Récap du T3CON - Quo Vadis, le droit européen

Auteurs :  Daniel Fau
Traduit par : Léo - W-Seils

Lire l’article complet en version originale

Neil Peretz a souligné les graves préoccupations que suscite la loi européenne sur la cyber-résilience, suggérant qu'elle pourrait entraver l'innovation dans le domaine de l'open source.

La loi sur la cyber-résilience part d'une bonne intention, tout comme les réglementations européennes précédentes telles que le GDPR : l'objectif est de protéger les consommateurs contre les failles des produits numériques, comme les gouvernements le font déjà pour les biens physiques. Cependant, M. Peretz a mis en garde contre les exigences strictes imposées aux développeurs de logiciels. Selon lui, ces exigences imposent des normes de cybersécurité et la publication d'informations sur "ce que j'ai fait pour la cybersécurité". Il est logique de mettre l'accent sur la responsabilité et la transparence, mais les projets à code source ouvert comptent de nombreux contributeurs disparates, ce qui rend la conformité peu pratique.

M. Peretz a fait remarquer que l'exception étroite prévue par la loi pour les logiciels libres ne s'applique que "si vous n'êtes pas payé pour travailler sur le code". Cela disqualifie presque tous les modèles de développement communautaire du monde réel. Des frais généraux élevés pourraient avoir des conséquences très fâcheuses :

Le vrai gagnant de cette affaire, si vous augmentez les barrières pour l'open source, ce sont les grandes entreprises technologiques.Elles sont les seules à pouvoir se permettre de franchir toutes ces étapes.

La loi interdit également l'envoi de code inachevé, ce qui empêche de recueillir les commentaires de la communauté sur les premières versions. Enfin, les besoins spécifiques de l'UE pourraient bloquer la collaboration mondiale, voire exclure les contributeurs européens. En fin de compte, au lieu d'offrir aux utilisateurs un plus grand choix de logiciels, M. Peretz estime que la loi sur la cyberrésilience limitera considérablement les options.

L'un des problèmes est le suivant :S'il ne s'agit pas d'un logiciel libre, il sera interdit de l'expédier s'il n'est pas terminé.Cela signifie qu'il ne sera pas possible d'envoyer des versions alpha et des versions bêta.Et c'est ainsi que fonctionne l'open source : nous recevons les commentaires de la communauté.

Tout en soutenant fermement les objectifs de la loi en matière de protection des consommateurs, M. Peretz a insisté sur la nécessité de procéder à des révisions importantes. Dans le cas contraire, les fonctionnaires de l'UE risquent de briser par inadvertance des communautés open source dynamiques dans toute l'Europe.

Selon M. Peretz, la loi européenne sur la responsabilité du fait des produits risque malheureusement de se transformer en un autre scénario dangereux, menaçant les communautés de logiciels libres d'une responsabilité juridique.

M. Peretz explique que la loi autorise les poursuites judiciaires même lorsqu'il n'existe aucune relation contractuelle entre les utilisateurs et les développeurs de logiciels. Le simple fait de prouver qu'un produit a causé des dommages expose les fabricants à des décisions de justice. Selon lui, cela signifie que le développeur est responsable sans que les utilisateurs ne fassent preuve de négligence.

La loi sur la responsabilité du fait des produits concerne ce qui se passe si vous êtes affecté par inadvertance par un logiciel et que vous n'avez même pas de contrat avec un développeur.En substance, cela signifie que le développeur est en tort.Vous n'avez pas besoin de prouver la faute.Tout ce que vous avez à faire, c'est de prouver le lien de causalité.

Si de telles obligations sont raisonnables pour des biens matériels, elles deviennent problématiques en ligne, selon M. Peretz. Les projets à code source ouvert font appel à des contributeurs libres, en constante évolution et répartis dans plusieurs pays. Il y a rarement un seul fabricant à tenir pour responsable.

Dans le même temps, la définition élargie de l'activité commerciale de la loi entraîne dans son sillage la quasi-totalité des efforts de codage de la communauté dans le monde réel. M. Peretz a fait remarquer que même la distribution gratuite de programmes implique souvent des revenus tels que des services d'assistance ou des parrainages. La plupart des plateformes ne peuvent donc pas bénéficier de l'exemption.

En vertu de la loi, le code source est considéré comme une information non exécutable, et non comme un logiciel, et échappe donc à toute responsabilité. Toutefois, M. Peretz a déclaré que la distribution de fichiers binaires compilés pouvait encore soulever des risques juridiques importants.

En particulier, les projets de logiciels libres peuvent voir leur responsabilité engagée simplement parce qu'ils négligent les mises à jour après le lancement initial :

L'absence de mises à jour peut être à l'origine de défauts.Il ne s'agit pas simplement de livrer le logiciel et de découvrir un problème plus tard, mais de faire ce qu'il faut quand on le livre.Si vous ne mettez pas votre logiciel à jour et que vous ne le surveillez pas, votre responsabilité peut être engagée dans cette situation.

Avec des ressources limitées, la plupart des projets ne peuvent pas garantir des mises à jour permanentes, mais la responsabilité serait toujours engagée en vertu de la loi sur la responsabilité du fait des produits. En fin de compte, M. Peretz a une nouvelle fois mis en garde contre le fait que les protections de bonne foi des consommateurs peuvent involontairement freiner l'innovation numérique qui naît de la collaboration en code ouvert.

M. Peretz a ensuite abordé la loi sur la gouvernance des données récemment adoptée par l'UE. Il a expliqué que cette loi vise à accroître l'accès du public aux ensembles de données gouvernementales dans toute l'Europe. Les États membres ne peuvent pas faire de favoritisme ou accorder l'exclusivité sur ces ressources publiques. Toutefois, M. Peretz a fait remarquer que les autorités peuvent toujours imposer les restrictions nécessaires à toute divulgation :

Le gouvernement peut imposer des conditions à la divulgation.Il peut dire qu'il s'agit de données secrètes, que vous devez les garder en sécurité d'une certaine manière - peut-être que je ne vous les transmets que sous forme agrégée, ou que vous avez mis en place certaines mesures de sécurité.

Du côté positif, M. Peretz a déclaré que la loi sur la gouvernance des données crée de nouveaux modèles commerciaux autour des données ouvertes. Elle prévoit des "services d'intermédiation de données" certifiés qui doivent redistribuer équitablement les données publiques à tous les demandeurs, sans préférence.

Un autre aspect positif de la loi concerne les organisations d'altruisme en matière de données, c'est-à-dire les organisations à but non lucratif qui peuvent collecter et reformater des données pour des questions telles que les transports, le changement climatique et d'autres questions d'intérêt public. M. Peretz souligne que ces organismes seront soumis à des audits et à une surveillance afin d'éviter les abus.

[Les services d'intermédiation de données sont une conséquence de la volonté de rendre le gouvernement plus accessible au public.

Plus important encore, la loi pourrait permettre une collaboration transfrontalière précieuse en matière de données. M. Peretz a mis en avant le nouveau Conseil de l'innovation en matière de données de l'UE, chargé de normaliser les formats dans toute la région. Cela pourrait permettre aux agences de combiner facilement des informations provenant de plusieurs pays dans des lacs de données partagés.

Aucune discussion sur la législation européenne en matière de données n'est complète sans aborder la conformité au règlement général sur la protection des données (RGPD).

La plus grande source de litiges concernant le GDPR et l'UE a été :"Oh mon Dieu, vous ramenez des données aux États-Unis, et qui sait ce qu'ils en font là-bas !"

M. Peretz explique que ces plaintes juridiques ont récemment fait tomber un accord appelé "Privacy Shield" (bouclier de protection de la vie privée), conclu entre l'Union européenne et les États-Unis. Aujourd'hui, après des années de négociations, les deux parties ont adopté un nouveau cadre de protection des données pour permettre des flux de données dans le cloud conformes.

Ce cadre lie légalement les agences gouvernementales américaines à des limites strictes en matière d'accès aux données des citoyens européens. Les demandes d'accès doivent viser des menaces spécifiques pour la sécurité nationale, telles que le terrorisme ou la criminalité transnationale. La surveillance de la population dans son ensemble est interdite.

En outre, le cadre impose l'utilisation des méthodes d'enquête les moins intrusives et le stockage des seules informations nécessaires. M. Peretz a indiqué qu'un tribunal américain indépendant chargé de la protection des données a été créé pour entendre les plaintes européennes et faire respecter les restrictions en matière de saisie de données.

Grâce à ces mécanismes, [le cadre de protection des données] est censé répondre aux objections soulevées au sujet du bouclier de protection des données et de la Cour européenne de justice.En fait, la Commission a déclaré qu'il n'y avait pas de problème à transmettre des données aux États-Unis en vertu de ce cadre.

M. Peretz a également fait remarquer que le cadre de protection des données permet de garantir le respect des droits européens en matière de vie privée lorsque les données quittent le continent, tout en permettant la mise en place de services d'informatique dématérialisée essentiels à l'infrastructure numérique mondiale.

Abordant le sujet brûlant de l'IA, M. Peretz a souligné les graves inquiétudes de la communauté des logiciels libres concernant la loi européenne sur l'IA en cours d'élaboration. Il a averti que le champ d'application étendu et les exigences ardues de cette loi semblent être faits sur mesure pour écraser les petits innovateurs d'IA à but non lucratif.

Selon M. Peretz, la loi définit de nombreuses exigences pour les modèles de base tels que les architectures d'apprentissage automatique :

Il faut s'assurer qu'elles ne nuisent pas à la santé ou à la sécurité, qu'elles ne portent pas atteinte aux droits fondamentaux, qu'elles sont efficaces en termes d'utilisation de l'énergie.Je dois disposer d'une documentation complète lorsque je l'expédie.Je dois enregistrer la bouteille dans toutes les bases de données de l'UE.C'est toute une vie.Si vous voulez construire le modèle de base, vous avez beaucoup de travail à faire.

Cela impose une limite aux personnes qui peuvent expédier des modèles de base, car seuls les projets bien financés pourront aller de l'avant. Actuellement, les chercheurs comptent sur l'accès aux sources ouvertes pour déboguer les modèles lorsque des problèmes apparaissent, mais cette loi pourrait conduire à un avenir limité à l'IA propriétaire à boîte noire.

"La communauté des logiciels libres est très préoccupée par cette loi", a déclaré M. Peretz, car les mandats d'audit interminables qu'elle prévoit entraveront la collaboration itérative. Au lieu de cela, il préconise simplement des tests transparents et une analyse des risques - et non des démonstrations récurrentes de conformité qui ne sont pas pertinentes pour le codage communautaire.

De manière plus générale, M. Peretz note que la loi a invoqué une litanie de catégories et de définitions arbitraires de l'IA qui englobent presque tous les logiciels : lors de "l'inscription à T3CON, si le formulaire prédisait ce que je voulais pour le dîner, il s'agissait d'un système d'IA". Ce champ d'application confus rend les défis de conformité encore plus difficiles à relever.

La loi sur les marchés numériques de l'UE, qui constitue une autre avancée réglementaire majeure, cible les injustices perçues par les gardiens des grandes technologies : des géants américains comme Amazon et Google, mais aussi le conglomérat chinois ByteDance. Ces plateformes dominantes peuvent façonner les projets open source qui en dépendent.

L'idée de la loi sur les marchés numériques est la suivante :Réglementons les gardiens, rendons-les plus transparents sur la manière dont ils utilisent les données, rendons-les plus transparents sur leurs algorithmes - comment font-ils pour élever les choses au sommet ?

Par exemple, Amazon ne peut pas faire passer ses propres produits en marque blanche avant les vendeurs qui utilisent sa plateforme de commerce pour accéder à son énorme base de clients. D'une manière plus générale, la transparence algorithmique obligatoire révélerait si les places de marché créent un biais systémique à l'encontre de certains fournisseurs.

Selon M. Peretz, cet appel à la transparence pose des questions utiles aux développeurs de logiciels libres qui s'appuient sur ces écosystèmes de contenu et de commerce électronique pour atteindre les utilisateurs. Comprendre ce qui motive pleinement les sélections dans les magasins d'applications ou les classements dans les moteurs de recherche pourrait contribuer à uniformiser les règles du jeu de la concurrence.

Dans la même catégorie que la loi sur les marchés numériques, la loi sur les services numériques de l'UE vise également la transparence. Toutefois, cette loi se concentre spécifiquement sur les données et les algorithmes qui alimentent la présentation et la suppression de contenu (comme les messages sur les médias sociaux), plutôt que sur le commerce électronique.

M. Peretz a expliqué comment cette loi crée des moyens de contester les décisions prises en interne par les entreprises. Elle introduit des organisations de signaleurs de confiance, c'est-à-dire des organisations à but non lucratif certifiées qui peuvent signaler les messages problématiques et obliger les fournisseurs à les reconsidérer. L'objectif est de permettre à des défenseurs extérieurs d'aborder les controverses, plutôt que de laisser les jugements aux seules plateformes à but lucratif. Cela permet d'éviter que des entreprises autorisent des messages populaires mais extrémistes pour stimuler l'engagement.

En cas de litige sur la fiabilité d'une organisation ou sur le retrait d'un contenu, des procédures d'arbitrage formelles seront mises en place pour trouver une solution. Chaque pays de l'UE disposera d'un organisme de réglementation chargé d'entendre les appels et d'imposer des amendes, ce qui devrait inciter les entreprises à filtrer soigneusement leur contenu.

M. Peretz a conclu en soulignant les différences substantielles entre l'Union européenne et les États-Unis en matière d'approche de la gouvernance des données. Il a décrit les fonctionnaires européens comme menant une politique numérique fondée sur des principes et les législateurs américains comme influencés par les entreprises donatrices.

[Aux États-Unis, il est très coûteux de se présenter aux élections.Il faut beaucoup d'argent pour acheter beaucoup de publicités.Qui a le plus d'argent ?Les entreprises, n'est-ce pas ?Il y a des gens riches, mais ce sont les entreprises qui ont le plus d'argent.Elles dépensent donc cet argent.Et nous avons cette équation bizarre où, aux États-Unis, l'argent équivaut à la liberté d'expression.

Les entreprises donnent de l'argent aux campagnes politiques, ce qui leur permet d'influencer les hommes politiques qui cherchent désespérément à financer leur campagne de réélection. Cette dépendance à l'égard des collecteurs de fonds des entreprises conduit le Congrès à éviter la plupart des restrictions sur les pratiques commerciales.

En revanche, la gouvernance européenne repose sur des priorités abstraites telles que le bien-être des consommateurs et l'innovation ouverte des plateformes. L'UE adopte des réglementations radicales axées sur les avantages sociétaux plutôt que sur la faisabilité commerciale.

Toutefois, M. Peretz a fait remarquer que les États américains peuvent jouer un rôle similaire à celui des nations européennes en tant que laboratoires de la démocratie. Les principaux États, comme la Californie, parviennent à adopter leurs propres lois sur la protection de la vie privée, parfois en s'inspirant explicitement des politiques de l'UE, comme le GDPR. Cet activisme au niveau de l'État fait germer des idées qui pourraient éventuellement créer des réglementations plus uniformes et plus modernes à l'échelle nationale.

Alors que les réglementations européennes telles que la loi sur la cyberrésilience, la loi sur les services numériques, la loi sur l'IA et les mises à jour du GDPR continuent de se développer, la communauté open source se trouve à la croisée des chemins. Ces lois, qui visent à renforcer la souveraineté numérique et le contrôle des données personnelles, présentent à la fois des défis et des opportunités.

Si les inquiétudes concernant l'étouffement de l'innovation et l'aspect pratique de la conformité sont valables - en particulier pour les projets open source - ces réglementations ouvrent également la voie à une plus grande transparence, au choix de l'utilisateur et à la sécurité des données. La juxtaposition de ces tensions laisse entrevoir un avenir où la législation européenne pourrait soit inhiber, soit dynamiser le développement des logiciels libres.

Selon M. Peretz, la communauté des logiciels libres devrait faire preuve d'un optimisme prudent, en préconisant des révisions si nécessaire, tout en tirant parti du potentiel de ces lois pour favoriser un paysage numérique plus sûr et donnant plus de pouvoir à l'utilisateur.

Pour en savoir plus sur les conférences de la conférence T3CON23, cliquez ici.