La Python Software Foundation (PSF) a exprimé ses préoccupations concernant le Cyber Resilience Act (CRA) et le Product Liability Act (PLA) de l’UE, qui pourraient mettre en danger l’intégrité de la communauté open source. Bien que la PSF soutienne la politique visant à renforcer la sécurité et la responsabilité des consommateurs de logiciels, elle craint que des politiques excessivement larges ne nuisent involontairement aux utilisateurs qu’elles cherchent à protéger.
De nombreuses entreprises de logiciels modernes dépendent de logiciels open source publiés sur des dépôts publics sans notifier les auteurs ni établir de relations commerciales ou contractuelles avec eux. Selon la PSF, si les lois étaient appliquées telles quelles, les auteurs de composants open source pourraient être tenus légalement et financièrement responsables si ces composants étaient utilisés dans des produits commerciaux. Par exemple, la PSF héberge le langage de programmation Python, la bibliothèque standard et l’interpréteur de base, qu’elle offre gratuitement à tous ceux qui souhaitent les utiliser.
Le Python Packaging Index (PyPI), qui héberge une vaste bibliothèque de packages logiciels écrits par des milliers d’individus et d’organisations différentes, est également hébergé par la PSF et tous les packages sont disponibles gratuitement. PyPI est une infrastructure importante pour l’ensemble de l’écosystème, sur laquelle des milliers de personnes et d’entreprises dépendent, avec en moyenne plus de 10 milliards de packages téléchargés chaque mois.
Cependant, la PSF ne reçoit pas d’argent de tous les packages téléchargés à partir des dépôts qu’elle gère. Bien que Python et ses packages ne semblent pas générer de revenus, une partie importante de la technologie qui génère des bénéfices dépend de Python. Par exemple, YouTube, Instagram et Spotify sont tous construits avec du code Python.
Le CRA et le PLA de l’UE considèrent que toute personne ou entreprise apportant des modifications importantes à un produit est considérée comme un fabricant. La PSF souligne que cela pourrait être interprété comme signifiant que toute personne ayant apporté des modifications substantielles à un projet open source serait responsable des résultats de ces modifications. De plus, la définition de “l’activité commerciale” comme étant la fourniture d’une plateforme logicielle pour la monétisation de services signifie que la loi s’appliquerait également aux organisations telles que la PSF, qui proposent une variété de produits et de services payants tels que des t-shirts, des billets d’événements et des cours de codage.
La PSF estime que les législateurs tels que l’UE doivent offrir des exemptions claires pour les dépôts de logiciels open source et les organisations et développeurs qui les hébergent, qui sont bénéfiques pour l’intérêt public.
Bradley Kuhn, Policy Fellow de Software Freedom Conservancy, a déclaré à The Register que “la communauté FOSS doit réfléchir attentivement à la portée des exemptions demandées. Je suis préoccupé par le fait que les gens de FOSS tombent dans le piège que les entreprises lucratives tendent avec cette question. Les exemptions globales pour FOSS peuvent sembler être une bonne chose pour FOSS en surface, mais en réalité, cela aide les entreprises à éviter la responsabilité normale des fabricants envers la communauté FOSS. Les entreprises lucratives qui déploient FOSS devraient avoir les mêmes obligations de sécurité et de fiabilité envers les utilisateurs que les entreprises de logiciels propriétaires.”
Commentaires