Interview sur la chaîne B-Smart au sujet du CRA
Stefane Fermigier, notre fondateur et PDG, était récemment interviewé sur la chaîne B-Smart par Delphine Sabattier au sujet du CRA, le Cyber Resilience Act, un projet de règlement européen qui pourrait avoir des conséquences importantes pour les entreprises du logiciel libre.
Transcription
Delphine Sabattier: Alors, je parle du marquage CE, mais plus largement, je voulais qu'on aborde le sujet de la réglementation au niveau européen et comment la communauté du libre vit ces transformations actuelles. On a déjà abordé ce sujet ensemble.
Jean-Paul, Stéfane Fermigier, est-ce que vous avez assisté, participé aux discussions autour du CRA, le règlement sur la résilience et la cybersecurity ?
Stefane Fermigier: C'est un sujet qui nous préoccupe depuis maintenant un an. Et le fait est que nous - en tant qu'organisation représentative de la filière des entreprises du logiciel libre, en France et en Europe, puisque je représente aussi l'APELL, l'Association professionnelle européenne du logiciel libre - n'avons pas été écoutés. Nous n'avons pas eu les rendez-vous que nous avons demandés, ni auprès de la Commission européenne, ni auprès des autorités françaises, en tout cas pas auprès du cabinet de Jean-Noël Barrot, que nous avons pourtant sollicité à plusieurs reprises pour pouvoir nous entretenir de nos inquiétudes.
Delphine Sabattier: Même chose, Jean-Paul ?
Jean-Paul Smets: Même chose. On est un des trois premiers éditeurs logiciels libres. On ne nous a jamais contactés pour demander notre avis sur le Cyber Resilient Act.
Delphine Sabattier: Quelles conséquences, alors, de ce Cyber Resilience Act ? Où on en est aujourd'hui du texte ?
Stefane Fermigier: On en est à ce qu'on appelle le Trilogue, donc une négociation entre la Commission européenne, le Parlement et le Conseil, qui représente les États de l'Union. On entend dire qu'on est vraiment dans la dernière ligne droite, que le texte pourrait être finalisé cette semaine. D'autres pensent que non, qu'il y aura peut-être des délais... On ne sait pas, puisqu'on n'est pas dans la boucle... On n'a pas eu de contact direct, mais on a quelques échos. Et le fait est aussi qu'il y a trois versions du texte qui ont été élaborées par chacune de ces trois institutions, et qui, maintenant, il s'agit de converger.
Dès le début, il y a eu des inquiétudes, parce que le texte prévoit une exception, une exemption pour le logiciel libre, mais avec des restrictions dont on ne sait pas ce qu'elles représentent exactement, notamment et principalement, l'utilisation commerciale. Et ce sera le point épineux pour le libre dans ce texte: c'est de savoir dans quels cas il y a une exemption pour les entreprises, et notamment des entreprises qui ont une activité commerciale autour d'un logiciel libre qu'elles diffusent par ailleurs de manière ouverte, gratuite, etc.
Il faut se souvenir que le logiciel libre, c'est quoi ? C'est des logiciels sous des licences particulières, qu'on appelle les licences de logiciels libres ou open source, et que toutes ces licences sans absolument aucune exception, contiennent, en général écrits en gras et en majuscule, "nous ne sommes pas responsables de ce logiciel". Autrement dit, à partir du moment où moi, que je sois un particulier, une institution ou une entreprise, je donne un logiciel hors de tout cadre contractuel et sans qu'il y ait une rémunération en échange, comment peut-on exiger de l'auteur ou des auteurs une responsabilité ?
Ça, c'était comme ça que fonctionnait le logiciel libre depuis presque 40 ans, et donc la Commission européenne a entrepris, finalement, de détricoter ce système pour aller vers un système qui, pour l'instant, reste encore très mystérieux.
Delphine Sabattier: Vous dites qu'il y a quand même une exception qui est prévue pour le libre?
Jean-Paul Smets: En fait, l'exception, on avait le diagramme très compliqué avant, donc... Si vous ne gagnez pas d'argent, vous n'êtes pas une entreprise, que vous êtes plusieurs à le développer, et qu'il n'y a pas qu'une seule personne qui le contrôle, et en fait toute la liste de contraintes... - donc ça concerne à peu près personne - vous ne risquez pas de payer l'amende de 15 millions, et vous ne serez pas obligés de payer le cabinet de conseil qui va augmenter d'environ 40 000 euros par logiciel ce que coûte de publier un logiciel libre.
Delphine Sabattier: Mais inversement, chez Kern, vous allez bientôt devoir payer votre cabinet de conseil, si vous voulez avoir la marque CE ? Parce que ce qu'on explique quand même régulièrement, grâce à Jean-Paul ici, c'est que derrière le logiciel livre, ce ne sont pas juste des bénévoles, ou des fondations, il y a des entreprises qui financent cet écosystème. Comment réagissez-vous à un règlement comme cela ?
Alexandre Combe: C'est effectivement compliqué, ça nous rajoute des coûts, des bâtons dans les roues, alors qu'on en a déjà beaucoup. Donc c'est effectivement difficile à gérer.
Delphine Sabattier: Quels sont les solutions, alors ?
Stefane Fermigier: Déjà, le problème, encore une fois - c'est ce sur quoi on essaie d'attirer l'attention des législateurs depuis un an - je pense que c'est de séparer la diffusion du logiciel libre en tant que telle, en tant qu'outil de diffusion de la connaissance, en tant qu'outil de partage, etc. de la diffusion ou de l'utilisation d'un logiciel libre dans un cadre strictement commercial. C'est-à-dire, moi, éditeur de logiciel, je vends l'usage, je vends des garanties, effectivement dans ce cadre-là.
Delphine Sabattier: Avec des services ?
Stefane Fermigier: Il est 100% légitime d'exiger des contraintes sur la sécurité. Mais lorsqu'il s'agit d'un logiciel qui peut être téléchargé très librement, il me paraît très dangereux d'imposer à ces entreprises, qui souvent, un business model, qu'on appelle "Freemium", par exemple, pour simplifier un peu, c'est-à-dire qu'il y a le logiciel libre qui est disponible 100% gratuitement, sans contrainte de la part ni de l'acheteur ni du vendeur. Et puis, il y a la version, parfois c'est le même logiciel, parfois ça n'est pas tout à fait le même logiciel, mais il y a le cadre contractuel.
Et nous, ce que nous pensons, c'est que si ce CRA arrive et impose à toutes ces entreprises du libre des garanties en matière, notamment, de sécurité, sur la version 100% Open Source, 100% gratuite, et bien, cela va complètement déstabiliser leur modèle économique. C'est-à-dire quel sera l'argument pour vendre de l'abonnement, du service, de la garantie, si par ailleurs on est obligé de les fournir,sur la version 100% Open Source, gratuite, etc.
Donc, nous pensons qu'il faut absolument que ce point soit pris en compte et, plus généralement, prendre en compte, de manière un peu plus systémique, l'existence d'un écosystème très riche en Europe, des milliers d'entreprises (en France, c'est 6 milliards d'euros de chiffre d'affaires annuels; en Europe, c'est peut-être 30 milliards d'euros annuels). Des opportunités énormes, en termes de souveraineté numérique européenne, etc. Et tout ça, ça risque, effectivement, d'être abîmé par des législateurs qui ne cherchent pas à comprendre les mécanismes.
Delphine Sabattier: Avec le risque de voir des entreprises du libre partir. Merci beaucoup. On est vraiment à la fin de ce rendez-vous. Merci Jean-Paul Smets, PDG de Rapid.Space, Alexandre Combe pour Kern Devices. On vous souhaite bon courage pour tous vos projets. Et puis Stefane Fermigier, PDG d'Abilian et co-président du Conseil national du Logiciel Libre.
