Dans une ordonnance rendue publique ce jour, le Conseil d’État, saisi par le collectif Santenathon, reconnaît que le gouvernement des États‑Unis peut accéder sans contrôle aux données de santé des Français hébergées par le Health Data Hub chez Microsoft, et demande des garanties supplémentaires.

Cette décision est justifiée par l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit « Schrems II », qui juge que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens est excessive, insuffisamment encadrée et sans réelle possibilité de recours. La CJUE en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États‑Unis sont contraires au règlement général sur la protection des données (RGPD) et à la Charte des droits fondamentaux de l’Union européenne, sauf à apporter des garanties particulières ou dans certains cas dérogatoires.

Les jours sont donc bien comptés pour cette plate‑forme développée depuis deux ans, sans appel d’offre, et au mépris de l’offre des sociétés françaises et européennes, notamment des acteurs du logiciel libre. Le Gouvernement a en effet exprimé, jeudi dernier devant le Sénat, sa volonté de transférer le Health Data Hub sur des plates‑formes françaises ou européennes. Dans l’intervalle, la juge du Conseil d’État demande au Health Data Hub de travailler à minimiser ce risque, notamment en concluant un nouvel avenant avec Microsoft, et à ce que la CNIL instruise les demandes d’autorisation des projets de recherche utilisant le Health Data Hub en vérifiant que l’intérêt du projet, compte tenu de l’urgence sanitaire actuelle, est suffisant pour justifier le risque encouru et que le recours à la plate‑forme est nécessaire.

Le Premier ministre Jean‐Marc Ayrault vient de diffuser à l’ensemble des ministères une circulaire concernant l’« Usage du logiciel libre dans l’administration ».

Cette circulaire constitue une avancée majeure pour le logiciel libre dans les systèmes d’information de l’État. Elle recense les succès passés et les cas d’utilisation les plus appropriés, permettant ainsi de dégager les axes d’une véritable politique en matière de logiciel libre et open source. Le groupe de travail de la DISIC, qui a rédigé la circulaire, met tout particulièrement l’accent sur les bénéfices économiques du logiciel libre pour ceux qui le déploient, mais il n’oublie pas de souligner l’importance des contributions, et fixe des objectifs précis en la matière : de 5 à 10 % du montant des économies réalisées doivent être réinvestis sous la forme de contributions.

Dans un courrier accompagnant cette circulaire, Jean‐Marc Ayrault souligne les avantages du logiciel libre : « moindre coût, souplesse d’utilisation, levier de discussion avec les éditeurs ».

Suivez le lien « lire la suite », pour quelques analyses et commentaires rédigés par le CNLL.

Lors de leur keynote à l'Open Source Summit 2024, Linus Torvalds et Dirk Hohndel ont échangé sur l’avenir des architectures matérielles libres, en particulier RISC-V. Linus, avec son franc-parler habituel, a partagé ses craintes et ses espoirs concernant l’évolution de RISC-V et le rôle crucial que peuvent jouer les communautés open source pour éviter les erreurs passées, notamment dans le développement des plateformes comme ARM et x86.

Linus estime qu’il existe un risque majeur que RISC-V répète les erreurs commises par les architectures précédentes, comme lorsqu’ARM est devenu une plateforme serveur et a ignoré en partie les leçons apprises lors du développement de l’architecture x86, notamment en matière de sécurité. Cependant, il reconnaît également que grâce à l’expérience accumulée, ces erreurs ont été corrigées plus rapidement. La question cruciale est à présent de savoir si RISC-V saura tirer parti de cette expérience collective pour éviter ces écueils ou s’il devra traverser les mêmes cycles d’apprentissage douloureux.

La Cour des comptes a publié il y a quelques semaines un rapport de deux cents pages consacré à « l’accès à l’enseignement supérieur », et notamment à son application emblématique, Parcoursup.

Le rapport contient notamment de longs passages consacrés à la qualité du code publié.

On peut retenir à ce sujet deux points cruciaux et plutôt désolants :

• seul environ 1 % du code source de l’application a été publié (en 2018), contrairement à la décision des pouvoirs publics annoncée en 2017 de « permettre une totale transparence sur l’affectation des candidats » ;
• la qualité du code audité est qualifiée par la Cour des comptes de « médiocre », avec « un niveau de risque élevé et de nombreuses violations critiques identifiées », la Cour évoque un code qui « n’a pas été produit selon les standards professionnels » et d’un « processus de développement [qui n’a pas été] mené dans les règles de l’art ».

D’un point de vue technique, on apprend dans le rapport que l’application est constituée de 858 752 lignes de SQL (!) et 11 331 de Java.

Plus d’extraits du rapport en cliquant sur « lire la suite ».

Une récente analyse détaillée s’est attachée à quantifier la population d’utilisateurs de systèmes d’exploitation Linux sur ordinateur (hors serveurs) en France. En se basant sur les données publiques de trafic web de Cloudflare Radar et en appliquant une modélisation des comportements, l’étude aboutit à une estimation d’environ 2,2 millions d’utilisateurs uniques. La méthodologie ne se contente pas d’une moyenne globale (3,1 %), mais distingue les usages en fonction des moments de la semaine et de leur volume de trafic respectif. La conclusion principale est que cet usage est massivement personnel : le taux d’usage à domicile (soir et week-end) atteint 4,3 %, soit plus du double du taux observé en environnement professionnel et scolaire (2,15 %).

Un communiqué du CNLL commente cette dynamique et appelle à l’amplifier. La fin de support annoncée de Windows 10 en octobre 2025 agit comme un catalyseur, menaçant de transformer des millions d’ordinateurs parfaitement fonctionnels en déchets électroniques. Ce non-sens écologique et économique va encore pousser de nombreux utilisateurs à considérer des alternatives, et Linux, par sa capacité à redonner vie à ce matériel, apparaît comme l’un des principaux bénéficiaires potentiels de ce mouvement de fond.

Cette croissance, bien que significative, place cependant la France en deçà de la moyenne européenne (3,7 %), et loin derrière des pays comme la Finlande (7,1 %) ou l’Allemagne (5,2 %), comme le révèle le récent Indice Européen de Résilience Numérique (EDRIX). Cette communauté de plus de deux millions de personnes représente donc un levier de souveraineté numérique sous-exploité et une opportunité stratégique pour les entreprises et les pouvoirs publics.

Le Cyber Resilience Act ou CRA est un sujet qui a déjà été évoqué sur ces pages.

Il s’agit d’un projet de directive qui a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial cette semaine, le 19 juillet, au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien de change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.

Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?

Nous en discutons de manière plus détaillée dans cette dépêche, qui reprend, en très grande partie, un communiqué du CNLL.

Le 15 mai 2020, en séance plénière, le Parlement européen a approuvé plusieurs rapports de décharge budgétaire qui comprennent des amendements invitant les institutions de l’UE à utiliser principalement des solutions open source. En pratique, à partir de maintenant, toutes les solutions informatiques développées par et pour les institutions de l’UE devront d’abord être évaluées par rapport à la possibilité d’utiliser des solutions open source. Les évaluations devront ensuite être rapportées à la commission du contrôle budgétaire du Parlement sur une base annuelle, lors de la procédure de décharge.

Le texte exact et officiel de la résolution concernant la préférence pour le logiciel libre :

« [Le parlement] reconnaît la valeur ajoutée que les logiciels libres et ouverts peuvent apporter au Parlement ; souligne en particulier leur rôle dans l’amélioration de la transparence et dans la prévention des effets de blocage des fournisseurs ; reconnaît également leur potentiel en matière d’amélioration de la sécurité étant donné qu’ils permettent de relever et de corriger les faiblesses ; recommande vivement que tout logiciel développé pour l’institution soit rendu public sous licence de logiciel libre et ouvert »

Une autre résolution concernant les formats ouverts :

[Le parlement] reconnaît que la production de données publiques sous un format ouvert, lisible par machine, facilement accessible et réutilisable offre de grandes possibilités tant pour la transparence envers le public que pour l’innovation ; salue les initiatives en cours visant à créer et à convertir une partie de ses données qui revêtent un intérêt pour le public sous ce format ; souligne la nécessité d’adopter une approche plus conviviale, systématique et coordonnée pour de telles initiatives, dans le cadre d’une politique bien définie des données ouvertes du Parlement »

Merci au Parti pirate européen, et en particulier à l’eurodéputé tchèque et vice‑président du Parlement européen, Marcel Kolaja, qui sont à l’origine des amendements en question.

Précisons que ces résolutions ne concernent que les institutions de l’UE, et pas celles des États membres. Elles donnent néanmoins un signal fort dont on espère qu’il sera aussi suivi par les gouvernements nationaux, et en particulier le nôtre, qui s’est avéré très timide sur la promotion du logiciel libre depuis trois ans.

Le parlement italien a voté le 7 août 2012 une modification du code des marchés publics stipulant que :

L’acquisition de logiciel propriétaire n’est autorisée que dans le cas où une analyse comparative, technique et économique, aura démontré l’impossibilité d’adopter des solutions open source ou toute autre solution déjà développée (à un coût inférieur) au sein de l’administration publique.

Cette modification ne peut qu’encourager fortement l’utilisation des logiciels libres dans l’administration publique italienne, et devrait servir d’exemple au nouveau gouvernement français pour prendre une initiative similaire, 13 ans après la proposition de loi du sénateur Laffitte qui proposait, de manière encore plus radicale, l’interdiction du logiciel propriétaire à partir de 2002 dans l’administration française, et qui avait suscité 337 (!) commentaires sur LinuxFr.org.

La Commission européenne a récemment publié une feuille de route stratégique intitulée « Feuille de route thématique sur l’open source et contributions sur les principes de confiance communs » (« La voie du logiciel libre vers la souveraineté numérique et la compétitivité de l'Union européenne »), préparée par l'Alliance européenne pour les données industrielles, l'Edge et le Cloud (dont l'auteur de ces lignes fait partie). Ce document de 68 pages propose et détaille un plan d'action visant à positionner le logiciel libre comme un pilier central de la stratégie européenne pour renforcer son autonomie technologique face aux acteurs non-européens.

Le rapport part du constat de la dépendance de l'Europe dans les domaines du cloud, de l'edge et de l'IoT, et propose 70 actions concrètes pour y remédier. Parmi les mesures les plus significatives, on trouve notamment : la mise en place d'une politique d'achat public favorisant systématiquement les solutions libres européennes, la création d'un fonds de financement dédié aux projets critiques, et l'application de standards d'interopérabilité réellement ouverts pour contrer le verrouillage fournisseur (vendor lock-in).

Ce ne sont bien sûr que quelques propositions parmi les 70. Pour plus de détails, cliquez sur « lire la suite ».

Une pétition récemment déposée au Parlement européen propose de développer un système d’exploitation open source, baptisé « EU-Linux », destiné à équiper les administrations publiques des États membres. Selon son auteur, un citoyen autrichien anonyme, cette initiative vise à réduire la dépendance de l’Union européenne aux logiciels propriétaires, notamment ceux de Microsoft, tout en renforçant la souveraineté numérique, la conformité au RGPD et la transparence, et en contribuant au développement durable. Le texte de la pétition souligne également l'importance de promouvoir des solutions open source pour remplacer les logiciels propriétaires dans les tâches quotidiennes des administrations publiques.

Cette initiative, certes modeste, a le mérite de remettre sur la table les enjeux techniques et organisationnels du passage de grandes administrations publiques à Linux. Elle interroge aussi sur la manière dont l’Union européenne pourrait s’engager plus activement en faveur des logiciels libres dans ses infrastructures numériques: Comment garantir, par des choix techniques et de gouvernance, une collaboration efficace entre les institutions, les communautés open source et les acteurs industriels pour assurer la qualité, la pérennité et l’évolution de cette distribution ? Comment surmonter les résistances culturelles et organisationnelles au sein des administrations ?

En s’appuyant sur des précédents comme, par exemple, LiMux en Allemagne ou GendBuntu en France, ce projet offre une opportunité de tirer les leçons des expériences passées. La communauté open source est invitée à participer à ce débat pour proposer des solutions concrètes et faire de cette proposition un catalyseur pour une véritable souveraineté numérique européenne.

La Commission européenne a publié le 21 octobre sa stratégie sur le logiciel libre pour la période 2020-2023.

Dans un document en français de seize pages, on peut prendre connaissance de la vision de la Commission : « [exploiter] la puissance de transformation, d’innovation et de collaboration du code source ouvert en encourageant le partage et la réutilisation de solutions logicielles, de connaissances et d’expertise, afin de fournir de meilleurs services européens qui visent à réduire les coûts pour la société et l’enrichissent », de son lien avec la stratégie de la Commission en matière de souveraineté numérique (« il est encore temps pour parvenir à une souveraineté technologique dans certains domaines technologiques essentiels »), de sa volonté de partager et de contribuer (« Nous partageons notre code et rendons possible les contributions incidentes aux projets à code source ouvert associés. […] Nous nous efforçons d’être un membre actif de l’écosystème diversifié du code source ouvert. »), et enfin des leviers et actions concrets envisagés par la Commission, dont, par exemple :

• privilégier les solutions « open source » lorsqu’elles sont équivalentes en matière de fonctionnalités, de coût total et de cybersécurité (ce principe a déjà été adopté par la Commission en 2018 et discuté dans ce communiqué) ;
• adopter une culture de travail fondée sur les principes du code source ouvert, le partage et la réutilisation ;
• s’assurer que les codes utilisés et partagés sont exempts de failles en appliquant des tests de sécurité continus ;
• encourager des normes et spécifications ouvertes qui sont mises en œuvre et diffusées selon le principe du code source ouvert ;
• mettre en place un bureau de programme open source (OSPO, Open Source Program Office) qui agira en tant que facilitateur pour toutes les activités décrites dans la stratégie et le plan d’action ; il aidera les spécialistes des différents domaines concernés, encouragera les directions générales et contribuera à équilibrer les priorités internes et les activités externes.

Je viens de publier un livre blanc sur ce que je pense être la convergence inévitable du Big Data et du logiciel libre / open source. Après une définition du big data (« ensembles de données qui deviennent tellement gros qu'ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données », d'après Wikipedia) et de ses caractéristiques (les « 3 V » de Stonebraker ou les « 4 V » de Popescu), j'expose les raisons pour lesquels les principaux logiciels du domaine ont été mis en open source, et j'en fais un panorama.

Le même jour, le magazine InfoDSI publie un article sur le décollage du Big Data, citant une étude de marché d'IDC qui évalue le marché à 3.2 milliards de $US en 2010 et potentiellement presque 17 milliards de $US en 2015 et qui met en avant également le dynamisme des projets open source dans le domaine.

Pour en revenir à mon livre blanc, il s'agit de la première édition, forcément incomplète. Vos commentaires, qu'ils soient posté sur mon blog ou ici-même, seront pris en compte (s'ils sont pertinents ;-)).

NdM: le livre est sous licence CC BY-SA 3.0.

Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Le Sénat vient de publier un rapport d’information rédigé par Mme Catherine Morin-Desailly, intitulé “Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet”. Le logiciel libre y est présenté comme “une alternative intéressante pour l’Europe et la France […] face à la progression des systèmes fermés et des considérations marchandes dans l’univers de l’Internet”.

L'importance de la filière du logiciel libre en France y est notée, de nombreux arguments en faveur de l'utilisation du logiciel libre sont avancés, et plusieurs propositions sont faites pour "encourager les compétences nationales par une politique adaptée" :

• non brevetabilité des logiciels ;
• intégrer les logiciels libres dans les marchés publics ;
• imposer les standards ouverts ;
• développer les compétences autour des logiciels libres et des standards ouverts, en encourageant notamment l'usage des logiciels libres dans les enseignements informatiques.

Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.

Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :

La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».

Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:

(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.

Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.