Loi sur la cyberrésilience - Open source

Comment l'ARC aborde-t-elle les logiciels libres et open source?

L’ARC reconnaît que, pour favoriser le développement et le déploiement de logiciels libres et ouverts, il convient d’accorder une attention particulière à la nature des différents modèles de développement de logiciels distribués et développés dans le cadre de licences de logiciels libres et ouverts.  

C’est pourquoi seuls les logiciels libres et open source mis à disposition sur le marché, et donc fournis pour distribution ou utilisation dans le cadre d’une activité commerciale, relèvent du champ d’application de la législation sur la cyberrésilience. En particulier, la fourniture de produits comportant des éléments numériques pouvant être considérés comme des logiciels libres et ouverts qui ne sont pas monétisés par leurs fabricants ne devrait pas être considérée comme une activité commerciale. De plus, l'ARC ne s'applique pas aux développeurs qui contribuent avec du code source à des logiciels libres et ouverts qui ne sont pas sous leur responsabilité.

En outre, compte tenu de l’importance pour la cybersécurité de nombreux produits comportant des éléments numériques pouvant être considérés comme des logiciels libres et ouverts qui sont publiés, mais qui ne sont pas mis à disposition sur le marché au sens de l’ARC, la nouvelle catégorie juridique de gestionnaires de logiciels libres est introduite. Il s’agit de personnes morales qui apportent un soutien durable au développement de ces produits destinés à des activités commerciales et qui jouent un rôle essentiel pour assurer leur viabilité, et qui sont soumises à un régime réglementaire léger et sur mesure.

D'autres lignes directrices préciseront comment l'ARC s'applique aux logiciels libres et ouverts.

Quelles sont les principales obligations?  

Lorsqu’un fabricant met sur le marché un produit comportant des éléments numériques qui est un logiciel libre et open source, il est soumis aux obligations des fabricants.

Lorsqu’une personne morale ne les met pas sur le marché, mais fournit un soutien systématique et durable au développement de produits spécifiques comportant des éléments numériques, qualifiés de logiciels libres et ouverts et destinés à des activités commerciales, et assure la viabilité de ces produits, elle est soumise aux obligations des gestionnaires de logiciels libres.

les gestionnaires de logiciels libres sont soumis aux obligations énoncées à l’article 24, notamment la mise en place d’une politique de cybersécurité pour favoriser le développement et la gestion sécurisés des vulnérabilités; coopérer avec les autorités de surveillance du marché; signaler les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité des produits comportant des éléments numériques.  Conformément à l’article 64, paragraphe 10, les gestionnaires de logiciels libres ne sont pas soumis à des amendes administratives en cas d’infraction à l’ARC.

Organismes de coopération compétents

Les représentants des logiciels libres et open source sont membres du groupe d’experts sur la cybersécurité des produits comportant des éléments numériques (groupe d’experts CRA).

Documents de référence et liens

Foire aux questions sur la mise en œuvre de l'ARC

Ressources dans la communauté open source pour soutenir la mise en œuvre de l'ARC

Les communautés open source ont développé une gamme de ressources librement accessibles sur l'ARC. Une liste non exhaustive comprend:

• Le Groupe de travail ouvert sur la conformité réglementaire (GT ORC) sur l'ARC
• Les travaux de l’initiative Open Source sur les normes harmonisées
• Le cours OpenSSF sur l'ARC

La Commission n'est pas responsable de l'exactitude des informations fournies dans les liens ci-dessous; vous êtes invité à communiquer avec nous si vous souhaitez inscrire des initiatives ou des ressources sur l'ARC.