Le Cyber Resilience Act (CRA) est une proposition intéressante et importante pour une loi européenne qui vise à renforcer la sécurité et l’intégrité des logiciels de toutes sortes en étendant la marque d’auto-attestation « CE » aux logiciels. Et cela peut nuire à l’Open Source. La proposition comprend une exigence d’autocertification par les fournisseurs de logiciels pour attester la conformité aux exigences de l’ARC, y compris la sécurité, la confidentialité et l’absence d’événements de vulnérabilité critiques (EVC).
L’Open Source Initiative a soumis les informations suivantes à la demande de contribution de la Commission européenne sur son projet de texte de loi sur la cyber-résilience.
Nous reconnaissons que la Commission européenne a formulé une exception au considérant 10 pour tenter de garantir que ces dispositions n’affectent pas accidentellement les logiciels Open Source. Cependant, en s’appuyant sur plus de deux décennies d’expérience, nous, à l’Open Source Initiative, pouvons clairement voir que le texte actuel causera des problèmes considérables pour les logiciels Open Source. Les problèmes proviennent d’ambiguïtés dans la formulation et le cadrage, qui ne correspondent pas au fonctionnement réel des communautés Open Source et à la motivation de leurs participants.
Premièrement, pour que ceux qui distribuent des logiciels en tant que fonction communautaire puissent compter en toute confiance sur l’exclusion, celle-ci doit absolument être insérée en tant qu’article, et le « devrait » doit être remplacé par « doit ».
Deuxièmement, étant donné que l’objectif est – ou devrait être – d’éviter de nuire aux logiciels Open Source, que la Commission européenne s’efforce de soutenir, cet objectif doit être énoncé au début du paragraphe comme justification, en remplacement de la formulation d’introduction sur la prévention des dommages. à la « recherche et à l’innovation » pour éviter de trop restreindre l’exception.
Troisièmement, la référence à « non commercial » comme qualificatif devrait être remplacée. Le terme « commercial » a toujours conduit à une incertitude juridique pour les logiciels et est un terme qui ne devrait pas être appliqué dans le contexte de l’open source car les utilisations commerciales spécifiques des projets open source par certains utilisateurs sont fréquemment déconnectées des motivations et de la rémunération potentielle des utilisateurs. communauté élargie de mainteneurs.
Le logiciel lui-même est donc indépendant de son application commerciale ultérieure. Le problème n’est pas l’absence d’une taxonomie du « commercial » ; c’est l’acte même de faire de la qualification «commerciale» plutôt que, par exemple, «déploiement pour le commerce». Ainsi, l’ajout d’une taxonomie de la commercialité n’est pas une solution. L’OSI serait heureux de collaborer à de meilleures approches pour qualifier une exception.
Pour illustrer l’inquiétude de notre communauté, nous souhaitons souligner une analyse par la filiale OSI Eclipse Foundation, basé à Bruxelles. S’ils notent qu’avec du personnel et des ressources financières, ils sont « mieux placés que la plupart » pour faire face à de telles exigences, ils concluent que « nous craignons que les obligations énoncées par la législation ne paralysent la Fondation Eclipse et sa communauté. ”
Recommandation de l’OSI
L’Open Source Initiative suppose que la loi n’est pas destinée à avoir un impact négatif sur les communautés qui fabriquent des logiciels Open Source ou à peser sur les fondations à but non lucratif qui les soutiennent.
Par conséquent, l’OSI recommande de poursuivre les travaux sur l’exception Open Source aux exigences du corps de la loi afin de exclure toutes les activités antérieures au déploiement commercial du logiciel et de s’assurer clairement que la responsabilité des marquages CE n’incombe à aucun acteur qui n’est pas un bénéficiaire commercial direct du déploiement. Laisser le texte tel quel pourrait refroidir ou même empêcher la disponibilité de logiciels open source gérés à l’échelle mondiale en Europe. Nous soutenons également l’analyse plus détaillée que nous avons cosignée avec Open Forum Europe.