La Commission européenne porte un projet de règlement visant à renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels, le Cyber Resilience Act. Comme malheureusement trop souvent, l'approche de la Commission semble traduire une vision strictement industrielle, fondée sur le modèle verticalisé et centralisé des grandes entreprises éditrices d'une informatique privatrice. Ce projet représente une menace très sérieuse pour le logiciel libre, comme en témoigne notamment une lettre ouverte cosignée par un ensemble d'organisations actrices de l'écosystème du logiciel libre à l'échelle européenne.

La sécurité informatique, dès lors qu'elle est un outil au service des utilisatrices et utilisateurs, maîtrisée par elles et eux, est une condition importante de l'exercice des libertés informatiques dans leur ensemble. Les différentes méthodes de développement propres au logiciel libre, fondées notamment sur la transparence, la reproductibilité et la collaboration, qui s'apparentent le plus, en ce sens, à la méthode scientifique, sont bien davantage vectrices de sécurité qu'un modèle basé sur une approche verticale et opaque. Quoi qu'il en soit, la sécurité ne peut-être un prétexte suffisant par lui-même pour justifier la réduction des libertés fondamentales. Toute mesure de « sécurité » se doit de répondre aux principes de proportionnalité et de stricte nécessité, c'est vrai pour l'informatique comme partout ailleurs.

Agir pour une meilleure sécurité informatique est un objectif louable et, en tout état de cause, un levier politique que la Commission européenne a pleine légitimité à vouloir actionner. Toutefois, cela ne peut se faire de manière décorrélée de la réalité des pratiques et sans concertation. Dans une lettre ouverte adressée aux membres du Parlement européen et du Conseil de l’Union Européenne, aux représentants au Conseil de l'Union européenne, des organisations actrices de l'écosystème du logiciel libre à l'échelle européenne ont exprimé leur vive inquiétude et ont pointé l'absence de consultation des communautés du logiciel libre, alors même que « les logiciels libres représentent en Europe plus de 70 % des logiciels présents dans les produits contenant des éléments numériques ».

La Commission veut donc imposer de manière verticale une méthodologie basée sur un système de « norme CE », adossée à une très forte responsabilité de celles et ceux qui produisent du code et de celles et ceux qui le diffusent. Toute personne produisant ou diffusant du code serait ainsi individuellement responsable de la sécurité de ce code, dans le cadre des obligations découlant du règlement. Or, la plupart des logiciels libres sont développés avec des moyens dérisoires, par des bénévoles ou de petites structures, et n’ont pas la capacité financière et humaine de mettre en œuvre les processus lourds et complexes qu’induirait le projet de règlement, notamment en termes de certification.

Position d'autant plus paradoxale que la Commission européenne semble pourtant reconnaître l'importance des logiciels libres dans le socle technologique qui sous-tend Internet, notamment du point de vue des enjeux de sécurité. Elle avait ainsi mené des projets visant justement à soutenir la sécurité des logiciels libres critiques, notamment l'initiative EU-FOSSA, European Union Free and Open Source Software Auditing, qui accordait des primes pour la détection de failles de sécurité dans des logiciels libres utilisés par les institutions européennes1. Pourtant, le Cyber Resilience Act disqualifierait ce socle critique en Europe au lieu de participer à sa sécurisation. Dans le même temps, ce socle technologique continuera à être utilisé et développé dans le reste du monde. Par effet de bord, la Commission va sérieusement démunir et handicaper l’industrie européenne.

Les organisations signataires de la lettre ouverte et notamment le CNLL (l'Union des entreprises du numérique ouvert) dans son communiqué, s'alarment du risque que fait porter le Cyber Resilience Act sur la filière européenne du logiciel libre, qui représente, rappelle le CNLL, « 30 milliards d’euros de chiffre d’affaires direct et environ 100 milliards d’euros d’impact économique total ». En forçant une responsabilité lourde sur les éditeurs de logiciels libres – sans considération de possible relation contractuelle avec les utilisateurs et utilisatrices –, ce projet semble témoigner d'une méconnaissance profonde des logiciels libres, des méthodes de développement qui leur sont propres, ainsi que des communautés qui les font vivre. On rappellera, par exemple, que les acteurs et actrices du logiciel libre n'ont pas attendu la Commission pour proposer des contrats de maintenance et/ou d'assurance, distincts du développement du code.

Dans son projet de règlement, la Commission cherche visiblement à donner des gages vis-à-vis des logiciels libres. Mais, loin de convaincre, celle-ci témoigne, ici encore, d'une méconnaissance importante. Ainsi, dans un des considérants de principe – et non pas dans un article à part entière – le règlement prévoit une exception pour les logiciels libres développés et distribués dans le cadre d'activités non commerciales. Ces activités non commerciales sont définies de manière très restrictive, ce qui rend presque inopérante l'exception2. À titre d'exemple, elle ferait, entre autres, tomber sous le coup des lourdes obligations prévues par le texte les codes publiés sur les plateformes type GitHub et GitLab puisque celles-ci proposent, par ailleurs, des services payants à leurs utilisateurs et utilisatrices.

Le Cyber Resilience Act risquerait d'avoir un effet dissuasif délétère sur le développement et l'utilisation des logiciels libres en Europe et sans doute, par répercussion, à une échelle plus globale. On imagine ainsi aisément que des entreprises puissent d'elles-mêmes exclure le recours à des composants libres, tiers, de leurs propres solutions au profit de logiciels privateurs, préférant laisser à l'éditeur le soin de se conformer aux obligations du règlement, plutôt que de se charger elles-mêmes d'une maintenance pro-active de ces composants tiers.

L'April rappelle la Commission européenne à ses prises de positions passées sur le logiciel libre 3, qui se voulaient, selon elle, ambitieuses, alors que la proposition de Cyber Resilience Act traduit plutôt une perception verticale et centralisée de l'informatique. Si elle ne veut pas porter un grave coup à l'ensemble des vertus du logiciel libre qu'elle prétend elle-même défendre (ouverture, souveraineté, innovation, etc.), elle se doit d'écouter très attentivement les actrices et acteurs concernés et amender en profondeur son projet.

• 1. En janvier 2019, l'Union européenne ouvre la chasse aux failles dans les logiciels libres
• 2. Voir, par exemple l'analyse de l'OFE, Open Forum Europe (en anglais)
• 3. Lire le communiqué de l'April sur la stratégie de la Commission sur « l'octroi de licences open source et la réutilisation des logiciels de la Commission ».

Jeudi 2 mars 2023, communiqué de presse.

Initiée et coordonnée par l’April, l'initiative Libre en Fête revient pour la 22ème année consécutive. Pour accompagner l’arrivée du printemps, des événements de découverte du logiciel libre et de la culture libre sont proposés par plusieurs organisations partout en France autour du 20 mars. L'édition 2023 du Libre en Fête aura lieu du samedi 4 mars au dimanche 2 avril.

Les logiciels libres sont des logiciels que chaque personne peut utiliser, étudier, copier, modifier et redistribuer à volonté et en toute légalité. De la même façon, les services en ligne basés sur des logiciels libres appartiennent à ceux et celles qui les utilisent : chaque personne ou organisation peut s’en emparer, les adapter à ses besoins, les héberger en éditant ses propres règles…

En participant aux événements du Libre en Fête, le grand public est invité à découvrir les avantages du logiciel libre : son inscription dans une logique de commun numérique accessible à toutes et à tous, son aptitude à favoriser la diffusion et le partage de la connaissance, ses valeurs d'entraide et de coopération, comme en témoigne une communauté vivante prête à accompagner les personnes souhaitant s’émanciper informatiquement.

À ce jour, près de 50 événements sont déjà référencés dans le cadre du Libre en Fête, notamment des ateliers d'initiation à des logiciel et à des services libres, pour apprendre à libérer son informatique dans ses pratiques quotidiennes comme dans des usages plus spécifiques. Mais aussi : des conférences, des projections de films et des expositions sur le logiciel libre, des fêtes d'installation1, de la cartographie participative, des échanges autour des enjeux de l'informatique libre…

Pourquoi devrions-nous nous laisser renfermer dans des solutions opaques, privatrices de libertés, qui aspirent nos données personnelles, quand il existe des alternatives libres, loyales, respectueuses des utilisateurs et utilisatrices et de leurs données ? Grâce à la variété des acteurs impliqués et des activités proposées partout en France, le Libre en Fête se veut une occasion pour de nouveaux publics de découvrir et de s’initier aux logiciels et services libres, brique essentielle pour le contrôle de nos équipements informatiques et de nos données à l’ère numérique » , rappelle Isabella Vanni, coordinatrice de l’initiative Libre en Fête.

• 1. Une fête d'installation (install party en anglais) est un événement physique qui permet de trouver de l'aide pour installer un système libre ou des logiciels libres sur sa propre machine ou à les configurer s'ils sont déjà installés.

Communiqué de presse.

Le ministère de l'Éducation nationale a publié, en janvier 2023, la stratégie numérique pour l'éducation pour 2023-2027. Malgré quelques éléments positifs concernant l'utilisation des logiciels libres et des « communs numériques », nous restons un peu sur notre faim. Une phrase, en particulier, semble poser plus de questions qu'elle n'apporte de réponses sur la politique du ministère, évoquant, comme acquise, une « priorité au logiciel libre ».

Dans cette stratégie on peut noter la partie « Soutenir le développement des communs numériques » dans laquelle il est notamment question de la plateforme de services « apps education.fr » qui propose depuis 2020 des outils libres pour le personnel de l'Éducation nationale. Le service « classes virtuelles », par exemple, est basé sur le logiciel libre BigBlueButton, logiciel libre pour lequel le ministère de l'éducation a financé le développement de nouvelles fonctionnalités 1. Espérons que le Ministère continuera et amplifiera cette politique d'utilisation de logiciels libres et de contribution aux logiciels libres.

Dans les objectifs de cette partie il y a la création d'une « feuille de route pour le développement de communs numériques » et la mise en place d'une « forge nationale pour accompagner et favoriser la production et le partage des communs numériques ». L'April milite depuis plusieurs années pour que qu'une forge publique soit mise en place et gérée directement par l'administration. Notons que la forge annoncée existe déjà en version bêta depuis quelques semaines. Cette forge est actuellement gérée par l'AEIF (Association des enseignantes et enseignants d'informatique de France).

Malgré ces éléments nous restons un peu sur notre faim et nous attendons avec impatience la publication de la feuille de route. Nous profitons de l'occasion pour renouveler notre invitation à la DNE (Direction du numérique pour l'éducation) à venir présenter cette stratégie et la feuille de route dans notre émission de radio Libre à vous !

En toute logique, un des axes de la « vision stratégique » développé par le ministère concerne le système d'information de l'administration. Il s'agit, notamment, d'« accélérer la transformation numérique » et c'est dans ce cadre que le document énonce que « les opportunités d’innover sont très diverses : le développement du numérique responsable, avec une mise en cohérence avec les objectifs de développement durable (ODD), ou encore à travers la priorité donnée aux logiciels libres. » Aucune base légale ni aucun détail, quant à la mise en œuvre opérationnelle de cette priorité, ne sont indiqués.

Depuis la loi relative à l'enseignement supérieur et à la recherche du 22 juillet 2013, l'enseignement supérieur et la recherche est légalement tenu d'organiser cette priorité2. Pour autant, aucun décret ni aucune circulaire n'ayant jamais vu le jour pour organiser sa mise en œuvre concrète, ce principe normatif est sans doute resté lettre morte jusqu'à présent. Par ailleurs, toutes les propositions d'étendre cette priorité à l'ensemble de l'Éducation nationale ont toujours été rejetées par les législatures précédentes, sur la base d'arguments fallacieux3. Évoquer de cette manière une priorité au logiciel libre comme allant de soi dans les pratiques du ministère relatives à son système d'information a donc de quoi surprendre.

Une priorité au logiciel libre ne se décrète pas, elle se pense et s'organise. L'April ne se réjouit plus d'une simple évocation dans un texte, aussi stratégique soit-il. Quelles sont les mesures et les actions mises en œuvre pour donner corps à cette priorité au logiciel libre ? Sans ces modalités opérationnelles cela résonne comme une incantation creuse.

• 1.

  Voir l'intervention de Nicolas Schont de la Direction du numérique pour l’éducation lors des JRES 2022 (Journée Réseaux de l'Enseignement Supérieur et de la Recherche) : Une Visioconférence à grande échelle (17 pages) et le diaporama (25 diapos). Lire également French Ministry of Education chooses BigBlueButton.

• 2. Article L.123-4-1 du code pour l'éducation: « Le service public de l'enseignement supérieur met à disposition de ses usagers des services et des ressources pédagogiques numériques. Les logiciels libres sont utilisés en priorité. »
• 3. Cela a notamment été le cas en 2019 dans le cadre des débats sur la loi « pour une école de la confiance »

Suite à une demande d'un membre du groupe éducation de l'April, plusieurs bénévoles ont lu puis commenté le document de travail concernant la future doctrine technique du numérique dans l’éducation.

Le début était prometteur: «Ce document a pour objectif de fournir le cadre de référence dans lequel devront s’inscrire l’ensemble des services numériques éducatifs dans les prochaines années. Il vise à permettre des échanges de données partagés, sécurisés, pérennes, et à assurer le niveau de qualité de service nécessaire à la mise en œuvre de la continuité pédagogique, dans ses différentes modalités...»

Dans le sommaire du document, les sujets du groupe Éducation de l'April étaient évoqués, comme les services numériques éducatifs, les équipements mobiles, les services et communs numériques, le pilotage des services numériques et l'organisation pédagogique. De même que des mots fort appréciés comme Interopérabilité, Accessibilité, RGPD, Choix, Portabilité, Sécurité et Référentiels. Cela promettait d'être intéressant!

L'April est satisfaite de voir des logiciels libres mis en avant, comme BigBlueButton, Moodle, ceux proposés sur le site apps.education.fr et salue le travail effectué ainsi que la mise à disposition de cette proposition de texte. Cela dénote une réelle volonté de faire les choses correctement et c'est très encourageant pour la suite... Cette doctrine pourrait invalider l'utilisation de nombreux logiciels ou services privateurs déjà en place.

Certains sujets chers à l'April et apparaissant dans le sommaire ne sont malheureusement pas définis dans la doctrine comme les équipements mobiles ou les données et systèmes d'informations. Il faudra donc rester (sur sa faim!) vigilant sur les prochaines versions du texte.

Dans les commentaires moins positifs remontés par l'association il manque entre autres :
- le rappel des licences libres et des formats ouverts
- la mention du référentiel RGESN
- la priorité aux logiciels et aux ressources numériques libres
- l'utilisation des formats ouverts
- le respect et la formation au RGPD.

Petit rappel: la particularité d’une doctrine, c’est que ce n’est pas un règlement mais plutôt un cadre global qui se veut au croisement de plusieurs intentions tendant à infléchir les pratiques. Et c’est bien de cela qu’il s’agit: comment encadrer les pratiques que l’on souhaite voir se développer sans pour autant les enfermer dans un règlement?

L'April souhaite bon courage pour la poursuite et l'amélioration de ce document de travail..

En septembre 2022, nous avons obtenu confirmation que le ministère des Armées n'avait pas reconduit l'accord dit Open Bar qui le liait à Microsoft depuis près de 15 ans ; l'Armée ne prendra plus directement sa « dose » chez Microsoft. Pour l'April, engagée depuis 2013 à faire la lumière sur cette dépendance, cela ne constitue pas une avancée fondamentale puisque le ministère continuera à se fournir en licences privatrices de l'éditeur américain en passant par l’UGAP (Union des groupements d'achats publics), une centrale d'achat publique placée sous la double tutelle du ministre chargé du Budget et du ministre chargé de l'Éducation nationale. L'April a obtenu communication, en partie caviardée, de la convention qui lie le ministère des Armées à cette centrale d'achat.

Télécharger la convention entre l'UGAP et le ministère des Armées (PDF)

Cette convention, signée en février 2021, est un document relativement succinct (10 pages annexes comprises) qui cadre les conditions dans lesquelles le ministère peut passer commande de licences Microsoft et Adobe auprès de prestataires avec qui l'UGAP a conclu un contrat de marché public. Le périmètre de l'accord, à l'instar du précédent Open Bar, est particulièrement large puisqu'il inclut la « fourniture de licences et [l']exécution de prestations associées programmes en volume Microsoft AE, OV, AMO et Adobe ETLA » et couvre donc de nombreux besoins logiciels. Comme à son habitude, le ministère a caviardé les prix ainsi que, plus étonnant, la date d'expiration du contrat.

On notera que la convention prévoit une possibilité de réduire le nombre de licences d'abonnement, « sauf mention contraire dans le contrat de l'éditeur », dans la limite de 250 licences minimum. Il s'agit, semble-t-il, d'un progrès par rapport à l'accord-cadre qui liait directement le ministère à Microsoft et ne prévoyait le nombre de licences qu'à la hausse, notamment via des marchés subséquents. « Semble-t-il » car, comme pour d'autres points de la convention, il y a un renvoi vers conditions du contrat de l'éditeur, sans que ces conditions ne soient indiquées ; même en annexe, elles sont totalement absentes.
Encore une fois, l'opacité au service de la dépendance…

La seule différence notable est que l'Open Bar ne sera plus tenu directement par Microsoft, mais par un intermédiaire : l'UGAP. Celle-ci n'a a priori aucun intérêt à ce que l'administration mette fin à sa dépendance aux solutions privatrices de l'éditeur puisqu'elle est la raison d'être de cet accord. Formellement, cette intermédiation reste donc une légère amélioration – limiter l'adhérence juridique est positif – pourtant, dans la pratique, on se demande si on n'est pas passé d'un Open Bar à un autre…

Dans le contexte de la circulaire du Directeur interministériel du numérique du 15 septembre 2021 portant sur le recours à l'offre Office 365 de Microsoft, de la circulaire Castex de 2021 pour une « politique publique de la donnée, des algorithmes et des codes sources » et plus globalement des prises de position politiques répétées pour une « souveraineté numérique », le gouvernement doit faire preuve de cohérence et joindre parole et actes. Sans véritable stratégie de sortie de l'addiction aux solutions Microsoft, avec un changement radical de paradigme en faveur du logiciel libre et de très importants efforts de transparence, le ministère restera dépendant de la multinationale américaine, de ses choix technologiques et de ses politiques tarifaires.