Transposition de la directive NIS 2 : vigilance de mise en vue de la séance publique

La directive sur la sécurité des réseaux et de l'information 2, dite « NIS 2 », doit être transposée en droit français. Après un premier passage au Sénat, la commission spéciale de l'Assemblée, en charge du projet de loi de transposition, a adopté sa version du texte le 10 septembre 2025. Un des amendements adoptés fait peser un risque sur celles et ceux qui développent du logiciel libre. L'April appelle à la suppression de cette nouvelle disposition.

L'adoption de deux amendements en particulier est à noter. Le premier, de principe et sans réelle portée normative, inscrit le logiciel libre dans le débat comme « levier stratégique ». Le second, objet de notre vigilance, pourrait avoir des impacts négatifs sur le développement des logiciels libres. L'April a d'ores et déjà contacté des membres de la commission à ce sujet pour suggérer sa suppression et se mobilisera pour la séance publique, dont la date n'est pas encore connue.

L'amendement CS285, du député Philippe Latombe, également président de la commission, visait à inscrire la promotion de « l’utilisation de logiciels libres et des standards ouverts comme leviers stratégiques pour la résilience, la sécurité et la souveraineté numérique de la Nation » dans la stratégie nationale du Premier ministre en matière de cybersécurité. Celui-ci a été adopté 1. Comme le résume l'exposé des motifs de l'amendement, il « ne crée pas une obligation d'usage, mais il donne une orientation politique claire et forte. » S'il est effectivement dénué de portée normative, il a le mérite d'inscrire le sujet du logiciel libre dans le débat.

Plus inquiétant, l'adoption de l'amendement CS178, de la députée Véronique Riotton, qui inscrit « les éditeurs de logiciels » dans la liste des « entités essentielles » qui devront respecter des règles particulières établies par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. La notion d'éditeur n'est pas définie dans le projet de loi. On pourrait donc imaginer que la définition retenue soit celle de l'article L2321-4-1 du code de la défense, c'est-à-dire « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit. », une définition très large. Sans préjuger de la rigueur et de la maîtrise du sujet par l'ANSSI, une telle responsabilité « générale », inscrite dans la loi, nous semble faire peser un risque sérieux sur l'ensemble des personnes contribuant au développement de logiciels libres, sur les écosystèmes et communautés du logiciel libre, et nous semble disproportionnée par rapport à l'objectif poursuivi. D'autant que, comme la rapporteure Le Hénanff l'évoque à juste titre à l'occasion de son avis défavorable, les « éditeurs » réellement de taille critique relèvent du deuxième alinéa de l'article 8 en tant qu' « entreprise » 2.

Une problématique qui n'est pas sans rappeler les débats autour du Cyber Resilience Act de l'Union européenne, règlement adopté en 2024. Tel qu'il était initialement rédigé, il faisait peser une très lourde responsabilité sur toutes celles et ceux qui produisent du code et qui le diffusent. Heureusement, le pire avait été évité3 en clarifiant la notion « d'activité commerciale » afin que soient mieux intégrées les réalités réalités, multiples, propres au développement de logiciels libres.

Mentionnons enfin l'amendement CS59, du groupe La France Insoumise, qui proposait l'inscription d'une priorité au logiciel libre. L'amendement a été rejeté, avec des avis défavorables des rapporteurs, car jugé hors périmètre du champ de la transposition de la directive dont la commission est saisie4.