• [^] # Re: Merci !

    Posté par (site web personnel, Mastodon) . En réponse à la dépêche Guide CNLL/inno3 sur le Cyber Resilience Act : êtes-vous prêts pour les échéances de 2026 et 2027 ?. Évalué à 2.

    Je vais citer une partie du rapport, que finalement j’ai lu, pour bien préciser une chose importante :

    Le principe développé par le CRA est que seuls les produits distribués dans un cadre commercial
    sont soumis aux exigences de cybersécurité du Règlement. L’activité commerciale est caractérisée
    lorsqu’un produit est monétisé par son fabricant d’origine, mais il est tout à fait possible de
    contribuer à un logiciel Open Source sans être dans un cadre commercial17. En droit européen, la
    qualification d’une activité comme commerciale repose sur la notion d’activité économique, définie
    par la Cour de justice de l’Union européenne (CJUE) comme « toute activité consistant à offrir des
    biens ou des services sur un marché donné ». À ce titre, il apparaît que certaines activités d’acteurs
    économiques (indépendamment de leur statut juridique et de leur mode de financement) peuvent être
    considérées comme non commerciales, notamment s’il est possible de démontrer que :

    1. la distribution est gratuite et sans objectif lucratif18 (c’est-à-dire sans contrepartie financière directe et sans intention de profit) ;
    2. le financement est assuré par des dons ou des subventions (pour les projets Open Source soutenus par des contributions volontaires ou des subventions publiques sans revenus tirés de la vente de produits ou services) ;
    3. l’absence de services payants associés (services associés tels que le support technique, la formation, l’hébergement ou la personnalisation).

    En conclusion, il apparaît que de certaines pratiques d’acteurs de l’Open Source entrent dans les
    situations qui ne sont pas nécessairement soumises aux nouvelles exigences du CRA compte tenu
    de l’absence d’activité commerciale.

    Ça veut dire que ça concerne pas beaucoup de logiciels libres. Ça va concerner nginx et mongodb/ferretdb par exemple, mais pas lighttpd ni pgmongo. En tout cas si j’ai bien compris ;-)