Auteurs : Daniel Fau
Traduit par : Léo - W-Seils
L'avenir de l'open source est inextricablement lié à la loi. Les réglementations peuvent favoriser ou entraver son développement. Les lois européennes existantes et à venir révèlent des tensions entre l'extension de la souveraineté numérique personnelle et la promotion de l'innovation dans le domaine des logiciels libres. Lors de la T3CON de cette année, l'expert juridique Neil Peretz nous a présenté ces aspects nuancés de la souveraineté numérique, ainsi qu'un aperçu de la situation aux États-Unis.
L'exposé de Neil Peretz, intitulé Quo Vadis EU Law (de l'expression latine signifiant "Où vas-tu ?"), portait sur l'avenir de la législation européenne en matière de numérique.. Peretz a expliqué les éléments les plus importants pour la communauté open source des lois suivantes en cours d'élaboration :
- Souveraineté numérique personnelle
- Loi sur la résilience cybernétique
- Loi sur la responsabilité du fait des produits
- Loi sur la gouvernance des données
- Loi sur les données
- GDPR et le cadre de protection des données
- Loi sur l'IA
- Loi sur les marchés numériques
- Loi sur les services numériques
- Comment l'UE se compare-t-elle aux États-Unis ?
Il a conclu que, dans l'ensemble, les réglementations cherchent à améliorer la transparence, le choix et le contrôle des données personnelles. Certaines lois peuvent avoir des conséquences très fâcheuses, mais la communauté du logiciel libre devrait rester prudemment optimiste et plaider pour des révisions si nécessaire.
Lisez la suite pour un récapitulatif complet, ou rattrapez ce que vous avez manqué à la T3CON23.
M. Peretz a commencé par définir la souveraineté numérique personnelle comme le fait d'avoir une vie privée, le choix, la transparence, l'accès, la sécurité et le contrôle de ses données.
Nous pouvons aborder l'idée de la souveraineté numérique personnelle par analogie avec la souveraineté nationale :
La souveraineté concerne généralement les États-nations.La souveraineté parle généralement d'États-nations et aborde des questions telles que :Votre État est-il compétitif dans l'économie mondiale ?Votre technologie représente-t-elle les valeurs que vous considérez comme importantes ?Êtes-vous indépendant des fournisseurs étrangers ?
En ce qui concerne la souveraineté numérique, en revanche, "les gens veulent entendre parler de leur propre histoire". Cela implique une autre série de questions :
Ai-je le choix entre différents systèmes à utiliser ?Est-ce transparent ?Est-ce que je sais ce qui se passe avec mes données ?Puis-je y accéder ?Sont-elles sûres ?Y aura-t-il des pirates informatiques ?Puis-je m'exprimer ?Suis-je propriétaire de mes données ?Puis-je contrôler mes données ?
Neil Peretz a ensuite abordé ces questions en explorant les détails des lois européennes nouvelles et à venir visant à améliorer la souveraineté des données personnelles.
Neil Peretz a souligné les graves préoccupations que suscite la loi européenne sur la cyber-résilience, suggérant qu'elle pourrait entraver l'innovation dans le domaine de l'open source.
La loi sur la cyber-résilience part d'une bonne intention, tout comme les réglementations européennes précédentes telles que le GDPR : l'objectif est de protéger les consommateurs contre les failles des produits numériques, comme les gouvernements le font déjà pour les biens physiques. Cependant, M. Peretz a mis en garde contre les exigences strictes imposées aux développeurs de logiciels. Selon lui, ces exigences imposent des normes de cybersécurité et la publication d'informations sur "ce que j'ai fait pour la cybersécurité". Il est logique de mettre l'accent sur la responsabilité et la transparence, mais les projets à code source ouvert comptent de nombreux contributeurs disparates, ce qui rend la conformité peu pratique.
M. Peretz a fait remarquer que l'exception étroite prévue par la loi pour les logiciels libres ne s'applique que "si vous n'êtes pas payé pour travailler sur le code". Cela disqualifie presque tous les modèles de développement communautaire du monde réel. Des frais généraux élevés pourraient avoir des conséquences très fâcheuses :
Note de l'éditeur :
En juillet 2023, TYPO3 et d'autres projets de CMS open-source ont mis en garde contre les effets négatifs de la loi dans une lettre ouverte aux législateurs de l'UE. Les projets ont également participé à des réunions avec d'autres projets open-source, organisées par Open Forum Europe (OFE), pour discuter de la législation proposée. Des contributions et des recommandations détaillées ont été proposées à l'UE et, depuis T3CON23, des améliorations majeures ont été apportées aux projets. Bien que positif, cet événement souligne la nécessité d'une vigilance et d'une participation des projets open-source dans le développement de nouvelles législations.
Le vrai gagnant de cette affaire, si vous augmentez les barrières pour l'open source, ce sont les grandes entreprises technologiques.Elles sont les seules à pouvoir se permettre de franchir toutes ces étapes.
La loi interdit également l'envoi de code inachevé, ce qui empêche de recueillir les commentaires de la communauté sur les premières versions. Enfin, les besoins spécifiques de l'UE pourraient bloquer la collaboration mondiale, voire exclure les contributeurs européens. En fin de compte, au lieu d'offrir aux utilisateurs un plus grand choix de logiciels, M. Peretz estime que la loi sur la cyberrésilience limitera considérablement les options.
L'un des problèmes est le suivant :S'il ne s'agit pas d'un logiciel libre, il sera interdit de l'expédier s'il n'est pas terminé.Cela signifie qu'il ne sera pas possible d'envoyer des versions alpha et des versions bêta.Et c'est ainsi que fonctionne l'open source : nous recevons les commentaires de la communauté.
Tout en soutenant fermement les objectifs de la loi en matière de protection des consommateurs, M. Peretz a insisté sur la nécessité de procéder à des révisions importantes. Dans le cas contraire, les fonctionnaires de l'UE risquent de briser par inadvertance des communautés open source dynamiques dans toute l'Europe.
Selon M. Peretz, la loi européenne sur la responsabilité du fait des produits risque malheureusement de se transformer en un autre scénario dangereux, menaçant les communautés de logiciels libres d'une responsabilité juridique.
M. Peretz explique que la loi autorise les poursuites judiciaires même lorsqu'il n'existe aucune relation contractuelle entre les utilisateurs et les développeurs de logiciels. Le simple fait de prouver qu'un produit a causé des dommages expose les fabricants à des décisions de justice. Selon lui, cela signifie que le développeur est responsable sans que les utilisateurs ne fassent preuve de négligence.
La loi sur la responsabilité du fait des produits concerne ce qui se passe si vous êtes affecté par inadvertance par un logiciel et que vous n'avez même pas de contrat avec un développeur.En substance, cela signifie que le développeur est en tort.Vous n'avez pas besoin de prouver la faute.Tout ce que vous avez à faire, c'est de prouver le lien de causalité.
Si de telles obligations sont raisonnables pour des biens matériels, elles deviennent problématiques en ligne, selon M. Peretz. Les projets à code source ouvert font appel à des contributeurs libres, en constante évolution et répartis dans plusieurs pays. Il y a rarement un seul fabricant à tenir pour responsable.
Dans le même temps, la définition élargie de l'activité commerciale de la loi entraîne dans son sillage la quasi-totalité des efforts de codage de la communauté dans le monde réel. M. Peretz a fait remarquer que même la distribution gratuite de programmes implique souvent des revenus tels que des services d'assistance ou des parrainages. La plupart des plateformes ne peuvent donc pas bénéficier de l'exemption.
En vertu de la loi, le code source est considéré comme une information non exécutable, et non comme un logiciel, et échappe donc à toute responsabilité. Toutefois, M. Peretz a déclaré que la distribution de fichiers binaires compilés pouvait encore soulever des risques juridiques importants.
En particulier, les projets de logiciels libres peuvent voir leur responsabilité engagée simplement parce qu'ils négligent les mises à jour après le lancement initial :
L'absence de mises à jour peut être à l'origine de défauts.Il ne s'agit pas simplement de livrer le logiciel et de découvrir un problème plus tard, mais de faire ce qu'il faut quand on le livre.Si vous ne mettez pas votre logiciel à jour et que vous ne le surveillez pas, votre responsabilité peut être engagée dans cette situation.
Avec des ressources limitées, la plupart des projets ne peuvent pas garantir des mises à jour permanentes, mais la responsabilité serait toujours engagée en vertu de la loi sur la responsabilité du fait des produits. En fin de compte, M. Peretz a une nouvelle fois mis en garde contre le fait que les protections de bonne foi des consommateurs peuvent involontairement freiner l'innovation numérique qui naît de la collaboration en code ouvert.
M. Peretz a ensuite abordé la loi sur la gouvernance des données récemment adoptée par l'UE. Il a expliqué que cette loi vise à accroître l'accès du public aux ensembles de données gouvernementales dans toute l'Europe. Les États membres ne peuvent pas faire de favoritisme ou accorder l'exclusivité sur ces ressources publiques. Toutefois, M. Peretz a fait remarquer que les autorités peuvent toujours imposer les restrictions nécessaires à toute divulgation :
Le gouvernement peut imposer des conditions à la divulgation.Il peut dire qu'il s'agit de données secrètes, que vous devez les garder en sécurité d'une certaine manière - peut-être que je ne vous les transmets que sous forme agrégée, ou que vous avez mis en place certaines mesures de sécurité.
Du côté positif, M. Peretz a déclaré que la loi sur la gouvernance des données crée de nouveaux modèles commerciaux autour des données ouvertes. Elle prévoit des "services d'intermédiation de données" certifiés qui doivent redistribuer équitablement les données publiques à tous les demandeurs, sans préférence.
Un autre aspect positif de la loi concerne les organisations d'altruisme en matière de données, c'est-à-dire les organisations à but non lucratif qui peuvent collecter et reformater des données pour des questions telles que les transports, le changement climatique et d'autres questions d'intérêt public. M. Peretz souligne que ces organismes seront soumis à des audits et à une surveillance afin d'éviter les abus.
[Les services d'intermédiation de données sont une conséquence de la volonté de rendre le gouvernement plus accessible au public.
Plus important encore, la loi pourrait permettre une collaboration transfrontalière précieuse en matière de données. M. Peretz a mis en avant le nouveau Conseil de l'innovation en matière de données de l'UE, chargé de normaliser les formats dans toute la région. Cela pourrait permettre aux agences de combiner facilement des informations provenant de plusieurs pays dans des lacs de données partagés.
M. Peretz a ensuite abordé la loi sur les données, qui porte le même nom, mais qui est tout à fait différente, et qui a également été adoptée récemment. Cette loi s'attaque à la collecte de données provenant des quelque 40 milliards d'appareils de l'internet des objets (IoT) actuellement déployés en Europe.
M. Peretz a expliqué que cette loi impose des exigences en matière de divulgation et d'accès autour de la collecte de données de l'IoT. Les fabricants ne peuvent pas se contenter de collecter des informations par le biais d'appareils intelligents en laissant les utilisateurs dans l'ignorance. Ils doivent au contraire détailler clairement ce qui est collecté et permettre aux consommateurs d'accéder à ces traces d'échappement numériques.
La loi sur les données limite l'utilisation secondaire de ces données personnelles aux seules fins indiquées. Les entreprises ne peuvent pas utiliser les connaissances intimes des individus en matière d'IdO à des fins publicitaires non divulguées ou pour d'autres objectifs auxiliaires. Il existe également des restrictions concernant la déclaration de certaines données en tant que secrets commerciaux protégés, nécessitant au préalable des accords de consentement avec les utilisateurs.
Ce que vous devez faire, si vous êtes un fabricant de l'internet des objets au sens de cette loi, c'est divulguer les données que vous recueillez auprès des gens - vous devez leur permettre d'accéder à ces données.[Il y a des restrictions sur ce que le fabricant peut faire avec les données, et le fabricant doit mettre les données à votre disposition.
En faveur de l'open source, M. Peretz a souligné que la loi sur les données étendait également les règles de transparence aux plates-formes de stockage en cloud. Les fournisseurs doivent présenter les processus d'intégration, les frais d'exportation des données et le soutien à la portabilité entre services concurrents. D'ici trois ans, ils devront permettre aux utilisateurs de se désengager complètement et gratuitement dans les 30 jours.
Cette disposition relative à l'informatique dématérialisée supprime le verrouillage par le fournisseur. Les développeurs peuvent librement déplacer leurs projets, mais leurs partenaires cloud doivent faciliter des transferts de données rapides et peu coûteux :
Cela va se traduire par une portabilité beaucoup plus grande.Cela joue vraiment sur la force de l'open source, parce que maintenant vous pouvez aller n'importe où, et votre fournisseur d'informatique dématérialisée doit vous aider.
De concert avec la loi sur la gouvernance des données, la loi sur les données semble être une évolution positive pour garantir les droits des utilisateurs tout en alimentant l'innovation numérique.
Aucune discussion sur la législation européenne en matière de données n'est complète sans aborder la conformité au règlement général sur la protection des données (RGPD).
La plus grande source de litiges concernant le GDPR et l'UE a été :"Oh mon Dieu, vous ramenez des données aux États-Unis, et qui sait ce qu'ils en font là-bas !"
M. Peretz explique que ces plaintes juridiques ont récemment fait tomber un accord appelé "Privacy Shield" (bouclier de protection de la vie privée), conclu entre l'Union européenne et les États-Unis. Aujourd'hui, après des années de négociations, les deux parties ont adopté un nouveau cadre de protection des données pour permettre des flux de données dans le cloud conformes.
Ce cadre lie légalement les agences gouvernementales américaines à des limites strictes en matière d'accès aux données des citoyens européens. Les demandes d'accès doivent viser des menaces spécifiques pour la sécurité nationale, telles que le terrorisme ou la criminalité transnationale. La surveillance de la population dans son ensemble est interdite.
En outre, le cadre impose l'utilisation des méthodes d'enquête les moins intrusives et le stockage des seules informations nécessaires. M. Peretz a indiqué qu'un tribunal américain indépendant chargé de la protection des données a été créé pour entendre les plaintes européennes et faire respecter les restrictions en matière de saisie de données.
Grâce à ces mécanismes, [le cadre de protection des données] est censé répondre aux objections soulevées au sujet du bouclier de protection des données et de la Cour européenne de justice.En fait, la Commission a déclaré qu'il n'y avait pas de problème à transmettre des données aux États-Unis en vertu de ce cadre.
M. Peretz a également fait remarquer que le cadre de protection des données permet de garantir le respect des droits européens en matière de vie privée lorsque les données quittent le continent, tout en permettant la mise en place de services d'informatique dématérialisée essentiels à l'infrastructure numérique mondiale.
Abordant le sujet brûlant de l'IA, M. Peretz a souligné les graves inquiétudes de la communauté des logiciels libres concernant la loi européenne sur l'IA en cours d'élaboration. Il a averti que le champ d'application étendu et les exigences ardues de cette loi semblent être faits sur mesure pour écraser les petits innovateurs d'IA à but non lucratif.
Selon M. Peretz, la loi définit de nombreuses exigences pour les modèles de base tels que les architectures d'apprentissage automatique :
Il faut s'assurer qu'elles ne nuisent pas à la santé ou à la sécurité, qu'elles ne portent pas atteinte aux droits fondamentaux, qu'elles sont efficaces en termes d'utilisation de l'énergie.Je dois disposer d'une documentation complète lorsque je l'expédie.Je dois enregistrer la bouteille dans toutes les bases de données de l'UE.C'est toute une vie.Si vous voulez construire le modèle de base, vous avez beaucoup de travail à faire.
Cela impose une limite aux personnes qui peuvent expédier des modèles de base, car seuls les projets bien financés pourront aller de l'avant. Actuellement, les chercheurs comptent sur l'accès aux sources ouvertes pour déboguer les modèles lorsque des problèmes apparaissent, mais cette loi pourrait conduire à un avenir limité à l'IA propriétaire à boîte noire.
"La communauté des logiciels libres est très préoccupée par cette loi", a déclaré M. Peretz, car les mandats d'audit interminables qu'elle prévoit entraveront la collaboration itérative. Au lieu de cela, il préconise simplement des tests transparents et une analyse des risques - et non des démonstrations récurrentes de conformité qui ne sont pas pertinentes pour le codage communautaire.
De manière plus générale, M. Peretz note que la loi a invoqué une litanie de catégories et de définitions arbitraires de l'IA qui englobent presque tous les logiciels : lors de "l'inscription à T3CON, si le formulaire prédisait ce que je voulais pour le dîner, il s'agissait d'un système d'IA". Ce champ d'application confus rend les défis de conformité encore plus difficiles à relever.
La loi sur les marchés numériques de l'UE, qui constitue une autre avancée réglementaire majeure, cible les injustices perçues par les gardiens des grandes technologies : des géants américains comme Amazon et Google, mais aussi le conglomérat chinois ByteDance. Ces plateformes dominantes peuvent façonner les projets open source qui en dépendent.
L'idée de la loi sur les marchés numériques est la suivante :Réglementons les gardiens, rendons-les plus transparents sur la manière dont ils utilisent les données, rendons-les plus transparents sur leurs algorithmes - comment font-ils pour élever les choses au sommet ?
Par exemple, Amazon ne peut pas faire passer ses propres produits en marque blanche avant les vendeurs qui utilisent sa plateforme de commerce pour accéder à son énorme base de clients. D'une manière plus générale, la transparence algorithmique obligatoire révélerait si les places de marché créent un biais systémique à l'encontre de certains fournisseurs.
Selon M. Peretz, cet appel à la transparence pose des questions utiles aux développeurs de logiciels libres qui s'appuient sur ces écosystèmes de contenu et de commerce électronique pour atteindre les utilisateurs. Comprendre ce qui motive pleinement les sélections dans les magasins d'applications ou les classements dans les moteurs de recherche pourrait contribuer à uniformiser les règles du jeu de la concurrence.
Dans la même catégorie que la loi sur les marchés numériques, la loi sur les services numériques de l'UE vise également la transparence. Toutefois, cette loi se concentre spécifiquement sur les données et les algorithmes qui alimentent la présentation et la suppression de contenu (comme les messages sur les médias sociaux), plutôt que sur le commerce électronique.
M. Peretz a expliqué comment cette loi crée des moyens de contester les décisions prises en interne par les entreprises. Elle introduit des organisations de signaleurs de confiance, c'est-à-dire des organisations à but non lucratif certifiées qui peuvent signaler les messages problématiques et obliger les fournisseurs à les reconsidérer. L'objectif est de permettre à des défenseurs extérieurs d'aborder les controverses, plutôt que de laisser les jugements aux seules plateformes à but lucratif. Cela permet d'éviter que des entreprises autorisent des messages populaires mais extrémistes pour stimuler l'engagement.
En cas de litige sur la fiabilité d'une organisation ou sur le retrait d'un contenu, des procédures d'arbitrage formelles seront mises en place pour trouver une solution. Chaque pays de l'UE disposera d'un organisme de réglementation chargé d'entendre les appels et d'imposer des amendes, ce qui devrait inciter les entreprises à filtrer soigneusement leur contenu.
M. Peretz a conclu en soulignant les différences substantielles entre l'Union européenne et les États-Unis en matière d'approche de la gouvernance des données. Il a décrit les fonctionnaires européens comme menant une politique numérique fondée sur des principes et les législateurs américains comme influencés par les entreprises donatrices.
[Aux États-Unis, il est très coûteux de se présenter aux élections.Il faut beaucoup d'argent pour acheter beaucoup de publicités.Qui a le plus d'argent ?Les entreprises, n'est-ce pas ?Il y a des gens riches, mais ce sont les entreprises qui ont le plus d'argent.Elles dépensent donc cet argent.Et nous avons cette équation bizarre où, aux États-Unis, l'argent équivaut à la liberté d'expression.
Les entreprises donnent de l'argent aux campagnes politiques, ce qui leur permet d'influencer les hommes politiques qui cherchent désespérément à financer leur campagne de réélection. Cette dépendance à l'égard des collecteurs de fonds des entreprises conduit le Congrès à éviter la plupart des restrictions sur les pratiques commerciales.
En revanche, la gouvernance européenne repose sur des priorités abstraites telles que le bien-être des consommateurs et l'innovation ouverte des plateformes. L'UE adopte des réglementations radicales axées sur les avantages sociétaux plutôt que sur la faisabilité commerciale.
Toutefois, M. Peretz a fait remarquer que les États américains peuvent jouer un rôle similaire à celui des nations européennes en tant que laboratoires de la démocratie. Les principaux États, comme la Californie, parviennent à adopter leurs propres lois sur la protection de la vie privée, parfois en s'inspirant explicitement des politiques de l'UE, comme le GDPR. Cet activisme au niveau de l'État fait germer des idées qui pourraient éventuellement créer des réglementations plus uniformes et plus modernes à l'échelle nationale.
Alors que les réglementations européennes telles que la loi sur la cyberrésilience, la loi sur les services numériques, la loi sur l'IA et les mises à jour du GDPR continuent de se développer, la communauté open source se trouve à la croisée des chemins. Ces lois, qui visent à renforcer la souveraineté numérique et le contrôle des données personnelles, présentent à la fois des défis et des opportunités.
Si les inquiétudes concernant l'étouffement de l'innovation et l'aspect pratique de la conformité sont valables - en particulier pour les projets open source - ces réglementations ouvrent également la voie à une plus grande transparence, au choix de l'utilisateur et à la sécurité des données. La juxtaposition de ces tensions laisse entrevoir un avenir où la législation européenne pourrait soit inhiber, soit dynamiser le développement des logiciels libres.
Selon M. Peretz, la communauté des logiciels libres devrait faire preuve d'un optimisme prudent, en préconisant des révisions si nécessaire, tout en tirant parti du potentiel de ces lois pour favoriser un paysage numérique plus sûr et donnant plus de pouvoir à l'utilisateur.
Pour en savoir plus sur les conférences de la conférence T3CON23, cliquez ici.