Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Malheureusement le texte actuellement proposé par la Commission et en cours d’examen au Parlement et au Conseil représente une menace existentielle pour la filière européenne du logiciel libre. C’est ce qui a été mis en évidence depuis la publication du texte par les experts de la filière du logiciel libre (cf. références).
Dans un communiqué commun et une lettre ouverte aux eurodéputés et aux représentants du Conseil de l’Union européenne publiés ce jour, les institutions signataires, représentatives de la communauté des logiciels libres, soulèvent les principaux problèmes avec le CRA, notamment que:
- Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.
- Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.
- La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.
- Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.
Aller plus loin
- Communiqué du CNLL (193 clics)
- Lettre ouverte de la Fondation Eclipse (31 clics)
- Analyse de la Fondation Python (PSF) (79 clics)
- Analyse de la Fondation Eclipse (31 clics)
- Analyse de NLnet Labs (27 clics)
- Analyse de l'Internet Society (31 clics)
# C'est quoi ?
Posté par Astaoth . Évalué à 6.
C'est quoi le CRA et en quoi il impacte le LL ? Et le CNLL ?
Et pourquoi le texte ressemble à un c/c de la lettre ouverte du CNLL sans indication de la citation ?
Emacs le fait depuis 30 ans.
[^] # Re: C'est quoi ?
Posté par seveso . Évalué à 3.
Là dessus, je peux aider, je l'ai lu quelque part. Je crois que c'est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Et si on veut plus de détails, on peut suivre ce lien, ou même ce lien pour la version française.
J'avais lu aussi quelque part un bref topo en 4 points. Dès que je le retrouve, je le recopierai ici.
Probablement un oubli. D'un autre côté, la personne qui a posté le message ici est peut-être la même personne qui a rédigé la lettre ouverte du CNLL. À vérifier…
[^] # Re: C'est quoi ?
Posté par Stefane Fermigier (site web personnel) . Évalué à 10.
"C'est quoi le CRA" -> comme indiqué dans le texte, "Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE)".
"en quoi il impacte le LL ?" -> si on se réfère, par exemple, à l'analyse de la Fondation Eclipse, le CRA vise à étendre le régime de la marque CE à tous les produits avec des éléments numériques vendus en Europe. Dans l'état actuel du texte, ce processus s'appliquera aux logicies libres disponibles gratuitement sous des licences open source, alors que celles-ci excluent généralement toute responsabilité ou garantie. La crainte exprimée par tous les observateurs est que le CRA puisse modifier fondamentalement le contrat social sur lequel repose tout l'écosystème du logiciel libre : des logiciels disponibles sans restrictions, utilisables à toutes fins, modifiables et redistribuables sans garantie ni responsabilité pour les auteurs, contributeurs ou distributeurs de l'open source. Le CRA reviendrait à rendre contraires à la loi ces clauses de non-responsabilité. Or "Les clauses contraires à la loi sont réputées non écrites". Modifier légalement cet arrangement qui fonctionne depuis près de 40 ans par une législation pourrait entraîner des conséquences imprévues pour l'économie de l'innovation en Europe.
"Et le CNLL ?" -> Le CNLL est l'instance représentative de la filière (i.e. des entreprises) du logiciel libre en France. Les éditeurs de logiciel libre seraient particulièrement touchés par le CRA si le texte n'évolue pas par rapport à sa forme actuelle.
"Et pourquoi le texte ressemble à un c/c de la lettre ouverte du CNLL sans indication de la citation ?" -> Le texte est un copier/coller du communiqué du CNLL, qui lui-même est un résumé et un commentaire de la lettre ouverte co-signée par le CNLL, Eclipse Foundation, l'APELL et une dizaine d'autres organisations européennes.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: C'est quoi ?
Posté par Rémi Hérilier . Évalué à 3.
J'ai un peu de mal avec le volet "exonération totale de la responsabilité" dans les licences de logiciels (libres ou non) : comment différencier, juridiquement, une porte dérobée d'un bug exploité pour exfiltrer des informations ? Le premier étant répréhensible, le second plus difficilement.
Si on prend le cas de la licence CeCILL qui est conforme au droit français, son article 8 définit la responsabilité du concédant car elle ne peut pas être nulle en droit français ; cf la FAQ de l'Addulact pour une explication.
Je ne sais pas si on trouve d'équivalents à ces articles/notions dans le droit européen mais si les licences libres actuelles ne sont déjà pas conformes au droit européen, le CRA jette effectivement un très gros pavé dans la mare : le droit étasunien (sur lequel se basent les licences actuelles) prévaut-il sur le droit européen ? Le RGPD est un début de réponse et le CRA (et autres "Act" européens) en remet une couche selon moi.
Vous avez 4 heures O:-.
[^] # Re: C'est quoi ?
Posté par orfenor . Évalué à 3.
Pour les logiciels libres, ce volet me parait normal vis à vis du code source qui est en quelque sorte "seulement recopié quelque part".
On peut voir le point de vue des consommateurs vis à vis des distributions ou des logiciels compilés, mais la responsabilité serait difficile à établir il me semble. D'autrant que la FAQ de l'Adullact n'est pas juridiquement validée—au contraire d'ailleurs puisque une décision de justice européenne il y a quelques années a validé la non responsabilité si je ne me trompe pas.
[^] # Re: C'est quoi ?
Posté par orfenor . Évalué à 4.
Grand merci Stéphane de nous tenir informé.
Et merci pour toutes les précisions apportées. Cela dit pour contrebalancer le premier commentaire limite agressif.
[^] # Re: C'est quoi ?
Posté par Benjamin Henrion (site web personnel) . Évalué à 3.
"contrebalancer le premier commentaire limite agressif."
Le communiqué de presse n'est pas clair sur le problème ni sur les solutions proposées.
[^] # Re: C'est quoi ?
Posté par Stefane Fermigier (site web personnel) . Évalué à 7.
Le communiqué porte sur la lettre ouverte, qui elle-même se focalise sur la méthode pour sortir de l'ornière, à savoir que les institutions européennes consultent les organisations représentatives plutôt que de faire leur truc dans leur coin en rigolant tous seuls, plus que sur les problèmes juridiques qui sont néanmoins référencés en annexes (les analyses en questions datant pour la plupart de fin 2022 / début 2023).
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: C'est quoi ?
Posté par Astaoth . Évalué à 3.
Si maintenant c'est agressif de poser des questions …
Si j'avais voulu être agressif, j'aurais fait remarquer qu'il y a des limites maximales à une citation en droit français, qu'il faudrait également citer la source de facon claire, que la source n'indique pas de licence sur son texte donc y a un droit d'auteur à respecter, voir j'aurais râlé sur ces journaux qui ne sont que des c/c de textes provenant de d'autres sites.
Niveau "agressivité", on a vu mieux quand même par ici.
Emacs le fait depuis 30 ans.
[^] # Re: C'est quoi ?
Posté par orfenor . Évalué à 3.
Je te plussoie et demande pardon de t'avoir injustement blessé.
[^] # Re: C'est quoi ?
Posté par Micromy (site web personnel) . Évalué à 9.
Effectivement, balancer une dépêche alarmiste mais peu claire me semble un peu léger…
Pour essayer de comprendre je suis allé lire l'article de la Python Software Fundation (PSF) cité à la fin du texte.
En gros ce qui est reproché est que le texte actuel considère dans 2 parties qu'un fournisseur ou modificateur de logiciel, personne physique ou juridique, devient automatiquement juridiquement responsable ou co-responsable de la présence d'un problème de sécurité.
Ce que la PSF reproche, c'est que les termes sont trop généraux et engloberaient de fait un éditeur qui vend une solution basée sur du logiciel libre (avec relation contractuelle, support payant, garantie, tout ça…) et les fournisseurs bénévoles de ces bases logicielles libres, en particulier dans le cas où une faille exploitée serait dans cette base.
Or pour PSF, si le manque de clarté persiste, il y a un risque juridique et financier trop important qui pourrait les conduire à ne plus proposer Python pour dans l'Union Européenne. Et également un déséquilibre entre un vendeur qui peut potentiellement assumer ce risque tout en ayant profité "gratuitement" des ressources libres.
[^] # Re: C'est quoi ?
Posté par Benjamin Henrion (site web personnel) . Évalué à 2.
Faire une exception pour les auteurs de logiciels libres n'est peut-être pas une bonne idée.
[^] # Re: C'est quoi ?
Posté par Stefane Fermigier (site web personnel) . Évalué à 3.
En quoi ce n'est peut-être pas une bonne idée ?
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: C'est quoi ?
Posté par n.rigaud . Évalué à 7.
J'ai peut être mal compris le sujet. Mais d'après moi il est légitime d'imposer à une entreprise qui commercialise un produit d'indiquer son respect à certaines exigences (marquage CE qui contient des exigences différentes en fonction de la nature des produits). Toutefois il me parait difficile de demander cela aux créateurs / contributeurs de logiciels libres qui sont mis à disposition sans contrepartie.
Je ne sais pas à quoi on doit s'attendre pour les aspects cybersécurité, mais d'expérience je peux vous dire que le marquage CE d'un produit (matériel pour ce qui me concerne) est un processus lourd et couteux si on veut bien faire les choses.
[^] # Re: C'est quoi ?
Posté par Stefane Fermigier (site web personnel) . Évalué à 5.
C'est exactement ça le coeur du sujet.
"There's no such thing as can't. You always have a choice." - Ken Gor
[^] # Re: C'est quoi ?
Posté par Benjamin Henrion (site web personnel) . Évalué à 3.
"Toutefois il me parait difficile de demander cela aux créateurs / contributeurs de logiciels libres qui sont mis à disposition sans contrepartie."
Donc si je vends un CD Debian, je tombes dans l'exception ou pas?
[^] # Re: C'est quoi ?
Posté par n.rigaud . Évalué à 1.
J'avais compris que le marquage CE cybersécurité concernait plutôt les produits connectés. Je ne pense pas qu'une brique logicielle isolée de tout contexte d'application concret soit concernée (je dis ça sans certitude, je découvre le sujet).
[^] # Re: C'est quoi ?
Posté par Stefane Fermigier (site web personnel) . Évalué à 7.
Si tu vends un CD Debian, tu as une activité commerciale, donc l'exception ne s'applique pas, dans la rédaction actuelle.
"There's no such thing as can't. You always have a choice." - Ken Gor
# Le texte évolue
Posté par Jean-Baptiste Faure . Évalué à 6.
Depuis la version de septembre donnée en lien il y a des propositions d'évolution du projet de directive :
Décembre :
https://www.euractiv.fr/section/economie/news/cyberresilience-le-conseil-de-lue-propose-dexclure-les-logiciels-en-tant-que-service-de-la-nouvelle-legislation/
Février :
https://www.euractiv.fr/section/economie/news/cyberresilience-le-conseil-de-lue-propose-des-modifications-a-la-classification-des-produits-critiques/
[^] # Re: Le texte évolue
Posté par Christophe . Évalué à 4. Dernière modification le 22 avril 2023 à 19:15.
Le compromis précise également que la directive ne s’applique pas aux logiciels libres car, par définition, ceux-ci ne sont pas des produits lancés sur le marché mais sont développés et fournis gratuitement.
Eh beh, il y a encore du chemin à faire…
# Directive sur la responsabilité du fait des produits
Posté par Jean-Baptiste Faure . Évalué à 5.
Il y a aussi un projet de mise à jour de la directive sur la responsabilité du fait des produits. Les logiciels sont concernés.
https://www.euractiv.fr/section/economie/news/responsabilite-du-fait-des-produits-le-conseil-de-lue-presente-un-nouveau-compromis/
https://www.euractiv.fr/section/economie/news/des-eurodeputes-proposent-de-restreindre-le-nouveau-regime-de-responsabilite-du-fait-des-produits-de-lue/
# On a rédigé un article qui explique et "vulgarise" un peu ...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 8.
https://www.algoo.fr/fr/actualites/article/cyber-resilience-act-un-obstacle-pour-l-open-source
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.