Je vais citer une partie du rapport, que finalement j’ai lu, pour bien préciser une chose importante :
Le principe développé par le CRA est que seuls les produits distribués dans un cadre commercial
sont soumis aux exigences de cybersécurité du Règlement. L’activité commerciale est caractérisée
lorsqu’un produit est monétisé par son fabricant d’origine, mais il est tout à fait possible de
contribuer à un logiciel Open Source sans être dans un cadre commercial17. En droit européen, la
qualification d’une activité comme commerciale repose sur la notion d’activité économique, définie
par la Cour de justice de l’Union européenne (CJUE) comme « toute activité consistant à offrir des
biens ou des services sur un marché donné ». À ce titre, il apparaît que certaines activités d’acteurs
économiques (indépendamment de leur statut juridique et de leur mode de financement) peuvent être
considérées comme non commerciales, notamment s’il est possible de démontrer que :
la distribution est gratuite et sans objectif lucratif18 (c’est-à-dire sans contrepartie financière
directe et sans intention de profit) ;
le financement est assuré par des dons ou des subventions (pour les projets Open Source
soutenus par des contributions volontaires ou des subventions publiques sans revenus tirés
de la vente de produits ou services) ;
l’absence de services payants associés (services associés tels que le support technique, la
formation, l’hébergement ou la personnalisation).
En conclusion, il apparaît que de certaines pratiques d’acteurs de l’Open Source entrent dans les
situations qui ne sont pas nécessairement soumises aux nouvelles exigences du CRA compte tenu
de l’absence d’activité commerciale.
Ça veut dire que ça concerne pas beaucoup de logiciels libres. Ça va concerner nginx et mongodb/ferretdb par exemple, mais pas lighttpd ni pgmongo. En tout cas si j’ai bien compris ;-)
[^] # Re: Merci !
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . En réponse à la dépêche Guide CNLL/inno3 sur le Cyber Resilience Act : êtes-vous prêts pour les échéances de 2026 et 2027 ?. Évalué à 2.
Je vais citer une partie du rapport, que finalement j’ai lu, pour bien préciser une chose importante :
Ça veut dire que ça concerne pas beaucoup de logiciels libres. Ça va concerner nginx et mongodb/ferretdb par exemple, mais pas lighttpd ni pgmongo. En tout cas si j’ai bien compris ;-)