armées – en dehors des cas de « souveraineté absolue comme, par exemple, la dissuasion nucléaire », pour lequel il ne recourt pas aux solutions des GAFAM – est de « miser sur des couches de chiffrement » pour protéger ses données. Pour autant, cette solution pourrait visiblement être remise en cause par les décisions de Microsoft en termes de commercialisation. En effet, la stratégie du ministère repose sur le principe que les logiciels sont installés sur ses propres machines, or, comme l'indique le document, l'entreprise s'appuie de plus en plus sur « une logique de service », qui suppose, donc, que les logiciels proposés ne s'exécutent non plus chez soi… mais sur les machines de la multinationale.

Au-delà du cas spécifique de Microsoft, et de la capacité de l'État français, pour le moment, d'éviter une telle évolution contractuelle pour lui, cela rappelle bien le danger de dépendre des choix commerciaux d'une entité privée qui, somme toute logiquement, poursuit ses propres intérêts. Qualifier cette situation de « piège » semble tout à fait à propos ; empêtrée dans un système informatique conçu en silo, les décisions de l'administration, en termes de sécurisation, peuvent être rendues inopérantes par les choix commerciaux d'un éditeur. Qui aurait-pu prédire ?

Une question de souveraineté

Un rapport sur « le défi de la cybersécurité » ne pouvait évidemment pas faire l'impasse sur la question de la « souveraineté numérique ». La rapporteure et le rapporteur s'arrêtent notamment sur la question, presque rituelle, d'un hypothétique système d'exploitation souverain. De ce point de vue, le rapport s'appuie sur une appréciation plus traditionnelle de la question de la souveraineté, fondée sur un critère plus géographique : « s’agissant, par exemple, des serveurs et des systèmes d’exploitation, il n’y a quasiment rien sur le sol européen : il n’existe pas, à ce jour, de système d’exploitation souverain, ce qui contraint le ministère des Armées à recourir à des solutions extra-européennes, et singulièrement celles des GAFAM. »

Si l'on parle de logiciels privateurs, conçus comme des boîtes noires, cette considération n'est effectivement pas anodine dans un contexte de possibles divergences d'intérêts géopolitiques. C'est, encore ici, une force du logiciel libre, qui, en garantissant l'accès à ses sources, assure à l'administration utilisatrice la capacité d'audit du code – donc que le logiciel ne fait pas autre chose que ce qu'il est censé faire –, et qui, par sa licence, assure à l'administration le libre usage et la libre modification de celui-ci, donc la capacité d'agir sur le logiciel. Les logiciels libres et, à fortiori, les systèmes d'exploitation libres, permettent de revenir à une définition plus opérante de la souveraineté numérique, c'est-à-dire à l'ensemble des conditions de l'expression et de la maîtrise de nos activités et libertés fondamentales sur les réseaux informatiques. Ou, dans le contexte des pouvoirs publics, pour citer le rapport Latombe qui préconisait la systématisation du recours au logiciel libre, les conditions de l'autonomie stratégique 3.

Il est ainsi notable que, selon le rapport « le développement d’un système d’information entièrement souverain paraît inatteignable et d’un coût prohibitif », alors même que des systèmes libres comme GNU/Linux existent déjà. Parallèlement, le rapport n'oublie pas de mentionner, à juste titre, les considérations relatives à la production du matériel informatique, notamment sa localisation.

La pertinence du recours aux systèmes d’exploitation et aux logiciels libres

La rapporteure et le rapporteur n'éludent pas la question et s'interrogent sur la pertinence du recours au logiciel libre, jugé d'ailleurs souhaitable. En témoigne la recommandation 24 du rapport qui appelle à « explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres ».

Recommandations du rapport :

[…]

23/ Élaborer une feuille de route pour réduire l’empreinte des GAFAM au sein du ministère des Armées ;

24/ Explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres

[…]

La direction interarmées des réseaux d'infrastructure et des systèmes d'information du ministère des Armées (DIRISI), interrogée pour l'occasion, s'appuie malheureusement, par des périphrases, sur l'argument éculé des coûts cachés des logiciels libres, notamment en termes de formation. Pire, elle justifie l'impossibilité d'une migration par la trop grande importance des coûts liés, notamment, à des problèmes de compatibilité… problèmes inhérents, justement, à la dépendance à un système fermé comme celui de Microsoft.

La position de la DIRISI, cohérente avec le passif du ministère, apparaît d'autant plus agaçante lorsque l'on sait qu'entre novembre 2020 et mars 2021, le ministère des Armées a conduit une étude sur l'opportunité de s'équiper en système libre sur le périmètre des postes de travail internet pour « réduire l'empreinte du fournisseur Microsoft en utilisant des solutions libres ». Document dont l'April a finalement réussi à obtenir communication et qui confirme la faisabilité d'une telle migration. Pourtant, à ce jour et malgré les demandes de l'April, rien n'indique si une décision a été prise… 4

Face à cela, la position exprimée par les deux parlementaires parait appropriée, puisqu'elle avance qu'« une analyse à grande échelle resterait nécessaire pour identifier les coûts, délais, et impacts d’un passage à Linux et aux logiciels libres ». Ce qui n'est pas sans rappeler une proposition soutenue par l'April en 2022 dans le cadre d'une consultation de la Cour des comptes, qui consistait à demander l'évaluation des dépenses logicielles de l'État, préalable nécessaire pour envisager des chantiers aussi importants qu'une migration complète vers du logiciel libre. Malheureusement, mais c'est le propre de ce genre de rapport issu de mission flash5, l'auteur et l'autrice du rapport ne vont pas plus loin que le constat de l'administration de sa propre impuissance, et ne remettent ainsi pas en cause l'impossibilité mise en avant par l'administration d'un effort substantiel vers le libre. Or, ce qui est dressé comme un constat objectif, n'est rien d'autres qu'un choix politique aux lourdes et malheureuses conséquences.

« Qui n'a jamais prétendu qu'une migration des systèmes d'informations vers du libre serait simple ? Est-ce une raison suffisante pour continuer à subir la domination d'une poignée d'éditeurs de logiciels privateurs ? Pour dépasser le stade du constat désabusé que semblent dresser certaines administrations et pouvoir mener une politique publique cohérente, à la hauteur des enjeux, une vision claire et globale de la situation est indispensable : audit des dépenses logicielles, mise en évidence des décisions prises sur les postes de travail, etc. Des questions écrites des parlementaires pourraient être un outil efficace pour pousser le gouvernement à entamer ce travail nécessaire », suggère Étienne Gonnu, chargé de mission affaires publiques pour l'April.

Les rapports parlementaires semblent se succéder en partageant le double constat d'une dépendance, dangereuse et exagérée, aux GAFAM et consort, et de la pertinence d'un recours accru aux logiciels libres. Il est grand temps de dépasser les prétextes comme celui des coûts cachés et de sortir d'une stratégie dite « par opportunité », au gré des besoins, qui montre clairement ses limites. Ce n'est qu'en mettant en œuvre une politique publique ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, que l'on pourra répondre aux enjeux de la souveraineté numérique et, in fine, au « défi de la cybersécurité ».

• 1. GAFAM ou « Géants du web » : les grandes entreprises du secteur informatique qui font payer leurs services avec nos libertés
• 2. Voir aussi : Jean-Marc Manach. (18 octobre 2016). L’ARMÉE “ACCRO” À MICROSOFT ?. Bug Brother. https://www.lemonde.fr/blog/bugbrother/2016/10/18/larmee-accro-a-microsoft/
• 3. Lire l'actu de l'April du 4 août 2021 Rapport Latombe : systématiser le recours au logiciel libre dans les administrations, un enjeu de souveraineté numérique
• 4. Lire l'actu de l'April du 7 avril 2022 Poste de travail internet libre au ministère des Armées : une décision a-t-elle été prise ?
• 5. Il s'agit généralement de mission plus courte qu'une mission d'information classique, plus souple dans son format, et ont pour vocation de répondre à un sujet d'actualité

Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Des communautés libristes avaient partagé leurs profondes inquiétudes quant au texte initial de la Commission européenne1. Depuis, la procédure législative a fait son chemin et ce qui devrait être le texte final a été publié et semble, dans les grandes lignes, avoir adressé les craintes portant sur le logiciel libre.

La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires. Le trilogue relatif au Cyber Resilience Act a abouti le 20 décembre 2023, le texte est désormais en ligne (en anglais)

Stéfane Fermigier (coprésident du CNLL2) – une des personnes les plus impliquées sur ce dossier dans les communautés libristes en France – considère dans un billet publié sur LinuxFR que le « consensus des observateurs sur le document final semble être que celui-ci a "patché"3 les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif ».

Pour rappel, le texte initial, que l'April avait qualifié « d'épée de Damoclès » sur le logiciel libre, faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent, rendant de fait le développement de logiciels libres extrêmement risqué, donc économiquement intenable. Largement critiqué par les communautés libristes, et pas seulement, le texte a évolué au cours de la procédure législative. En particulier, en clarifiant la notion « d'activité commerciale » afin qu'elle intègre mieux les réalités, multiples, propres au développement de logiciels libres. Parallèlement, le texte semble mieux prendre en compte les petites et moyennes entreprises — majoritaires parmi les entreprises du libre. Nous mettrons à jour cette actu en renvoyant à des analyses détaillées de ces évolutions lorsqu'elles seront publiées.

Toutefois, comme le fait remarquer S. Fermigier, si le texte a indéniablement progressé, des flous demeurent, notamment sur la manière dont, de façon très pratique, seront mises en œuvre ces nouvelles obligations. Il partage également son interrogation sur la manière dont le texte définit le logiciel libre. S'il s'appuie sur les quatre libertés inscrites dans une licence, telles qu'elles sont définies par la FSF – ce qui est bienvenu – le projet de règlement fait potentiellement du mode de développement un critère juridique en affirmant que les logiciels sont développés, maintenus et distribués de manière ouverte 4. C'est indéniablement souhaitable, mais ce n'est pas constitutif de ce qu'est un logiciel libre. Il s'agira donc d'être vigilant sur ce point dans le futur.

Le texte doit encore être ratifié par le Parlement européen avant d'avoir force de loi et devrait entrer en application 36 mois après, à quelques exceptions près, tel que cela est stipulé à l'article 57 du texte. Ce délai est censé permettre aux acteurs, publics comme privés, de s'organiser pour répondre à leurs nouvelles obligations.

• 1. Voire notamment une lettre ouverte signée en avril 2023 par « les principales institutions de gouvernance au sein de la communauté européenne et mondiale des logiciels open source »
• 2. Union des entreprises du logiciel libre et du numérique ouvert
• 3. « Patcher » est un anglicisme commun en informatique que l'on peut traduire par « corriger »
• 4. Voir le considérant (10c) du texte. En anglais : « Free and open-source software is developed, maintained, and distributed openly, including via online platforms. »

Le 12 septembre 2023, le ministère du Travail a répondu à une question écrite du député Philippe Latombe quant à son utilisation de Microsoft Teams et Microsoft 365. L'administration précise qu'elle a obtenu dérogation de son ministre, conformément à la circulaire dite « cloud au centre »1, et indique que des études préalables ont été conduites. L'April demande communication de ces documents administratifs.

Lire la question écrite et la réponse du ministère

Le ministère bénéficie d'une dérogation ? Des études ont été conduites ? Dont acte. Conformément au droit d'accès aux documents administratifs2 nous avons demandé, le 4 octobre 2023, communication de cette dérogation, ainsi que des études techniques et autres documents relatifs comme les comptes rendus de réunions et les correspondances qui servent à la justifier. Cela fait donc un mois que nous avons formulé cette demande et nous pouvons, dès lors, acter le refus tacite du ministère, coutumier du fait, de faire droit à notre demande. Nous avons saisi la commission d'accès aux documents administratifs afin qu'elle puisse rendre son avis sur le bien-fondé de notre demande.

Notons par ailleurs que si la réponse du ministère évoque une étude conduite en 2020, la circulaire, fondement de la dérogation, précise que cette dernière ne peut « au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ». D'autres études ont-elles été conduites depuis pour s'assurer que de telles solutions ne sont effectivement toujours pas disponibles ? Peut-être que la communication de ces documents nous le dira… si l'administration consent à faire acte de transparence.

L'April a également relayé cette demande au sein du Conseil d'expertise logiciel libre, animé par la mission logiciel libre de la DINUM, qu'elle a rejoint à sa mise en place en novembre 20213.

Demande de communication adressée au ministère du Travail, par courriel, le 4 octobre 2023

A l'attention du chef du Bureau du droit du numérique et des données de la Direction des affaires juridiques du Secrétariat général des ministères chargés des affaires sociales

==

Cher Monsieur,

J'ai l'honneur, au titre du droit d'accès au document administratif, de vous demander communication de la dérogation accordée par le ministre en octobre 2021, au titre de la disposition R9 alinéa 4 de la circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d'utilisation de l'informatique en nuage par l'État, autorisant le ministère chargé du travail, de l'emploi et de l'insertion à déployer la suite Microsoft Office 365 dans ses services centraux et territoriaux.

Tel que cela a été mentionné par réponse du 12 septembre 2023 à la question écrite n°6777 de monsieur le député Latombe.

https://questions.assemblee-nationale.fr/q16/16-6777QE.htm

Cette réponse mentionne également « des études techniques conduites en 2020 » qui ont permis de conclure que seule Microsoft était à même de répondre au besoin du ministère. Je vous demande également communication de ces études, ainsi que de toute étude similaire conduite depuis, déterminant qu'aucune offre cloud acceptable n'est encore disponible en France.

Je souhaiterais également obtenir communication des comptes rendus de réunions préparatoires à cette dérogation, de même que toutes les correspondances écrites et/ou électroniques en lien avec cette dérogation.

Vous remerciant d'avance pour votre action,

Cordialement,

• 1. Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d'utilisation de l'informatique en nuage par l'État
• 2. Pour en savoir plus sur le droit d'accès au document administratif, vous pouvez écouter la nouvelle chronique « Libre à vous! » proposée par Xavier Berne, notamment le premier épisode « Découvrez le droit d’accès aux documents administratifs »
• 3. Le conseil d'expertise logiciel libre fait partie du « plan d'action logiciels libres » du gouvernement de novembre 2021

Le 17 octobre 2023, après le Sénat, l'Assemblée nationale a adopté sa version du projet de loi visant à réguler et à sécuriser l'espace numérique1. Une énième loi nationale sur le sujet, alors que l'Union européenne a récemment adopté deux règlements transversaux en la matière2. Le projet de loi vise notamment à instaurer un filtre dit « anti-arnaques », à imposer la mise en œuvre de systèmes de vérification d'âge pour l'accès aux sites pornographiques, ou encore à réguler davantage les plateformes offrant des services à distance.
Une commission mixte paritaire devrait se réunir prochainement.

Pas de blocage des sites web, mais du filtrage, imposé aux navigateurs

La mise en œuvre d'un « filtre anti-arnaques » est l'une des dispositions phares du projet de loi dont l'objectif affiché est de protéger les internautes des escroqueries en ligne. Le projet de loi prévoit différents types d'obligation et de responsabilité en fonction des acteurs, dont les fournisseurs de navigateurs web. En amont des débats, Mozilla France avait alerté sur le fait que la rédaction initiale de l'article 6 du texte pouvait faire porter aux navigateurs web la responsabilité de bloquer des sites web et engendrer une véritable censure administrative de ces sites web. En commission, un amendement a été adopté pour clarifier qu'il ne doit s'agir que d'un filtrage avec informations aux utilisatrices et utilisateurs et non d'un blocage en tant que tel. Cette solution plus équilibrée, qui semble convenir à la Fondation Mozilla, n'a pas été remise en cause lors des travaux en séance publique. Il s'agira bien entendu d'être vigilants quant à la mise en œuvre de cette obligation.

Pas de transparence pour les systèmes de vérification d'âge, même si c'est souhaitable selon la rapporteure…

Comme cela avait été le cas en commission, le groupe Écologiste a déposé un amendement visant à imposer l'accessibilité des systèmes de vérification d'âge – rendus obligatoires par la loi – « sous un format ouvert et librement utilisable », rejoint en séance publique par le groupe LFI3. Comme en commission, les amendements ont été rejetés, même si c'est « possible et souhaitable », pour reprendre les termes de la rapporteure qui a malgré tout donné un avis défavorable, invoquant, comme de coutume, une liberté d'entreprendre l'emportant sur toute autre considération d'intérêt général. Le marché, dans sa sagesse infinie et reconnue, se saisira sans doute de la question de la transparence des sources. En tout cas, « on l'espère », a précisé le rapporteur général, Paul Midy, dans un élan de courage politique4.

Pas d'obligations d'interopérabilité pour les réseaux sociaux en ligne

Les groupes Écologiste, France Insoumise et Modem ont déposé des amendements5 pour défendre l'interopérabilité des réseaux sociaux en ligne, reprenant une proposition de La Quadrature du Net. Sujet, essentiel, par ailleurs absent du texte déposé par le gouvernement. L'interopérabilité doit, selon les parlementaires ayant défendu cette proposition, limiter les effets structurels de domination des plus gros acteurs et constituer une réponse opérante à une partie des enjeux soulevés par le projet de loi, particulièrement contre le harcèlement en ligne. Comme cela a notamment été rappelé, les réseaux sociaux sont devenus indissociables de l'exercice de la liberté d'expression. Lutter contre la captation des utilisatrices et utilisateurs au sein de silos technologiques fermés est donc un enjeu fondamental. « Idée très innovante, très intéressante » selon le rapporteur général qui renvoie ici aux législateurs européens, en évoquant que le sujet a été débattu dans le cadre du Règlement européen sur les marchés numériques sans aller aussi loin. Si la question de la compétence à légiférer peut sembler pertinente, il est dommage qu'elle soit à géométrie variable… et ne semble être invoquée que pour limiter les propositions les plus ambitieuses en faveur des libertés des internautes et bien plus rarement lorsqu'il s'agit de contrôler leurs usages en ligne. Les amendements ont été rejetés6.

Une commission mixte paritaire devrait se réunir d'ici la fin de l'année. Les positions du Sénat et de l'Assemblée semblent assez convergentes, il ne devrait donc pas y avoir de surprise quant à l'aboutissement de cette commission ; les changements plus importants pourraient venir d'ailleurs. Rappelons en effet que ce projet de loi intervient dans le contexte de deux règlements européens régulant les services et les marchés numériques. La Commission européenne ne semble pas apprécier cette initiative législative française et considère d'ores et déjà certaines dispositions comme contraires au droit européen… 7 À voir quel impact cela aura sur le texte de compromis et si, ici encore, le rapporteur général et le ministre sauront se montrer aussi soucieux du droit européen.

• 1. Voir le dossier législatif du projet de loi sur le site de l'Assemblée
• 2. Le Digital Services Act, règlement sur les services numériques, et le Digital Market Act, règlement sur les marchés numériques. Les règlements européens sont d'application directe et ne nécessitent donc pas d'acte législatif pour les transposer en droit national.
• 3. Amendements 74 et 379
• 4. À partir de la minute 00:41:19 des débats
• 5. Voir les amendements 140, 500, 582, 559 et 182 déposés après l'article 22
• 6. À partir de la minute 02:51:30 des débats
• 7. Ainsi que le rapporte Contexte le 26 octobre 2023 : La Commission tire son premier boulet contre le projet de loi sur l’espace numérique

Créé par la loi relative à la lutte contre le gaspillage et à l'économie circulaire, l'indice de réparabilité va progressivement être remplacé par un indice de durabilité à partir du 1er janvier 2024. Un projet de décret et plusieurs projets d'arrêtés ont été élaborés à cette fin et ont été soumis à consultation, ouverte jusqu'au vendredi 13 octobre. S'assurer d'une bonne prise en compte de la question de l'obsolescence logicielle, en s'appuyant sur du logiciel libre, semble essentiel pour que l'indice de durabilité ait les moyens des ambitions affichées.

Le projet de décret prévoit trois notes relatives respectivement à la « réparabilité », à la « fiabilité » et à l'« amélioration », qui composeront la note globale de l'indice de durabilité, les deux premières notes bénéficiant d'un coefficient bien supérieur par rapport à la dernière (4,5 contre 1). Un arrêté dit « chapeau », détaille les critères généraux pour le calcul de l'indice. Il prévoit notamment un critère de « maintenance (y compris logicielle) » et un d' « amélioration logicielle ». Parmi les autres arrêtés, un spécifie les critères de calcul pour les terminaux mobiles, qui sont parmi les équipements où les questions d'obsolescence logicielle semblent les plus importantes. Pourtant, cette considération ne semble pas prépondérante dans le projet de texte.

Parmi la trentaine de commentaires, contributions à la consultation, certains évoquent justement l'enjeu de l'obsolescence logicielle et soulignent l'importance de pouvoir installer le système d'exploitation libre de son choix. Le projet d'arrêté sur les terminaux mobiles prévoit bien que « la possibilité d’installer le système d’exploitation de son choix » soit un critère de notation. L'intention est parfaitement louable, c'est une très bonne chose que cela soit un critère, même s'il serait sans doute préférable de préciser que cette possibilité ne doit pas se faire au prix d'une complexité technique déraisonnable. Il est aussi à noter que le critère représente 2,625 points sur 10 de la note d'« amélioration », qui ne représente, elle, que 10% de la note finale de durabilité. Ce point reste donc assez marginal par rapport à la note globale.

Dans le même ordre d'idée, il serait également intéressant de prendre en compte la possibilité d'installer le magasin d'applications de son choix.

La note d'« amélioration » comprend également l' « engagement sur la durée de fourniture de nouvelles mises à jour de fonctionnalités » que l'on pourra rapprocher d'un des sous-critères de la note de « fiabilité » sur l' « engagement du producteur sur la durée de disponibilité des mises à jour de sécurité et correctives du système d’exploitation ». Ces critères semblent indéniablement pertinents. Toutefois, la disponibilité des codes sources sous licence libre et la possibilité technique et juridique, pour quiconque, de proposer des mises à jour de sécurité ou de nouvelles fonctionnalités devraient ici permettre d'obtenir une pondération plus favorable. Les logiciels libres ne sont pas un facteur retenu, alors même que les libertés informatiques – des utilisatrices et utilisateurs en premier lieu – sont un levier important de durabilité, au même titre que l'accès physique aux composants matériels de nos équipements et leur facilité de réparation ou remplacement.

Globalement, en prenant en considérant les coefficients, il semble que la prise en compte des aspects logiciels de la durabilité des terminaux reste assez secondaire. Or, il s'agit d'aspects déterminants pour la durée de vie de ces équipements. Et, une fois ces critères pris en compte dans les projets de texte, ils semblent envisagés quasi exclusivement sous le prisme du modèle des logiciels privateurs, avec une personne morale détenant seule un pouvoir de décision sur les logiciels.

Une meilleure prise en compte des logiciels libres et de leurs modèles de développement, avec une notation ambitieuse et exigeante, serait essentielle pour donner à l'indice de durabilité les moyens de ses ambitions pour lutter contre l'obsolescence logicielle.

Le projet de loi visant à sécuriser et réguler l’espace numérique (SREN), est actuellement examiné à l'Assemblée nationale1. Les travaux en commission spéciale ont déjà eu lieu et ont notamment été l'occasion d'amendements en lien avec les libertés informatiques. Les travaux reprendront en séance publique à partir de mercredi 4 octobre 2023.

L'alerte de Mozilla semble avoir porté ses fruits

En amont des débats en commission, Mozilla France avait alerté sur une des dispositions prévues dans le projet de loi qui risquait de faire porter aux navigateurs web la responsabilité de bloquer des sites web, considérés comme des « arnaques en lignes ». Ouvrant la porte à un dangereux précédent de censure mise en œuvre au niveau des navigateurs. La fondation avait lancé une pétition, relayée par l'April. Le député Philippe Latombe (Modem) a déposé un amendement de suppression de l'alinéa en cause. Celui-ci fut rejeté au profit d'un amendement d'Éric Bothorel (LREM), qui entend préciser ce qui est attendu des navigateurs. Cet amendement, adopté, clarifie qu'il ne doit s'agir que d'un filtrage avec informations aux utilisatrices et utilisateurs, et non d'un blocage. En présentation de son amendement le député signale avoir entendu les craintes de Mozilla, ce qui n'a pas été contredit par la fondation. Il s'agit à présent que cette solution d'apparent équilibre ne soit pas remise en cause lors des travaux en séance publique. La vidéo des débats est disponible en ligne2.

Amendement n°CS620 d'Éric Bothorel. Adopté.

« Pour les fournisseurs de navigateurs internet, la décision prévoit qu’ils permettent aux utilisateurs d’accéder au service concerné après affichage d’un message clair, lisible, unique et compréhensible avertissant du risque de préjudice encouru. La décision précise si un autre type de fournisseur peut permettre aux utilisateurs d’accéder au service concerné dans les mêmes conditions. »

Pas de transparence pour les systèmes de vérification d'âge, même si c'est souhaitable selon la rapporteure…

Le groupe écologiste avait déposé un amendement visant à imposer l'accessibilité des systèmes de vérification d'âge – rendu obligatoire par la loi – « sous un format ouvert et librement utilisable ». La rapporteure Louise Morel a annoncé que si l' « amendement est possible et souhaitable, nous ne souhaitons pas le mettre de manière obligatoire dans le texte », suivi d'un « même avis » du gouvernement. L'amendement a été rejeté.3

Nous pouvons par ailleurs mentionner le dépôt d'un amendement pour une priorité au logiciel libre, déposé par le groupe de La France Insoumise, déclaré irrecevable, sans doute jugé trop éloigné de l'objet du projet de loi qui s'occupe davantage des relations des utilisatrices et utilisateurs avec les services en ligne. Le groupe écologiste a, quant à lui, déposé des amendements4 pour défendre l'interopérabilité des services en ligne, reprenant une proposition de La Quadrature du Net. Ces amendements n'ont pas été défendus.

• 1. Voir le dossier législatif du projet de loi sur le site de l'Assemblée
• 2. Regarder la vidéo des débats à partir de la minute 01:33:42 pour l'amendement de suppression, à partir de la minute 02:22:10, pour l'amendement d'Éric Bothorel.
• 3. À partir de la minute 02:15:43 des débats
• 4. Amendements 844 et 845

Tout commence en 2021, lorsque le projet de loi visant à « Encourager l'usage du contrôle parental sur certains équipements et services vendus en France et permettant d'accéder à Internet » est discuté dans l'une des chambres parlementaires 1.

Le 12 janvier 2022, le sujet est débattu en commission « des affaires culturelles et de l'éducation » de l'Assemblée nationale, puis envoyé à l'ensemble des député·es.

Des courriels sont échangés sur la liste de travail Atelier de l'April consacrée aux dossiers institutionnels, un pad est créé et des propositions sont faites, discutées, améliorées, rejetées. Étienne, notre chargé de mission affaires publiques et Frédéric, notre DG, lisent des quantités de textes (projet de loi en entier ; analyses faites par d'autres associations, journalistes ou sites). Il faut vérifier que rien n'entrave l'utilisation future des logiciels libres. Ils ne sont sans doute pas les seuls à s'atteler à l'exercice...

Premières questions et inquiétudes :

• Quid de la possibilité de vendre et acheter du matériel nu dans ce cadre juridique ?
• Risque de renforcer la pratique de la vente forcée… ?
• Opportunité pour pousser le principe de la clef d'activation pour choisir/refuser un système d'exploitation ?
• Autre point de réflexion : la possibilité pour les personnes qui acquièrent un équipement de désinstaller le dispositif-logiciel de contrôle parental qui risque d'être imposé par la loi ?

L'April contacte des député⋅es le 14 janvier avec une proposition d'amendement pour garantir la liberté de désinstaller le logiciel. de contrôle parental. Le 18 janvier, notre proposition d'amendement n'ayant pas été reprise, nous nous tournons donc vers le Sénat...

L'April fait parvenir des propositions d'amendements aux membres de la commission des affaires économiques (qui doivent se réunir le 26 janvier) puis aux autres sénatrices et sénateurs (les débats en séance publique commencent le 9 février).

Le 21 janvier, avant la première date limite, Étienne envoie sa première salve de courriels aux sénatrices et sénateurs membres de la commission avec deux propositions d'amendements : garantir la liberté de désinstaller et préserver la vente d'équipement sans OS. Il passe également du temps au téléphone avec une membre de l'équipe de la rapporteure.

Le 26 janvier, la commission « affaires économiques » se réunit pour débattre mais aucune de nos propositions d'amendements n'est discutée.

Qu'à cela ne tienne, des propositions formalisées d'amendements sont envoyées dans la foulée à des parlementaires, dès le 27 janvier, notamment celles et ceux qui avaient participé aux débats sur la proposition de loi visant à garantir le libre choix du consommateur dans le cyberespace, avec qui l'April est restée en contact, et aux secrétariats de groupes.

En février, Étienne est contacté par un administrateur du Sénat pour discuter des propositions faites par l'April, ce dernier a lui-même été contacté par plusieurs groupes et ne serait pas surpris que ces propositions se retrouvent en amendements.

Les 9/10 février, effectivement, les propositions de l'April ont été reprises dans pas moins de six amendements 2.

• L'amendement 2 (mais pas le 5) est adopté : la désinstallation doit se faire sans surcoût.
• Les amendements 1, 4, 7 sont refusés alors que le 10 est adopté introduisant un doute effroyable :

« Le dispositif prévu au premier alinéa ne s’applique pas aux équipements terminaux à usage professionnel mis sur le marché sans être équipés de systèmes d’exploitation. »

Qu'en est-il des équipements terminaux mis sur le marché pour les particuliers sans être équipés de système d’exploitation ? Le grand public va-t-il donc être privé de la possibilité d'acheter du matériel nu ?

La proposition de loi passe avec l'amendement 10 et quitte le Sénat. Direction la commission mixte paritaire (CMP) composée de parlementaires des deux chambres.

Le 17 février, Étienne envoie un message au groupe Atelier:

« La CMP s'est réunie ce matin pour trouver un texte de compromis entre les textes du Sénat et de l'Assemblée nationale. Visiblement nous avons été entendus, la mention « à usage professionnel » a été supprimée de l'alinéa 7 introduit au Sénat. L'ensemble des équipements mis sur le marché sans système d'exploitation est donc exclu du champ d'application de la loi. »

À noter que les délais d'échange entre les deux chambres ont été particulièrement courts, deux mois c'est du rapide !!

Fin février, le texte est adopté à l'Assemblée Nationale (le 22), au Sénat (le 24), puis promulgué le 2 mars et le gouvernement le notifie à la Commission européenne. RDV mai 2022 pour savoir si cette dernière fera des commentaires pouvant remettre en cause l'entrée en vigueur du texte.

Octobre 2022, une consultation publique est ouverte pour permettre aux personnes intéressées de commenter le projet de décret. Une nouvelle insertion change le sens de la loi!

Nouvel échange de mails entre Étienne et les personnes concernées :

« Le terme « désactivation » devrait selon nous être remplacé par le terme « désinstallation ». En effet, l'alinéa 4 de l'article 1-I de la loi dispose que « l'activation, l'utilisation et, le cas échéant, la désinstallation de ce dispositif sont permises sans surcoût pour l'utilisateur ». Techniquement la garantie de pouvoir désinstaller le dispositif garantit des droits plus forts aux utilisateurs que la simple possibilité de désactiver le logiciel, qui peut, le cas échéant, rester installé sur sa machine. »

Fin octobre, le nouveau décret est notifié à la Commission européenne... sans que les demandes de l'April soient prises en compte.

Dernière chance, Étienne contacte une personne au ministère, l'ancien rapporteur de l'Assemblée nationale et d'autres personnes mais, finalement, cela reste en l'état vu que le 13 juillet 2023 le décret de loi a été publié au Journal officiel.

Magali Garnero, alias Bookynette, présidente de l'April

• 1. Voire le dossier législatif qui retrace le parcours de la loi jusqu'à son adoption
• 2. Retrouver les liens et les détails de ces amendements dans cette actu de l'April.

Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Projet, tel que présenté par la Commission européenne, que l'April avait qualifié d'épée de Damoclès sur le logiciel libre puisque il faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent. L'April a également relayé une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne. Point d'étape alors que le Parlement et le Conseil de l'Union européenne ont avancé sur le sujet et que les négociations interinstitutionnelles auront, semble-t-il, lieu à l'automne.

La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États-membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires.

Depuis que l'April a qualifié le Cyber Resilience Act d'« épée de Damoclès », la procédure législative a suivi son cours.

Au Parlement, c'est la commission ITRE (Commission de l'industrie, de la recherche et de l'énergie) qui a été saisie au fond. Elle a donc la responsabilité de la conduite des travaux sur ce texte pour le Parlement, notamment dans le cadre du trilogue à venir. Le 19 juillet, cette commission a voté sa version amendée du texte. Malheureusement, ses amendements ne contribuent aucunement à clarifier la situation pour les logiciels libres. Plus précisément, elle a adopté deux nouveaux considérants – 10a et 10b – qui, d'une part, apportent de la confusion en prenant deux extrêmes en exemple : le cas d'une communauté de développement complètement décentralisée sans qu'aucune entreprise n'ait de pouvoir de décision et celui d'un logiciel libre développé majoritairement par une entreprise qui, elle seule, dégage des revenus. Il reste beaucoup d'incertitudes pour tout l'entre-deux existant, en particulier pour les petites et moyennes entreprises du Libre. D'autre part, les donations récurrentes par des entités commerciales seraient de nature à qualifier une activité commerciale… 1
Lire le texte de la commission ITRE (en anglais).

Particularité supplémentaire : là où, habituellement, le texte issu de la commission au fond devrait être débattu et voté en séance plénière, avant de poursuivre la navette législative, ITRE a simultanément voté, conformément à l'article 71 du règlement intérieur du Parlement, que le texte qu'elle a voté servirait directement de base aux négociations interinstitutionnelles. Cette entrée directement en négociation devra toutefois être adoptée par le Parlement qui siégera à nouveau à compter du 11 septembre 2023.

Il convient justement de noter que parallèlement à cela la commission IMCO (Commission du marché intérieur et de la protection des consommateurs), saisie pour avis, a également voté sa position sur le projet de règlement. Le texte voté semblerait constituer une sortie de crise intéressante, clarifiant les termes, particulièrement la notion « d'activité commerciale », et les responsabilités, notamment en les faisant avant tout reposer sur le fabricant d'un « produit final » incluant des composantes logicielles. Le texte d'IMCO a également le mérite d'amender non seulement le considérant 10, mais aussi l'article 2 sur le champ d'application du projet de règlement. Il serait donc regrettable que le Parlement ne puisse débattre et voter à la lumière de cette position divergente. Espérons que l'avis de la commission IMCO sera lu avec attention et qu'il éclairera utilement les travaux du trilogue le cas échéant. Lire le texte de la commission IMCO.

Du côté du Conseil de l'UE, la situation semble meilleure. Adopté le 13 juillet 2023, son texte reprend en profondeur le considérant 10 de la proposition de la Commission, afin de le rendre plus clair et didactique. Il pose en principe de base que c'est l'activité commerciale qui fait tomber sous le coup du règlement, il pose plus clairement ce qui caractérise une activité commerciale et il définit les logiciels libres tout en réaffirmant que ce n'est que s'ils sont fournis dans le cadre d'une activité commerciale qu'ils sont concernés. Le texte exclut par ailleurs explicitement les « gestionnaires de paquets », « hébergeurs de code » ou les « plateformes de collaboration » agissant en dehors d'activités commerciales. Le texte du Conseil n'amende en revanche pas l'article 2 sur le champ d'application. Lire le texte du Conseil (en anglais).

Il semble trop tôt pour dire que l'épée de Damoclès n'est plus suspendue au-dessus du logiciel libre, néanmoins ces réactions institutionnelles nous confirment à minima que les craintes de « l'écosystème du logiciel libre » ont été, si ce n'est écoutées, du moins entendues. Reste à voir sur quelles bases le Parlement participera au trilogue, et ce qui en ressortira… L'étape du trilogue étant, par ailleurs, notamment connue pour son faible niveau de transparence.

• 1. Pour un point de vue plus détaillé sur les problèmes posés par le texte de la commission ITRE, vous pouvez lire le billet de Stéfane Fermigier sur LinuxFR.

Le décret d'application de la loi du 2 septembre 2022 « visant à renforcer le contrôle parental » a été publié au journal officiel le 13 juillet 2023. L'April s'était mobilisée, avec succès, sur cette loi pour obtenir de meilleures garanties pour les libertés informatiques des personnes souhaitant acquérir des équipements vendus sans système d'exploitation. Malheureusement le décret, en remplaçant un mot, prévoit des garanties inférieures à celles inscrites dans la loi en ce qui concerne la faculté de désinstaller le dispositif de contrôle parental, et cela, malgré notre signalement.

L'article L34-9-3 du code des postes et des communications électroniques, crée par la loi du 2 septembre 2022, impose aux vendeurs d'équipements informatiques vendus avec un système d'exploitation la présence d'un dispositif de contrôle parental pré-installé et activable par les personnes l'acquérant. Il dispose que « l'activation, l'utilisation et, le cas échéant, la désinstallation de ce dispositif sont permises sans surcoût pour l'utilisateur. ».

Suite à la promulgation de la loi, une consultation a été conduite dans le cadre de l'élaboration du projet de décret d'application. L'April y a contribué, notamment pour signaler ce qui apparaît comme une erreur : là où la loi prévoit le droit pour les personnes utilisatrices de désinstaller le logiciel de contrôle parental pré-installé sur leur équipement, le décret se contente de ne prévoir qu'une désactivation du dispositif.

Malheureusement, malgré notre signalement, répété, le terme « désactivation » est resté dans le décret officiellement publié le 13 juillet, en contradiction donc avec la loi. La distinction entre « désinstallation » et « désactivation » est évidemment loin d'être anodine, les parlementaires ayant voté pour une protection plus forte des droits des utilisateurs et utilisatrices, leur garantissant le droit de ne pas se voir imposer la présence d'un logiciel qu'ils et elles ne souhaitent pas sur leur machine.

La loi reste bien sûr de valeur supérieure au décret, qui ne correspond qu'à sa traduction plus opérationnelle par le pouvoir administratif. Toutefois, le décret correspond à la manière dont sera mise en œuvre la loi. Cette erreur d'adaptation des dispositions de la loi nous interpelle, et il conviendra d'être vigilant sur la manière dont sera appliquée cette nouvelle obligation par les fabricants et contrôlée par les services administratifs en charge de son exécution.

Le décret doit entrer en vigueur 12 mois après sa publication, soit en juillet 2024.

Après avoir révélé des informations particulièrement inquiétantes sur l'affaire dite « du 8 décembre »1, où certaines pratiques numériques, légales, sont considérées comme constitutives de preuves de l'existence d'un projet criminel2, La Quadrature du Net publie une tribune pour alerter sur la menace très sérieuse qui pèse sur nos libertés. Cette tribune, que l'April a choisi de signer comme 130 autres personnes physiques et organisations, dénonce la criminalisation du chiffrement des communications et, au-delà de cela, alerte sur une pratique politique et judiciaire qui, au nom de l'anti-terrorisme, revient in fine à remettre en cause l'exercice même des libertés informatiques dans leur ensemble.

Lire la tribune

Le 5 juin 2023, La Quadrature du Net a publié un article sur la criminalisation des pratiques numériques des personnes inculpées dans « l'affaire du 8 décembre ». L'association de défense des libertés fondamentales dans l’environnement numérique révèle comment la Direction générale du renseignement intérieur (DGSI) et le Parquet national antiterroriste (PNAT) entendent justifier leur mise en examen pour « association de malfaiteurs terroristes », en dehors de tout acte délictuel ou criminel, sur la base de leurs habitudes et pratiques numériques, chiffrement en tête.

L'article est édifiant. Il montre à quel point l'exercice d'une bonne hygiène numérique, d'un souci de préserver son intimité en ligne et de maîtriser ses outils informatiques, peuvent être perçus par une partie des pouvoirs publics comme autant de comportements suspects. Il peut s'agir de l'utilisation de messageries chiffrées, d'outils alternatifs à ceux des géants du numérique comme le système d'exploitation /e/ ou le magasin d'applicatifs F-Droid, de la participation à l'organisation d'évènements de formation à l'hygiène numérique, etc. Situation d'autant plus absurde et scandaleuse que nombre de ces pratiques sont par ailleurs encouragées par des administrations comme l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) ou la Commission Informatique et Liberté (CNIL).

Au-delà du chiffrement, il apparaît que l'usage même d'un logiciel peut être considéré comme faisant partie d'un faisceau d'indices pour retenir une qualification pénale aussi grave que celle d'« association de malfaiteurs terroristes », sans qu'aucun fait condamnable, rappelons-le, ne soit par ailleurs établi. Et, partant de là, il semble aisé d'imaginer le fait que développer certains programmes informatiques pourra lui aussi être suspect. Ce sont donc bien les logiciels libres et l'ensemble des libertés informatiques qui sont ici menacés. L'April dénonce sans réserve ces graves atteintes aux libertés informatiques et à l'état de droit.

Le procès des personnes inculpées dans « l'affaire du 8 décembre » doit se tenir en octobre 2023.

Tribune: « Attachés aux libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement de nos communications »

Cette tribune a été rédigée suite à la publication de notre article sur la criminalisation des pratiques numériques des inculpé·es de l’affaire du 8 décembre. Cette tribune a été signée par plus de 130 personnes et organisations et publiée hier sur le site du journal Le Monde. La liste complète des signataires est disponible ici.

Chiffrer ses communications est une pratique banale qui permet qu’une correspondance ne soit lue par personne d’autre que son destinataire légitime. Le droit au chiffrement est le prolongement de notre droit à la vie privée, protégé par l’article 8 de la Convention européenne des droits de l’homme, qui garantit à chacun le « droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Toute personne qui souhaite protéger sa vie privée peut chiffrer ses communications. Cela concerne aussi bien des militants, des défenseurs des droits humains, des journalistes, des avocats, des médecins… que de simples parents ou amis. Dans le monde entier, le chiffrement est utilisé pour enquêter sur la corruption, s’organiser contre des régimes autoritaires ou participer à des transformations sociales historiques. Le chiffrement des communications a été popularisé par des applications comme WhatsApp ou Signal.

En 2022, ce sont ainsi plus de deux milliards de personnes qui chiffrent quotidiennement leurs communications pour une raison simple : protéger sa vie privée nous renforce toutes et tous. Pourtant, le droit au chiffrement est actuellement attaqué par les pouvoirs policiers, judiciaires et législatifs en France, mais aussi dans l’Union européenne, au Royaume-Uni et aux Etats-Unis. En tant que société, nous devons choisir. Acceptons-nous un futur dans lequel nos communications privées peuvent être interceptées à tout moment et chaque personne considérée comme suspecte ?

Le chiffrement des communications utilisé comme « preuve » d’un comportement clandestin… donc terroriste

La Quadrature du Net a récemment révélé des informations relatives à l’affaire dite du « 8 décembre » (2020) dans laquelle neuf personnes de l’« ultragauche » – dont l’une avait précédemment rejoint la lutte contre l’organisation Etat islamique aux côtés des combattants kurdes des Unités de protection du peuple (YPG) – ont été arrêtées par la DGSI et le RAID. Sept ont été mises en examen pour « association de malfaiteurs terroristes », et leur procès est prévu pour octobre 2023. Ces éléments démontrent, de la part de la police française, une volonté sans précédent de criminaliser l’usage des technologies de protection de la vie privée.

Le chiffrement des communications est alors utilisé comme « preuve » d’un comportement clandestin… donc terroriste ! Des pratiques de sécurité numérique parfaitement légales et responsables – dont le chiffrement des communications qui est pourtant soutenu, et recommandé, par de nombreuses institutions, comme les Nations unies, la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’Agence européenne pour la cybersécurité (Enisa) ou la Commission européenne – sont criminalisées à des fins de mise en scène d’un « groupuscule clandestin » vivant dans « le culte du secret ».

Outre l’usage de messageries chiffrées sont aussi incriminées des pratiques telles que le recours à des services comme Proton Mail pour chiffrer ses e-mails, l’utilisation d’outils permettant de protéger la confidentialité de sa navigation sur Internet (VPN, Tor, Tails), de se protéger contre la surveillance des Gafam, le simple chiffrement d’ordinateurs personnels ou encore l’organisation de formations à la protection numérique (chiffro-fêtes).

Rejet de l’amalgame entre protection des données et terrorisme

Par la criminalisation du chiffrement et de pratiques répandues de sécurité informatique, la police française vise à construire un récit selon lequel les sept personnes mises en examen vivraient « dans la clandestinité ». En l’absence d’un projet terroriste prouvé et avéré, cette prétendue « clandestinité » devient une preuve de l’existence cachée d’un projet inconnu.

Nous, journalistes, activistes, fournisseurs de services tech ou simples citoyens attentifs à la protection des données à l’ère numérique, sommes profondément révoltés de voir qu’un tel amalgame entre la protection basique des données et le terrorisme puisse être alimenté par les services de renseignement et la justice antiterroriste française.

Nous sommes scandalisé·es que des mesures nécessaires à la protection des données personnelles et de la vie privée soient désignées comme des indices d’« actions conspiratives » de personne vivant supposément dans le « culte du secret ».

Nous dénonçons le fait qu’une formation classique et bienveillante au numérique, portant sur Tails, un système d’exploitation grand public développé pour la protection de la vie privée et la lutte contre la censure, puisse constituer un des « faits matériels » caractérisant « la participation à un groupement formé […] en vue de la préparation d’actes de terrorisme ».

Sous prétexte de terrorisme, le système judiciaire français incrimine des pratiques basiques de sécurité. Mais l’exemple français ne représente malheureusement pas l’unique tentative d’affaiblir le droit au chiffrement. A Bruxelles, la Commission européenne a proposé en 2022 le règlement Child Sexual Abuse Regulation (CSAR). Au nom de la lutte contre la pédopornographie, ce texte veut obliger les fournisseurs de messageries chiffrées à donner accès à chacun de nos messages pour les vérifier.

Pour un numérique émancipateur, libre et décentralisé

De nombreuses voix se sont élevées contre cette proposition, parmi lesquelles celles de cent trente organisations internationales. Elles dénoncent notamment l’absence de considération pour la mise en place d’autres moyens qui permettraient de lutter contre ces graves infractions de manière moins liberticide. De récentes fuites ont d’autre part révélé que des pays comme l’Espagne veulent purement et simplement interdire le chiffrement de bout en bout.

En Grande-Bretagne, le projet de loi Online Safety Bill et, aux Etat-Unis, le projet EARN IT s’ajoutent à cette inquiétante guerre contre le chiffrement. Attachés à promouvoir et défendre les libertés fondamentales dans l’espace numérique, nous défendons le droit au chiffrement et continuerons à utiliser et à créer des outils protégeant la vie privée.

Nous refusons que les services de renseignement, les juges ou les fonctionnaires de police puissent criminaliser nos activités au motif qu’elles seraient « suspectes ». Nous continuerons de nous battre pour un numérique émancipateur, libre et décentralisé afin de bâtir une société plus digne pour toutes et tous. Le combat pour le chiffrement est un combat pour un futur juste et équitable.

• 1. L'affaire du 8 décembre 2020 est une affaire controversée de peines de détention préventive, dont une peine préventive de seize mois à l'isolement, et d'intentions terroristes supposées sans qu'aucun acte terroriste ni projet d'acte terroriste ne soit reproché aux prévenus.
• 2. Lire les éléments révélés par La Quadrature du Net

La Commission européenne porte un projet de règlement visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels, le Cyber Resilience Act. Comme malheureusement trop souvent, l'approche de la Commission semble traduire une vision strictement industrielle, fondée sur le modèle verticalisé et centralisé des grandes entreprises éditrices d'une informatique privatrice. Ce projet représente une menace très sérieuse pour le logiciel libre, comme en témoigne notamment une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne.

La sécurité informatique, dès lors qu'elle est un outil au service des utilisatrices et utilisateurs, maîtrisée par elles et eux, est une condition importante de l'exercice des libertés informatiques dans leur ensemble. Les différentes méthodes de développement propres au logiciel libre, fondées notamment sur la transparence, la reproductibilité et la collaboration, qui s'apparentent le plus, en ce sens, à la méthode scientifique, sont bien davantage vectrices de sécurité qu'un modèle basé sur une approche verticale et opaque. Quoi qu'il en soit, la sécurité ne peut-être un prétexte suffisant par lui-même pour justifier la réduction des libertés fondamentales. Toute mesure de « sécurité » se doit de répondre aux principes de proportionnalité et de stricte nécessité, c'est vrai pour l'informatique comme partout ailleurs.

Agir pour une meilleure sécurité informatique est un objectif louable et, en tout état de cause, un levier politique que la Commission européenne a pleine légitimité à vouloir actionner. Toutefois, cela ne peut se faire de manière décorrélée de la réalité des pratiques et sans concertation. Dans une lettre ouverte adressée aux membres du Parlement européen et du Conseil de l’Union Européenne, aux représentants au Conseil de l'Union européenne, des organisations actrices de l'écosystème du logiciel libre à l'échelle européenne ont exprimé leur vive inquiétude et ont pointé l'absence de consultation des communautés du logiciel libre, alors même que « les logiciels libres représentent en Europe plus de 70 % des logiciels présents dans les produits contenant des éléments numériques ».

La Commission veut donc imposer de manière verticale une méthodologie basée sur un système de « norme CE », adossée à une très forte responsabilité de celles et ceux qui produisent du code et de celles et ceux qui le diffusent. Toute personne produisant ou diffusant du code serait ainsi individuellement responsable de la sécurité de ce code, dans le cadre des obligations découlant du règlement. Or, la plupart des logiciels libres sont développés avec des moyens dérisoires, par des bénévoles ou de petites structures, et n’ont pas la capacité financière et humaine de mettre en œuvre les processus lourds et complexes qu’induirait le projet de règlement, notamment en termes de certification.

Position d'autant plus paradoxale que la Commission européenne semble pourtant reconnaître l'importance des logiciels libres dans le socle technologique qui sous-tend Internet, notamment du point de vue des enjeux de sécurité. Elle avait ainsi mené des projets visant justement à soutenir la sécurité des logiciels libres critiques, notamment l'initiative EU-FOSSA, European Union Free and Open Source Software Auditing, qui accordait des primes pour la détection de failles de sécurité dans des logiciels libres utilisés par les institutions européennes1. Pourtant, le Cyber Resilience Act disqualifierait ce socle critique en Europe au lieu de participer à sa sécurisation. Dans le même temps, ce socle technologique continuera à être utilisé et développé dans le reste du monde. Par effet de bord, la Commission va sérieusement démunir et handicaper l’industrie européenne.

Les organisations signataires de la lettre ouverte et notamment le CNLL (l'Union des entreprises du numérique ouvert) dans son communiqué, s'alarment du risque que fait porter le Cyber Resilience Act sur la filière européenne du logiciel libre, qui représente, rappelle le CNLL, « 30 milliards d’euros de chiffre d’affaires direct et environ 100 milliards d’euros d’impact économique total ». En forçant une responsabilité lourde sur les éditeurs de logiciels libres – sans considération de possible relation contractuelle avec les utilisateurs et utilisatrices –, ce projet semble témoigner d'une méconnaissance profonde des logiciels libres, des méthodes de développement qui leur sont propres, ainsi que des communautés qui les font vivre. On rappellera, par exemple, que les acteurs et actrices du logiciel libre n'ont pas attendu la Commission pour proposer des contrats de maintenance et/ou d'assurance, distincts du développement du code.

Dans son projet de règlement, la Commission cherche visiblement à donner des gages vis-à-vis des logiciels libres. Mais, loin de convaincre, celle-ci témoigne, ici encore, d'une méconnaissance importante. Ainsi, dans un des considérants de principe – et non pas dans un article à part entière – le règlement prévoit une exception pour les logiciels libres développés et distribués dans le cadre d'activités non commerciales. Ces activités non commerciales sont définies de manière très restrictive, ce qui rend presque inopérante l'exception2. À titre d'exemple, elle ferait, entre autres, tomber sous le coup des lourdes obligations prévues par le texte les codes publiés sur les plateformes type GitHub et GitLab puisque celles-ci proposent, par ailleurs, des services payants à leurs utilisateurs et utilisatrices.

Le Cyber Resilience Act risquerait d'avoir un effet dissuasif délétère sur le développement et l'utilisation des logiciels libres en Europe et sans doute, par répercussion, à une échelle plus globale. On imagine ainsi aisément que des entreprises puissent d'elles-mêmes exclure le recours à des composants libres, tiers, de leurs propres solutions au profit de logiciels privateurs, préférant laisser à l'éditeur le soin de se conformer aux obligations du règlement, plutôt que de se charger elles-mêmes d'une maintenance pro-active de ces composants tiers.

L'April rappelle la Commission européenne à ses prises de positions passées sur le logiciel libre 3, qui se voulaient, selon elle, ambitieuses, alors que la proposition de Cyber Resilience Act traduit plutôt une perception verticale et centralisée de l'informatique. Si elle ne veut pas porter un grave coup à l'ensemble des vertus du logiciel libre qu'elle prétend elle-même défendre (ouverture, souveraineté, innovation, etc.), elle se doit d'écouter très attentivement les actrices et acteurs concernés et amender en profondeur son projet.

• 1. En janvier 2019, l'Union européenne ouvre la chasse aux failles dans les logiciels libres
• 2. Voir, par exemple l'analyse de l'OFE, Open Forum Europe (en anglais)
• 3. Lire le communiqué de l'April sur la stratégie de la Commission sur « l'octroi de licences open source et la réutilisation des logiciels de la Commission ».