Cyber Resilience Act : le futur du logiciel libre en suspend en attendant le trilogue
Le Cyber Resilience Act est un projet de règlement européen visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels en Europe. Projet, tel que présenté par la Commission européenne, que l'April avait qualifié d'épée de Damoclès sur le logiciel libre puisque il faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent. L'April a également relayé une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne. Point d'étape alors que le Parlement et le Conseil de l'Union européenne ont avancé sur le sujet et que les négociations interinstitutionnelles auront, semble-t-il, lieu à l'automne.
La procédure législative européenne a cela de particulier que les textes qu'elle produit sont le résultat d'un équilibre trouvé entre trois institutions : la Commission européenne qui propose des projets de directive ou de règlement, le Conseil de l'UE (réunion des représentants des gouvernements des différents États-membres) et du Parlement. Après une navette législative plus ou moins longue entre ces deux dernières, les trois institutions mènent des négociations interinstitutionnelles, souvent appelées trilogues, dans l'objectif de produire un texte de consensus qui sera enfin ratifié par les parlementaires.
Depuis que l'April a qualifié le Cyber Resilience Act d'« épée de Damoclès », la procédure législative a suivi son cours.
Au Parlement, c'est la commission ITRE (Commission de l'industrie, de la recherche et de l'énergie) qui a été saisie au fond. Elle a donc la responsabilité de la conduite des travaux sur ce texte pour le Parlement, notamment dans le cadre du trilogue à venir. Le 19 juillet, cette commission a voté sa version amendée du texte. Malheureusement, ses amendements ne contribuent aucunement à clarifier la situation pour les logiciels libres. Plus précisément, elle a adopté deux nouveaux considérants – 10a et 10b – qui, d'une part, apportent de la confusion en prenant deux extrêmes en exemple : le cas d'une communauté de développement complètement décentralisée sans qu'aucune entreprise n'ait de pouvoir de décision et celui d'un logiciel libre développé majoritairement par une entreprise qui, elle seule, dégage des revenus. Il reste beaucoup d'incertitudes pour tout l'entre-deux existant, en particulier pour les petites et moyennes entreprises du Libre. D'autre part, les donations récurrentes par des entités commerciales seraient de nature à qualifier une activité commerciale… 1
Lire le texte de la commission ITRE (en anglais).
Particularité supplémentaire : là où, habituellement, le texte issu de la commission au fond devrait être débattu et voté en séance plénière, avant de poursuivre la navette législative, ITRE a simultanément voté, conformément à l'article 71 du règlement intérieur du Parlement, que le texte qu'elle a voté servirait directement de base aux négociations interinstitutionnelles. Cette entrée directement en négociation devra toutefois être adoptée par le Parlement qui siégera à nouveau à compter du 11 septembre 2023.
Il convient justement de noter que parallèlement à cela la commission IMCO (Commission du marché intérieur et de la protection des consommateurs), saisie pour avis, a également voté sa position sur le projet de règlement. Le texte voté semblerait constituer une sortie de crise intéressante, clarifiant les termes, particulièrement la notion « d'activité commerciale », et les responsabilités, notamment en les faisant avant tout reposer sur le fabricant d'un « produit final » incluant des composantes logicielles. Le texte d'IMCO a également le mérite d'amender non seulement le considérant 10, mais aussi l'article 2 sur le champ d'application du projet de règlement. Il serait donc regrettable que le Parlement ne puisse débattre et voter à la lumière de cette position divergente. Espérons que l'avis de la commission IMCO sera lu avec attention et qu'il éclairera utilement les travaux du trilogue le cas échéant. Lire le texte de la commission IMCO.
Du côté du Conseil de l'UE, la situation semble meilleure. Adopté le 13 juillet 2023, son texte reprend en profondeur le considérant 10 de la proposition de la Commission, afin de le rendre plus clair et didactique. Il pose en principe de base que c'est l'activité commerciale qui fait tomber sous le coup du règlement, il pose plus clairement ce qui caractérise une activité commerciale et il définit les logiciels libres tout en réaffirmant que ce n'est que s'ils sont fournis dans le cadre d'une activité commerciale qu'ils sont concernés. Le texte exclut par ailleurs explicitement les « gestionnaires de paquets », « hébergeurs de code » ou les « plateformes de collaboration » agissant en dehors d'activités commerciales. Le texte du Conseil n'amende en revanche pas l'article 2 sur le champ d'application. Lire le texte du Conseil (en anglais).
Il semble trop tôt pour dire que l'épée de Damoclès n'est plus suspendue au-dessus du logiciel libre, néanmoins ces réactions institutionnelles nous confirment à minima que les craintes de « l'écosystème du logiciel libre » ont été, si ce n'est écoutées, du moins entendues. Reste à voir sur quelles bases le Parlement participera au trilogue, et ce qui en ressortira… L'étape du trilogue étant, par ailleurs, notamment connue pour son faible niveau de transparence.
- 1. Pour un point de vue plus détaillé sur les problèmes posés par le texte de la commission ITRE, vous pouvez lire le billet de Stéfane Fermigier sur LinuxFR.