Walid Nouh : Bonjour et bienvenue sur Projets libres !. Je m’appelle Walid Nouh, je suis tombé dans la marmite du logiciel libre il y a plus de 20 ans. Que vous soyez libriste confirmé ou néophyte, venez découvrir avec moi les portraits des femmes et des hommes qui font du logiciel libre : communautés, modèles économiques, contributions, on vous dit tout.
Bonjour et bienvenue sur Projets libres !. Nous sommes le 5 juillet [2023] et aujourd’hui nous allons parler du métier de juriste spécialisé en logiciel libre. Quand je pense au terme de « juriste spécialisé en logiciel libre », je pense tout de suite aux licences, mais aussi à certains procès médiatiques qu’on a pu avoir ou à d’autres procès à propos de violations de licences. Pourtant, ce n’est qu’une petite partie de ce que les juristes font.
Pour parler de ce métier, j’ai invité Benjamin Jean, un acteur français engagé depuis très longtemps dans le logiciel libre et fondateur du cabinet Inno3 [1]. Benjamin va nous présenter les différentes actions qu’il mène au quotidien.
Benjamin, merci beaucoup d’être là, j’espère que tu vas bien.
Benjamin Jean : Bonjour. Très bien, merci beaucoup. Ravi d’être avec toi.
Walid Nouh : Est-ce que tu pourrais nous expliquer ton parcours et quand est-ce que tu as découvert le logiciel libre ?
Benjamin Jean : Benjamin Jean, je suis juriste de formation, spécialisé en propriété intellectuelle. Dans la propriété intellectuelle avec deux thématiques : à la fois tout ce qui était appliqué à la musique, musique jazz, tout ce qui était improvisation et travail collectif dans la musique et aussi tout ce qui était lié au développement logiciel pour en avoir fait moi-même un peu auparavant. Dès la fin de mes études, j’ai été pris dans une société de développement en logiciel libre pour tout dire, sachant que j’avais fait à l’époque mon mémoire sur le sujet de la compatibilité des licences open source, donc déjà assez en immersion. Voilà pour ce qui me concerne.
Aujourd’hui, je suis fondateur du cabinet Inno3 [1] qui est une structure un peu hybride. Nous sommes dix aujourd’hui. Dans le cabinet, il y a trois juristes seulement, dont un thésard, un doctorant et le reste ce sont des compétences qui sont soit ingénieur logiciel, soit designer, soit plus orientées socio, usages. On accompagne surtout à la fois sur l’acculturation, la compréhension de la dimension juridique des licences dans laquelle s’embarquent les acteurs qui utilisent ou qui diffusent des logiciels libres et open source ; toute la dimension communautaire aussi, comment organiser la collaboration au sein d’une communauté diversifiée, les acteurs publics/privés à l’international.
Walid Nouh : Tu nous dis que tu as un parcours un peu technique À quel moment, dans ton parcours, as-tu croisé le logiciel libre ?
Benjamin Jean : À partir du moment où on développe. C’était il n’y a pas si longtemps mais quand même, en 2001 je pense, mon projet de bac c’était développer un moteur de recherche. J’ai utilisé massivement de l’open source, en fait c’était la base.
De toute façon, pour développer, il fallait utiliser du logiciel libre et open source. À l’époque, je n’avais pas la culture juridique que j’ai acquise ensuite, qui m’a permis de me spécialiser non pas sur le développement, je ne développe plus du tout, mais sur la dimension juridique qui lui est associée. Au-delà du juridique, tous les outils qui permettent cet interfaçage entre plein d’acteurs partout dans le monde.
Walid Nouh : Toi qui es juriste, comment définis-tu une licence ?
Benjamin Jean : Il y a plusieurs manières d’y répondre. La notion même de licence n’est pas quelque chose qui est défini par la loi pour la partie droit d’auteur, c’est plus une vision, c’est la terminologie qui est utilisée aux US.
La licence c’est une offre de contracter dans le sens où l’auteur, ou les auteurs d’un logiciel, associent à leur logiciel une offre en disant « si jamais vous voulez l’utiliser, alors vous devez respecter les conditions qui sont associées ». C’est donc une offre de contracter par laquelle l’auteur donne, en tout cas partage de manière non exclusive – c’est-à-dire qu’il partage ses droits, mais il les garde aussi pour lui, il ne s’en dépossède pas – l’ensemble de ses droits de propriété intellectuelle associés aux contributions qu’il a pu réaliser pour le monde entier, pour toute la durée des droits et de manière gratuite, c’est aussi un point qui est important.
Celui qui veut utiliser le logiciel accède au logiciel, lit le contrat, l’accepte et, à partir de là, il peut bénéficier des droits qui sont dans la licence, dès lors qu’il respecte les conditions assorties au bénéfice de ces droits. C’est là qu’il y a parfois des mauvais usages : si on ne respecte pas les conditions, alors la licence cesse et on devient contrefacteur. Très récemment, il y a eu un procès perdu par Orange sur le sujet, peu importe qui l’a perdu, un procès qui a rappelé que le simple fait de ne pas respecter la licence ne permet pas de prétendre au bénéfice des autres parties de la licence, donc on retombe sur la contrefaçon [2].
Walid Nouh : Donc, au départ, tu as commencé par développer, ensuite tu as fait des études de droit. Comment as-tu fait pour t’intégrer dans ce travail législatif autour des licences ?
Benjamin Jean : C’est toujours pareil, ce sont des rencontres, ce sont des personnes avec qui j’ai été amené à monter des projets. Au début, l’implication était surtout dans les communautés, type Framasoft [3] et j’en fais encore partie mais de loin, je suis, de loin, le plus inactif de l’association. On avait créé un sous-projet, qui était aussi une association qui s’appelait Veni, Vidi, Libri [4], qui faisait ce travail de répondre aux demandes des différents projets qui butaient sur la question des licences, sur la question des contrats de CLA [Contributor License Agreement], les contrats de contribution, tout ce qui était un peu trop juridique pour eux et qui nous semblait facile d’une part à résoudre et ensuite à documenter pour permettre à d’autres de trouver des réponses. C’est l’objet de Veni, Vidi, Libri.
Ce qui m’a intéressé et qui répond aussi à une partie de ce que tu évoquais tout à l’heure quant au processus de création de licence en réalisation, c’est justement qu’il y avait très peu d’acteurs qui travaillaient sur ces sujets. Quand j’ai commencé à m’intéresser à analyser les licences libres et open source, ce qui était compliqué c’est qu’il y avait très peu de littérature donc, globalement, c’était lire deux/trois licences par soir, en tirer une analyse et, d’analyse en analyse, essayer d’en sortir une matrice et une grille de lecture. Aujourd’hui, ce sont des choses qui sont beaucoup plus partagées. D’ailleurs, c’est très facile, d’une licence, de retrouver la structure qu’on peut ensuite comparer à une autre licence.
À l’époque il n’y avait pas tout cela, donc peu de personnes encore impliquées et une communauté qui était assez réduite, mais qui s’entraidait beaucoup, qui cherchait à partager les solutions juridiques qui étaient trouvées par les unes ou les autres.
Il y avait aussi une compréhension du métier du droit. Je ne sais pas si c’est bien formulé, mais beaucoup de licences libres et open source ont été rédigées par des non juristes, des personnes qui n’étaient pas du tout du métier du droit ; c’est plutôt une bonne chose parce que ça veut dire que ça correspondait à leur besoin. En revanche, de la même manière que lorsqu’un juriste développe un logiciel, il y a quelques imperfections quant à la manière de faire.
Ensuite, il y a eu ces rencontres entre juristes et développeurs, hackers, communautés du logiciel libre, dans lesquelles les juristes ont commencé à être plus impliqués et à apporter des rédactions de contrats qui étaient à la fois plus traditionnelles au sens des usages qu’il y avait dans le milieu juridique, mais aussi, peut-être, plus pertinentes, peut-être plus adaptées aux besoins des projets d’un point de vue juridique.
Le travail de rédaction d’une licence est quelque chose qui n’arrive pas tous les jours non plus, je pense que ce n’est qu’une partie du rôle du juriste dans la communauté libre et open source. Ce travail se fait de plus en plus, maintenant, en concertation entre juristes, entre communautés concernées et ça participe aussi à l’engagement des acteurs.
Si une licence n’est pas utilisée elle ne sert pas à grand-chose. Aujourd’hui plein de licences ne sont plus utilisées et, finalement, sont un peu reléguées au second plan. Parfois on voit des projets qui les utilisent et, quand c’est le cas, on regrette un peu parce qu’on sait que derrière il n’y a pas vraiment de doctrine au sens de possibilité d’interpréter les imprécisions de la licence, il n’y a pas de suivi : si jamais on veut contacter les auteurs de la licence ils ne sont pas disponibles, ils n’ont a pas de moyens dédiés. Il y a quand même un rôle de vision, un projecteur qui est mis sur quelques licences seulement. C’est aussi ce que fait de plus en plus l’Open Source Initiative [5], c’est-à-dire essayer de lutter contre la prolifération de licences et aider les développeurs et les communautés à choisir les licences qui répondent le mieux à leurs projets.
Walid Nouh : Est-ce que c’est ce que vous appelez la standardisation ? En fait, j’ai découvert qu’au début du logiciel libre il y avait quelques licences mais rien de bien normalisé et que, à un moment, il y a eu un besoin de standardiser les licences pour pouvoir passer à l’échelle et avoir des choses plus compréhensibles.
Benjamin Jean : Ça c’est fait, mais pas par les juristes. Tu sais que le droit c’est beaucoup de bon sens. À l’époque, au tout début des licences libres et open source, ce n’étaient que des licences projet par projet. On avait la GNU Emacs Public License, la GNU General Public License et j’en passe. Un jour ils se sont dit « si on veut que d’autres projets puissent réutiliser la licence et qu’on puisse plus facilement partager du code d’un projet à l’autre, il faut qu’on ait une licence générique ». La GNU General Public License [6], la GPL, c’est cette idée de « je sors d’un projet spécifique pour en faire une licence qui peut être utilisée sur d’autres projets ». Les premiers projets qui l’ont utilisée c’est Linux, c’est Perl [7] . Ça a montré cet intérêt pour d’autres projets que ceux de la Free Software Foundation [8] à l’époque, d’avoir des outils génériques susceptibles d’être utilisés, parce qu’un peu agnostiques, à l’époque c’était considéré comme tel. Pour moi, le succès des licences libres et open source c’est justement d’être devenues des standards.
Les licences sont des interfaces juridiques — je ne sais pas si, tout à l’heure, j’ai utilisé le terme interface. Les licences c’est vraiment ce qui permet à des humains ou à des organisations de travailler les uns, les unes avec les autres, donc, pour que ça marche, il faut qu’elles soient standardisées, c’est comme du code. Le succès des licences libres et open source c’est vraiment ça : où qu’on soit dans le monde, telle version de la MIT c’est la même version [9], pour utiliser une licence complètement libre ; la licence Apache [10] 2.0 c’est la même version, on y associe des effets qui sont quasiment les mêmes, et c’est pour cela qu’on peut travailler ensemble.
Walid Nouh : Il y a donc vraiment beaucoup de licences. Quel est l’intérêt d’avoir des licences plutôt à l’échelle française ou à l’échelle européenne ?, parce que là on parle de MIT, on parle licence Apache qui sont des licences qui ont été rédigées plutôt par des Américains.
Benjamin Jean : Oui, complètement la majorité des licences sont américaines, de toute façon. Ça peut s’expliquer, je pourrais passer du temps sur l’explication.
La question du besoin sous-jacent à la rédaction de nouvelles licences est, pour moi, cruciale, mais ce n’est pas si automatique que ça. Ça fait peut-être partie des biais des juristes : les juristes ont souvent tendance, lorsqu’on leur demande de rédiger un contrat ou de modifier, d’amender un contrat, de repartir de zéro, parce que, simplement, ils contrôlent mieux, ça répond à leurs pratiques, à leurs usages, donc ils sont en confiance.
Je pense qu’il y a quand même pas mal de licences libres et open source qui, au début, ont été rédigées parce ça sécurisait. Et puis c’était certainement aussi l’une des raisons pour lesquelles l’open source, au début, a eu tant d’engouement de la part des sociétés : plein de sociétés se sont dit « génial, je vais créer ma propre licence ». À l’époque, juste après la création de l’Open Source Initiative, dans les années 2000, on a eu la définition, l’open source definition, il y a donc plein de nouvelles licences, notamment la Mozilla Public License [11], qui ont pris les modèles de licences existantes et les ont un peu modifiés. On s’est retrouvé avec une prolifération : en cinq/six ans il y a eu des centaines de nouvelles licences. Après, heureusement, on est revenu en arrière, on a limité le nombre de licences, mais je pense qu’à l’époque c’était une bonne chose pour que des sociétés qui n’étaient pas en empruntes du Libre se sentent en confiance en se disant « on l’a adapté ; on avait ce besoin, on l’a fait. »
La question des licences françaises, en langue française — les licences CeCILL [12] pour ne pas les citer, ce sont celles du CNRS/Inria — ont été rédigées par des centres de recherche français parce qu’ils considéraient, c’est une vision juste et très juridique, que les licences open source ne répondaient pas au formalisme et aux obligations auxquelles ils étaient assujettis. Créer ces licences permettait de lever un frein à l’open source, c’était donc une réponse intéressante de ce point de vue-là, en disant « on peut diffuser sous licence CeCILL, en plus elle compatible avec la GPL, donc plus tard, si les gens veulent fusionner, reprendre une partie de notre code pour développer, réutiliser dans certains autres projets, ils pourront le faire. »
La licence EUPL [13] c’est un peu différent. C’est l’Europe qui a dit « de part mes statuts, je ne peux pas m’engager comme un quidam ». L’Europe ne peut pas se retrouver devant le tribunal, je dis n’importe quoi, de Caroline du Sud, parce qu’il y a eu contrefaçon. Il y a donc une posture qui était de dire « il faut nécessairement qu’on ait des contrats qui soient adaptés à la spécificité qu’est l’Europe au vu du monde entier ». Donc nouvelle licence qui n’est pas une licence inintéressante, qui est utilisée, aujourd’hui, essentiellement par l’Europe pour ses propres programmes, qui n’a pas vocation à être utilisée par d’autres projets. En fait, tel qu’elle a été rédigée, c’est une licence qui permet surtout à d’autres projets de reprendre du code qui a été développé sous licence EUPL, mais ce n’est pas une licence qui vise à centraliser des développements de tiers sur ses propres projets.
Les licences CeCILL [11] , en France, c’est un peu différent. Je pense qu’à l’époque il y avait ce besoin, aujourd’hui il n’y a plus ce besoin, les gens utilisent des licences libres et open source classiques, n’ont plus besoin d’utiliser les licences CeCILL pour être rassurés. Au contraire, lorsque j’en discute avec des centres de recherche, j’ai plutôt tendance à leur déconseiller d’utiliser les licences CeCILL parce que, en fait – ça repend ce que j’évoquais tout à l’heure – ils se retrouvent sans support à l’interne voire parfois avec des désaccords sur la manière d’interpréter la licence. Je pense que si on utilise une licence libre et open source, la majorité du temps c’est pour se simplifier la vie. Tout ce qui complique la collaboration, l’interprétation, qui amène à des discussions, des négociations supplémentaires, c’est plutôt à éviter.
Walid Nouh : En fonction des licences utilisées, ça peut être plus ou moins compliqué, pour un développeur, de contribuer à un projet. Je suppose que si tu es contributeur étranger sur un projet qui utilise une licence CeCILl [11] , ça doit être plus compliqué.
Benjamin Jean : Disons que ça fait très cocorico, ça affiche le drapeau français. Ceux qui connaissent les licences vont dire « de toute façon elle est compatible avec l’AGPL, donc je n’ai même pas besoin de la lire, je vérifie la licence AGPL ». Ceux qui ne connaissent pas la licence, qui vont la lire pour essayer de la comprendre, c’est compliqué. Si on lit l’ensemble des licences CeCILl, pour moi il y a des vrais sujets, ce n’est pas aussi fluide et clair que ça devrait l’être.
Walid Nouh : Tu as évoqué le fait qu’au départ, quand tu es arrivé, vous étiez une petite communauté de juristes, que vous parliez beaucoup. Que représente la communauté française des juristes dans laquelle tu travailles ? Je suppose que ce n’est pas une communauté très grande, que vous vous connaissez tous.
Benjamin Jean : Oui. Il n’y a pas beaucoup de juristes qui travaillent sur ces sujets, d’ailleurs il y en a pas mal qui sont aussi passés par le cabinet, je pense qu’on alimente par les stages, par les personnes qui passent chez nous, cette formation, cette acculturation au Libre et ensuite c’est maintenu.
Dire combien de juristes sont aujourd’hui mobilisés sur ces sujets, ce n’est pas facile. Je pense qu’en France, globalement, ce sont surtout les juristes des entreprises soit qui débloquent des logiciels libres et open source, qui ont cette sensibilité, soit, de plus en plus, des grands utilisateurs de logiciels libres et open source qui sont obligés de monter en compétences sur la partie open source compliance, donc mise en conformité de leurs logiciels au regard des licences des composants open source qu’ils utilisent. Ça vient doucement. C’est une manière de le compter. Tous les ans on donne de la formation et tous les ans, depuis dix ans, je pense qu’on forme une vingtaine de personnes. Nous ne sommes pas les seuls à donner une formation sur ces aspects-là mais presque, je pense que c’est assez représentatif des personnes concernées.
Au-delà des juristes, au sein des entreprises, il y a des avocats. Il n’y a pas de cabinets d’avocat qui ne font que ça, qui ne sont concentrés que sur l’open source. En revanche, il y a quand même pas mal de cabinets, plutôt orientés numérique, qui commencent à montrer en compétences sur ces sujets parce qu’ils ont assez de clients pour maintenir leur niveau d’expertise.
À l’échelle européenne, il y a un réseau de juristes animé par la Free Software Foundation Europe [14]. C’est très ouvert, d’ailleurs il y a plein de juristes américains. Aujourd’hui nous sommes plus de 500 ; à l’époque, il y a plus dix ans, nous étions une dizaine, maintenant c’est en plusieurs centaines, d’ailleurs je pense que nous sommes bien plus de 500 maintenant. Et là, ce sont des échanges entre juristes pour pouvoir mettre sur la table un peu les sujets du moment, parfois aussi identifier les ressources clefs pour anticiper les conflits parce qu’il y en a, ça arrive. C’est aussi une autre manière de voir que la communauté s’est quand même bien diversifiée avec des projets comme SPDX [15] qui sont technico-juridiques. SPDX a deux faces. L’une des faces c’est de pouvoir avoir un identifiant unique par licence et la seconde c’est de pouvoir avoir un fichier dans un format qui concentre toutes les informations, les métadonnées d’un package d’un projet global. Il y a plein de juristes de plein d’organisations aussi. On voit quand même que la compétence est de plus en plus partagée .
Walid Nouh : Comment vous parlez-vous dans la communauté ? Est-ce que vous avez des meetups comme dans le logiciel libre ? On peut se retrouver par exemple au FOSDEM [Free and Open Source Software Developers’ European Meeting] et faire nos réunions d’équipe. Comment collaborez-vous entre juristes de différents pays ?
Benjamin Jean : Je dirais que ça se fait surtout par des évènements. Il y a une liste dont je parlais tout à l’heure, une liste de diffusion de la FSFE. Sinon, ce sont plus des évènements que la FSFE organise. On organise aussi un événement annuel qui s’appelle EOLE, European & Free Software Law Event [16]. C’est un exemple. L’intérêt de ce type d’événement c’est de pouvoir se rencontrer, échanger, mettre un peu à jour nos pratiques respectives.
EOLE, pour cette année, est un peu lien avec ce que tu viens d’évoquer : il y a un événement final en présentiel, à Paris, en décembre. Mais on organise quelques webinaires, même des workshops, plus des ateliers de travail. J’ai animé le premier, le deuxième était animé par Malcolm Bain, qui est avocat espagnol très impliqué sur ces sujets, il y avait une vingtaine de personnes. À chaque fois ce sont vraiment des juristes qui partagent tout ce qu’ils peuvent partager, à la fois sur les besoins et sur les réponses apportées de leur côté. Il y a plus de besoins que de réponses aujourd’hui mais c’est le but, justement, de ce partage.
Walid Nouh : Tout à l’heure tu parlais d’une licence et de faire des clarifications sur des licences archiconnues comme une GPLv3, une AGPLv3 [17] . Est-ce qu’il y a toujours des choses à clarifier ou alors est-ce que c’est plutôt sur des licences plus récentes ou moins utilisées ?
Benjamin Jean : Il reste toujours des zones d’ombre sur des licences de type GPL, mais qui sont des zones d’ombre volontaires. Je pense qu’il n’y a pas forcément de consensus dans la communauté des juristes là-dessus, mais la licence est aussi un instrument de négo et ça peut être utilisé pour tordre un peu le bras de ceux qui ne voudraient pas partager. Il y a toujours cet enjeu. Tout le monde, autour de la table, n’a pas les mêmes objectifs. Il faut être conscient du fait qu’on ne soit pas tout le temps d’accord, de manière à se ménager quelques armes en cas de désaccord.
Dans les licences type GPL, il y a des choses qui sont interprétées notamment dans les FAQ de la FSE, la Free Software Foundation, de manière ultra-extensible ou alors de manière assez biaisée. Quand on lit la FAQ, les questions sont posées de manière à ce que les réponses soient évidentes. Pour autant, parfois, les questions ne sont pas aussi simples. Cette dimension d’interprétation des licences est pour moi un enjeu. On essaye d’accompagner dans une maximisation, qu’il y ait de plus de plus de personnes qui utilisent, qui rejoignent les communautés open source. Pour nous ça passe par acculturation et par gommer toutes les zones d’ombre.
Sur la partie interprétation on a lancé un projet, je n’en ai parlé tout à l’heure, mais ça rejoint un peu ce que j’évoquais, qui s’appelle Hermine [17]. C’est à la fois un logiciel de mise en conformité de l’open source, en interne, des organisations, notamment d’un point de vue des aspects juridiques, et aussi une base de données ouverte, sous licence open data, d’interprétation, en tout cas de compréhension liée aux licences. Le but c’est de faire ce travail : plutôt que d’avoir chacun une lecture différente d’une même licence ou des lectures convergentes, on ne le sait même pas, d’avoir un standard, une lecture un peu consensuelle de cette licence en se disant qu’ensuite chacun peut installer chez lui le logiciel et modifier la base de données, mais qu’on parte d’un point de départ pour faciliter le consensus et aussi pour mieux gérer les risques.
Je pense qu’il reste encore un effort d’interprétation, mais on commence à trouver des solutions qui parfois sont techniques. L’exemple d’Hermine [16] c’est technique même si ça, d’ailleurs,ça repose sur une communauté de juristes qui l’alimente et c’est une bonne chose. L’intérêt de la technique c’est qu’on a des canaux, la forme est là, on est donc obligé de se mettre d’accord sur ce qui passe dans ces tuyaux. C’est une bonne chose parce que ça simplifie les réponses en interne et aussi en externe. L’un des enjeux de l’open source c’est aussi la collaboration qu’on va avoir avec les autres acteurs de la Supply Chain, l’idée c’est qu’on soit à peu près en phase sur les réponses qu’on peut apporter à chaque compréhension des licences qu’on utilise globalement.
Walid Nouh : Imaginons que je suis quelqu’un qui veut faire du logiciel libre, je vais déposer mon code sur une plateforme, il va falloir que je choisisse une licence. Si je ne suis pas un expert, quelles sont les grandes choses auxquelles il faut que je fasse attention ? Et où est-ce que je peux trouver de la documention pour en savoir plus sur ces sujets-là ?
Benjamin Jean : Pour répondre au premier point, lorsqu’on veut diffuser sous licence libre ou open source, la première question c’est : est-ce qu’on est en capacité de le faire ?, donc déjà savoir quelles sont les contraintes qu’on a en interne, au sein de l’organisation, d’un part. On peut avoir des contrats avec des tiers, peu importe, il peut y avoir des engagements contradictoires, et au regard du projet aussi, notamment si le projet utilise des dépendances qui sont soumises à des licences contraignantes, qu’elles quelles soient, ça va conditionner le choix qu’on peut faire in fine de sa propre licence.
Sur l’organisation et sur le projet d’autres facteurs sont en prendre en compte. Je dis n’importe quoi, « je suis une administration française, le nombre de licences, le choix que je peux faire en termes de diffusion sous licence libre est limité » ; il y a une quinzaine de licences qui peuvent être utilisées par les administrations françaises et pas d’autres, il y a une liste par décret du Premier ministre. Très bien, il faut le prendre en compte.
Le projet lui-même est un projet qui fonctionne en SaaS [Software as a Service], pareil, il faut prendre en compte les spécificités liées au projet parce toutes les licences n’intègrent pas ces typologies d’exploitation.
Une fois qu’on a une vision un peu claire de ce que sont nos besoins et aussi nos contraintes internes, la manière dont on procède quand on veut rationaliser un peu le choix d’une licence c’est de lister nos objectifs : qu’est-ce qui est important pour nous ?, la simplicité, le côté international, la modularité, la compatibilité avec les autres projets. Donc on liste quelques éléments comme cela, il faut vraiment le faire sur une feuille blanche ce qui permet d’objectiver pourquoi on choisirait telle licence ou telle autre. Une fois qu’on l’a fait, c’est assez facile. Il y a énormément de licences libres et open source, on l’a dit tout à l’heure, mais, globalement, licences les plus utilisées sont une quinzaine, 10/15 licences. On peut donc prendre les licences les plus connues, les plus utilisées et, juste sur la base des critères qu’on a établis avant, déterminer celles qui répondent au besoin.
C’est assez facile une fois qu’on a fait cet exercice, ça ne prend vraiment pas beaucoup de temps, de converger sur le choix de l’Affero GPL [18] ou le choix de la licence Apache.
C’est un peu plus compliqué quand on est dans un grand groupe, qu’il y a plein de personnes avec plein de besoins différents parfois incompatibles, mais ça peut se concilier.
À l’aune des critères qui sont importants pour nous une fois qu’on a tout posé à plat, il est intéressant de constater, de voir que parfois deux licences tout à fait différentes peuvent être tout à fait pertinentes pour le même projet. C’est un choix, il faut qu’on choisisse : soit on reste, j’ai un exemple en tête, sur de l’Affero GPL parce qu’on veut vraiment orienter vers la dimension populaire du projet, s’assurer que toutes les contributions soient bien reversées, repartagées et ainsi de suite ; soit on choisit la licence Apache parce qu’on se dit que finalement ça va maximiser les utilisations et, globalement, on sait que les acteurs vont effectivement reverser, ou alors on met en place d’autres dispositifs qui ne sont pas forcément juridiques pour qu’ils soient incités à redistribuer les contributions qu’ils apportent au projet. Tout ça se comprend globalement.
Où est-ce qu’on trouve des ressources sur ces sujets. Il y a Veni, Vidi, Libri [4] , c’était l’un des objectifs du site qui aujourd’hui n’est plus en ligne, c’est donc problématique.
Sur Wikipédia on trouve pas mal d’infos. Il faut quand même dire qu’à l’époque, quand on avait lancé Veni, Vidi, Libri, Wikipédia était très incomplet sur ces sujets, ce n’est plus le cas, maintenant il y a énormément de ressources.
Ensuite des méthodologies un peu éprouvées. On avait partagé des choses, mais plus sous forme d’articles. Je trouve que ce n’est peut-être pas assez simple, aujourd’hui, de s’emparer de ces différentes étapes qui mènent au choix de la licence. Ça me fait penser, ça vient juste comme ça, que ça mériterait peut-être d’avoir une sorte de matérialisation, de mise en forme juste sur une page de tout ce que je viens de dire pour clarifier : je dois choisir ma licence, voilà les différentes étapes et ce vers quoi ça peut me mener. On le fait sur d’autres projets. On est en train de travail sur ce qu’on appelle un commons model canvas, une sorte de Business Model Canvas adapté à la mise en place d’une logique de communs au sein d’une communauté, donc projet de ressources ouvertes qui soient gérées et maintenues par ses utilisateurs. Ce sont des choses où il y a un peu de jus de cerveau au début, mais une fois qu’on l’a mis on peut le mettre sur du A4 ou du A3 et c’est assez encapacitant, les personnes peuvent assez facilement ensuite s’en saisir.
Walid Nouh : Donc ce serait à ma portée ?
Benjamin Jean : Ce serait utile.
Walid Nouh : Quand je fais des interviews de projets libres, à chaque fois je demande quelle licence ils ont choisi et pourquoi. Les réponses sont assez intéressantes.
Si je prends mon exemple, dans les logiciels que j’utilise on va souvent trouver deux licences qui sont assez opposées. Il y a en a beaucoup qui vont choisir des licences AGPL [17] parce qu’ils veulent être sûrs que toutes les contributions seront bien reversées. À l’opposé, il y a pas mal de projets qui utilisent une licence MIT. J’ai toujours eu un peu un problème avec ça parce que, pour moi, la licence MIT [8] c’est, en gros, on te fournit le code source et après tu fais ce que tu veux avec, tu peux l’inclure dans un logiciel propriétaire. Qu’est-ce qui fait qu’on a envie de choisir une licence MIT ?
Benjamin Jean : Sur l’exemple MIT [8] ou Apache, mais MIT, je pense que justement ce sont vraiment les projets qui sont dans une recherche de la simplicité à outrance. En fait, on préfère mettre de côté tout ce qui serait un peu trop juridique, trop compliqué et, finalement, ce sont des projets qui considèrent que s’il n’y a pas de contributions ce n’est pas très grave et si elles doivent venir elles viendront. Il faut qu’il n’y ait aucun frein à l’utilisation.
La MIT c’est parce qu’on veut de la simplicité à outrance, on veut que la lecture se fasse, ce sont cinq lignes.
La licence Apache, c’est quand on est dans une logique où on veut favoriser les usages, mais on veut quand même sécuriser juridiquement. Pour moi, elle est assez connue, c’est justement un standard. Les gens ne vont pas aller lire la licence Apache à chaque fois qu’ils la voient, ils comprennent que c’est une licence Apache et ça leur suffit.
L’avantage MIT ou Apache, encore plus Apache, c’est d’un point de vue communauté plus industrielle, ça va être un gros plus à la contribution parce qu’en fait ça les rassure.
MIT, c’est peut-être plus des communautés, d’ailleurs dans la recherche c’est très utilisé. Là c’est plus, je dirais, une affinité, ce n’est pas personnel, c’est juste que les chercheurs ont l’habitude, donc sont à l’aise avec des projets sous licence MIT. Quand ils voient d’autres projets ça peut les rebuter, simplement. S’ils doivent les comparer à un autre projet qui ressemble mais qui est sous licence MIT, ils vont favoriser le projet MIT.
Il y a ce côté un peu communication par l’utilisation des licences open source qui peut être important. C’est ma première réponse.
La question de la manière dont on peut engager, au-delà de la dimension du choix de la licence, je pense que c’est toute la question des outils qu’on met à disposition de la communauté, de la manière dont on anime dans le sens où on fournit vraiment tous les process, les règles et le cadre pour que les acteurs se sentent en confiance, puissent facilement contribuer, partager leurs contributions sur le projet sans se sentir complètement stupides parce que ce sont effectivement leurs débuts. Ce sont plus ces dispositifs-là qui vont être utiles.
Ça c’est pour des projets qui sont assez communautaires, ouverts et plus avec des individus.
Pour des projets qui vont concerner les organisations, on va penser plus des partenariats ou des logiques de distribution aussi, disant « finalement vous avez un intérêt à participer à ce projet-là parce que vous avez beaucoup de mal avec votre business, il y a donc d’autres contrats à côté qui viennent sécuriser l’ensemble ».
Un point important. On parle des licences, mais, dans un projet, il y a d’autres aspects qui viennent sécuriser, je pense notamment aux DCO [19]. Les DCO ce sont ces petits documents, je ne sais pas quel terme utiliser en français, attestation de paternité, globalement c’est juste une déclaration de l’auteur qui dit qu’il est conscient que ce qu’il met dans ce projet c’est diffusé selon la licence du projet, déjà il indique que sa contribution sera bien diffusée sous licence libre, et qui atteste qu’il reconnaît qu’il a bien les droits sur ce qu’il contribue et, s’il ne les a pas, il a eu l’autorisation des personnes concernées.
Ce sont des choses qu’on voit quasiment systématiquement aujourd’hui, qui sont dans une logique complètement horizontale dans le sens où on ne cherche pas à centraliser les droits, chacun reste titulaire de ses propres droits, mais qui permettent de gommer d’autres risques, de réduire d’autres risques qu’on a dans l’open source qui est qu’on utilise des contributions qui sont amenées par des personnes qu’on ne connaît pas et si la personne amène n’importe quoi on est responsable. Des procès ont été perdus là-dessus, derrière il y a une société sinon ça ne sert à rien d’attaquer. Là c’était une société qui avait un projet communautaire et qui, automatiquement, mettait sur son site la version sans aucune validation de l’ensemble des contributions qui étaient apportées au projet. Quelqu’un, à mon avis de bonne foi, a pris du code qui ne lui appartenait pas, l’a contribué au projet. La société qui publiait le code s’est retrouvée en situation de contrefaçon puisqu’elle publiait le code d’un tiers sans son autorisation et elle s’est fait condamner.
L’enjeu c’est comment on peut réduire ce type de risque dans un projet communautaire parce qu’on a intérêt à ce que les gens contribuent, mais il ne faut pas non plus que ça génère un risque trop important pour l’organisation.
Walid Nouh : Est-ce qu’on sait s’il y a des licences pour lesquelles il y a plus de procès ou de procédures que d’autres ?
Benjamin Jean : Oui. Les licences copyleft, donc avec obligation de partage à l’identique, telles que l’AGPL [17] , la plus connue, l’Affero GPL, la MPL [Mozilla Public License] [1] , l’EUPL [10] , il y en a plein. Les licences copyleft ont des obligations qui sont assez contraignantes parce qu’elles imposent ce partage des évolutions du projet, avec parfois des zones grises : on ne sait pas exactement quel est le périmètre de ce qui doit être partagé, c’est là où il y a parfois justement ambiguïté, donc conflits.
Ces licences, par ces obligations particulières, vont amener à plus de procès, parce que, lorsque ces obligations ne sont pas respectées, ceux qui ont partagé le code, les auteurs, les titulaires de droits ont tendance à réagir assez violemment en disant « c’est la principale condition qu’on associe à la réutilisation de notre code, si vous ne le faites pas si vous êtes contrefacteur. On vous avertit une fois, la deuxième fois on tapera très fort ». Je pense que ce sont plutôt ces licences-là.
Maintenant, pour réutiliser ce que je viens de dire, il y a quand même beaucoup de procès qui concernent uniquement un non-respect du formalisme. C’est-à-dire que ce sont des personnes qui se sont dit « je ne partage pas le code source du projet que je réutilise parce que, de toute façon, il est disponible sur GitHub à tel endroit », donc elles fournissent juste le lien. Oui, mais la licence vous demande de fournir le code source, pas le lien. Les sociétés maintiennent leur positionnement, le juge lit la licence, considère qu’effectivement elles auraient dû faire plus que ça et condamnent la société pour non-respect de la licence. C’est un peu bête parce que si elles avaient été un peu à l’écoute de la communauté et si elles avaient mieux cerné les risques dans le sens pris en compte le principe même des licences libres et open source qui est de s’appuyer sur la propriété intellectuelle, donc le risque d’action de contrefaçon si ce n’était pas respecté, toutes ces organisations n’auraient pas été condamnées comme elles l’ont été.
Walid Nouh : C’est un sujet qui revient régulièrement : si tu fais un projet libre tu n’as pas forcément beaucoup d’argent et si tu penses qu’il y a une violation de licence, dans ce cas-là quels sont les organismes à ta disposition dans la communauté du Libre pour t’aider à te défendre, car ça peut coûter très cher ?
Benjamin Jean : Le point c’est que n’importe qui ne peut pas agir pour non-respect d’une licence. Je fais un aparté rapide : dans le projet de loi pour une République numérique [20] d’Axelle Lemaire, en 2016, il y avait la proposition d’un article qui visait à ce que des sociétés puissent défendre l’intérêt – ça parlait des communs mais ça pouvait complètement concerner le logiciel libre – de communautés ou de personnes qui diffusaient librement leurs produits, mais qui n’étaient pas en capacité d’agir par elles-mêmes. Il y aurait eu des associations, type associations de consommateurs, qui auraient été en capacité d’agir pour le compte de. Ça n’a pas été retenu dans la loi telle qu’elle a été publiée in fine et c’est bien dommage.
Le problème, aujourd’hui, c’est que seuls les titulaires de droits sont en capacité d’agir pour violation de leur licence. Si ces titulaires ne sont pas structurés dans une association, dans une fondation, une entité juridique qui a les moyens de pouvoir agir en justice, parfois c’est un peu David contre Goliath, c’est quand même très difficile d’envisager d’agir contre un énorme acteur. Néanmoins, il y a énormément de procès en Europe, notamment en Allemagne, qui ont été initiés par la même personne, Harald Welte [21], qui était un contributeur à Linux, à BusyBox, et qui, sur ce fondement-là avait l’intérêt et la capacité d’agir. C’est lui qui agissait, mais il était soutenu par des structures associatives locales, qui le finançaient dans ses actions, ce qui était d’autant mieux qu’il ne le faisait pas pour gagner de l’argent, il le faisait juste pour faire respecter les licences et il ne demandait que l’indemnisation des coûts du procès. Ce n’était pas rentable, je pense que c’était une implication très louable et forte de sa part, lui demander en plus de tout payer, c’était compliqué.
Il y a quelques structures qui sont des structures un peu parapluie, des fondations parapluie, des structures qui aident les projets.
Celle qui irait le plus dans ce sens-là c’est la Software Freedom Conservancy [22], avec Bradley Kuhn, qui joue ce rôle d’héberger des projets, mais aussi d’agir pour défendre les intérêts des projets. Ils ont initié quelques procès. C’est quand même très compliqué parce que souvent les personnes qui sont en contrefaçon sont aussi des partenaires. C’est le principe, c’est donc un peu le bâton d’un côté et la carotte de l’autre et ce n’est pas toujours simple de savoir qui tape et qui propose la carotte, qui cherche à s’appuyer sur ces nouveaux entrants dans le logiciel libre et open source pour renforcer l’écosystème et qui tape sur ces mêmes acteurs parce qu’ils ne font pas encore bien les choses, donc, parfois, c’est complexe. Il y a des structures, je pense au FSC, donc celle-ci.
En France, je sais que la Free Software Foundation France [23], un chapitre local de l’association, avait aussi aidé Harald Welte pour agir contre Free à l’époque. [La Free Software Foundation France a été dissoute en février 2022, NdT]
Walid Nouh : La Free Software Foundation France aide par quels moyens ? Elle met à disposition des ressources ou de l’argent ?
Benjamin Jean : De ce que je sais, mais je ne suis pas assez impliqué dans la structure elle-même, pour moi la FSF France est une copie, ça permet juste de soutenir des actions. Je ne suis pas sûr qu’elle ait le budget dédié, qu’elle puisse vraiment donner les moyens financiers. En revanche, ils font les contacts, ils font le réseau, l’interface avec d’autres acteurs qui ont les moyens et qui peuvent participer à.
Je pense qu’à l’époque c’était plus pour apporter un soutien et faire en sorte que l’action puisse aboutir. Pour quelqu’un qui n’est pas du métier, arriver en France et agir c’était loin d’être simple. Je pense qu’ils ont fait cette intermédiation qui a, finalement, rendu possible l’action.
À ma connaissance, il n’y a pas de fonds dédiés, sauf, peut-être, dans les fondations qui ont leurs propres budgets.
Juste pour finir là-dessus, j’ai oublié son nom, il y avait aussi, dans la communauté Linux, une personne qui avait été un peu le troll sur le sujet, un contributeur historique qui agissait mais à des fins personnelles, c’est-à-dire qu’il agissait contre plein de boîtes juste pour gagner de l’argent sur la base du non-respect des licences. Ce que j’ai trouvé intéressant c’est que la communauté s’est désolidarisée de ce comportement justement parce que ce n’était pas conforme à l’esprit du logiciel libre et de l’open source.
Je pense que c’est une bonne chose, même si ce n’est pas encore tout à fait pérenne, que ce ne soit pas un business en tant que tel d’attaquer des organisations parce qu’elles utilisent mal ou qu’elles ne sont pas conformes aux licences.
C’est un process qui prend du temps, il faut voir avec tous les acteurs impliqués dans le travail. Ce sont des gens qui sont quand même plutôt de bonne volonté. C’est rare, c’est exceptionnel qu’il y ait une volonté de nuire ou qu’il y a une vraie connaissance de la mauvaise application des licences.
Walid Nouh : Si je reviens sur toi et sur le cabinet Inno3 [1] , quels sont vos sujets quotidiens et vos sujets actuels ?
Benjamin Jean : On travaille principalement sur les logiciels libres et open source, un peu open data et open source hardware et, parfois, on travaille sur des démarches qui sont un peu plus macros, en tout cas plus globales, type open science, open innovation, science ouverte et innovation ouverte, plus des postures d’innovation.
On intervient à trois niveaux principalement : au niveau des projets on fait de l’audit de code. Là, c’est vraiment identifier, dans le code qui est utilisé, l’ensemble des dépendances, les dépendances récursives, avoir un software Bill of Materials le plus large, le plus exhaustif, associé à chaque licence qui correspond à chaque partie de ses dépendances et de ses composants. On fait souvent aussi ce travail de rectifier les informations de licence qui ne sont pas les bonnes, parce que ce sont encore beaucoup de métadonnées et c’est tout à fait perfectible et d’en ressortir une analyse et une idée précise sur quels sont les tenants et les aboutissants au regard de l’ensemble des composants utilisés.
Le côté SBOM [Software Bill of Materials] est une partie de notre activité.
Sur le projet on fait toujours beaucoup de valo, de valorisation de projet, donc définir quel est le modèle économique vers lequel on peut tendre en fonction des besoins, ce à quoi répond le projet et ses besoins, et des communautés cibles.
Ensuite, on fait aussi beaucoup de stratégie et de politique open source. C’est vraiment aller à la rencontre de l’ensemble des départements d’une organisation, comprendre quels sont leurs process, leurs enjeux, leurs moyens et voir dans quelle mesure ils peuvent changer pour mieux intégrer la communauté open source. C’est un peu plus que conformité, parce qu’on intègre aussi tout ce qui est soutenabilité, donc vision des communautés sous-jacentes, il peut éventuellement y avoir des liens avec la qualité ou la sécurité. Ça c’est plus pour les acteurs privés, il y a quelques boîtes publiques aussi.
On fait un peu de politique publique. En ce moment, on agit pas mal avec France Relance. C’est intégrer dans les politiques cette idée que tout ce qui va être financé doit être diffusé sous licence libre et open source, doit être produit dans le cadre de communautés qui pérennisent aussi les ressources dans le temps, donc penser à ça.
Le dernier point, le dernier niveau d’intervention, c’est plus l’écosystème dans le domaine de la mobilité. Là on est sur un véhicule intermédiaire, on l’a fait dans d’autres sujets, c’est de se dire comment est-ce qu’on réunit tous ces acteurs, d’un marché plus ou moins développé, pour qu’ils puissent produire des ressources web partagées et les maintenir dans le temps. Là c’est vraiment une vision systémique dans lequel le logiciel libre, open source, open data, sont autant de moyens d’amener une collaboration, en tout cas une clarification du cadre de collaboration de ces acteurs.
Walid Nouh : Sur ce sujet des SBOM, des nomenclatures logicielles, ce sont des entreprises qui viennent vous voir pour que vous fassiez ce travail ? Je l’ai vu faire chez des industriels français quand j’étais en presta et c’est un travail qui est vraiment long, fastidieux, qui demande de sacrées compétences techniques.
Benjamin Jean : Oui. Ce sont des entreprises. On le fait aussi pas mal pour le compte des collectivités, il y a pas mal de collectivités territoriales qui sont dans cette logique de « on diffuse notre projet en open source, on permet à d’autres collectivités de pouvoir l’utiliser puisqu’elles ont les mêmes besoins, les mêmes missions de fond ». Il y a aussi des entreprises qui nous demandent de les aider là-dessus.
Généralement, ce ne sont pas des choses qu’on essaye de pérenniser dans le sens où on le fait pour les faire monter en compétences et on essaie de documenter, d’accompagner aussi dans la compréhension de la méthodologie ces acteurs-là, parce que c’est nécessaire. C’est effectivement fastidieux et le but c’est quand même que ce soit le plus automatisé le plus possible.
Hermine vise vraiment à automatiser le maximum de ça. Le but d’Hermine [16] , c’est de pouvoir propager chaque décision qui est prise et de mutualiser. Dans un projet, quand on détecte une dépendance qui, je dis n’importe quoi, comme licence a un mauvais identifiant SPDX, on corrige une fois et le but c’est que ça soit corrigé pour toutes les autres occurrences de cette même dépendance. Ce sont des choses qu’on essaie d’associer, en tout cas de les outiller. Le but d’Hermine c’est qu’ils aient aussi les outils qui leur permettent de perdurer dans le temps.
Dernier point. Ce sont effectivement des choses qui sont longues, mais c’est aussi un métier assez complet quand on permet de générer des software Bill of Materials.
Il y a un vrai regain d’intérêt, une prise de conscience de ça, notamment parce qu’aux US c’est maintenant quelque chose d’obligatoire : dès lors qu’on travaille avec l’État, il faut fournir des SBOM exhaustifs. Il y a même de plus en plus d’acteurs qui se positionnent dessus et c’est une bonne chose. En fait, on se rend compte qu’avant, ce qui était livré au client ne correspondait pas à ce qui fonctionnait réellement sur les serveurs in fine. Il y avait donc une méconnaissance assez énorme, à cause du numérique et peut-être de la complexité du développement, de ce qui était vraiment acheté et ce que ça emportait en termes d’incidence des licences.
Walid Nouh : Au niveau de l’État français, qui travaille sur ces sujets ?
Benjamin Jean : En France, la DINUM [24], en interne, est assez structurée avec un pôle logiciel libre et communs numériques. Ils sont plusieurs maintenant. C’est aussi le rôle de la DINUM d’avoir une vision de l’infrastructure de l’ensemble des administrations, des autres ministères à intégrer.
J’avais travaillé avec eux sur la politique de contribution aux logiciels libres de l’État français il y a quelques années, qui visait aussi à être instanciable par n’importe quel ministère.
Ensuite, au-delà de la DINUM, ce sont des sujets qu’on entend. Dans les centres de recherche, c’est assez fréquent. Il y a un vrai besoin parce qu’il y a beaucoup d’open source dans la recherche. Dans la valorisation qui est faite des projets de recherche, en revanche, ce sont des compétences qui sont encore peu connues et développées, on intervient donc souvent avec eux.
Ensuite, d’un point de vue plus stratégie politique, des acteurs assez moteurs, c’est l’Ademe, l’ANCT, l’Agence nationale pour la cohésion des territoires. Récemment on a fait une mission pour le ministère de l’Éducation nationale qui, de plus en plus, utilise l’open source dans le cadre des services qu’il fournit au territoire et incite aussi à la production de logiciels libres et open source.
J’y pense maintenant. En Europe il y a quand même une incitation assez forte aux logiciels libres, aux communs numériques aussi. Le terme « communs numériques », de manière volontaire, c’est quand même la terminologie qui simplifie parfois l’accès, en tout cas le changement de posture d’acteurs publics et privés. Pour moi, c’est assez représentatif du logiciel libre tel qu’on l’entend, c’est-à-dire que c’est orienté, c’est finalisé : on pense aux utilisateurs, on pense aux communautés. L’idée de ces communs c’est justement que ces communautés se saisissent finalement de ce dont elles ont besoin. Ça tend vraiment vers les logiciels libres alors qu’on parle de communs numériques. L’Europe le fait de plus en plus. C’est une prise de conscience importante parce que ça renforce, ça soutient ensuite les politiques des États et, dans les États, des agences.
Au-delà de ça, à l’échelle européenne, il y a aussi des mutualisations qui sont intéressantes. On avait mené une mission pour l’Europe, il y a an, qui s’appelait FOSSEPS [Free Open Source Services for European Public Services], qui visait à identifier les logiciels open source critiques utilisés par l’administration au sens ultra large, les villes françaises en font partie, tous les acteurs publics, finalement se demander ce qui est stratégique, critique. C’était à la fois lorsqu’il y avait un usage, entre guillemets, « très important » : on se rend compte qu’en bibliothèque il y a un logiciel qui est utilisé par toutes les collectivités, j’exagère, donc oui, c’est critique, il ne faut pas que ça ne fonctionne plus, il faut faire attention à ce qu’il n’y ait pas de vulnérabilités et ainsi de suite.
L’autre situation qui était critique parce que dans des situations qui sont effectivement critiques : je dis n’importe quoi, pour favoriser le rôle du SAMU dans les calculs d’itinéraires, il ne faut pas que, du jour au lendemain, ça ne fonctionne plus ; ce n’est peut-être pas le meilleur exemple, mais il y avait aussi cette autre dimension.
C’est intéressant de voir que l’Europe se saisit de cette vision un peu haute et stratégique de l’open source dans l’idée d’apporter des réponses dont certaines sont des financements, mais pas que.
Walid Nouh : C’est bien qu’on parle de l’Union européenne. De par mon passé de libriste j’ai peut-être un biais, mais j’avais l’impression qu’en France ou en Allemagne on était plutôt bien lotis parce que c’est possible de vivre du logiciel libre. Est-ce que, pour toi, il y a des pays qui sont plus en avance en termes de structuration open source ou est-ce que, finalement, ils en font tous à leur échelle de manières différentes ?
Benjamin Jean : Je pense que France et Allemagne nous sommes plutôt bons effectivement. Les Allemands sont très industriels dans l’utilisation de l’open source. Ils ont des réponses très industrielles aussi de qualité.
Pays-Bas, pareil, on peut les prendre ensemble.
L’Italie c’est beaucoup plus politique : il y a une obligation que tout ce qui est acheté par de l’argent public soit open source.
L’Espagne, justement à Barcelone, il y a des logiques plus de communs, c’est intéressant de faire en sorte qu’il y ait des communautés de fournisseurs, d’acteurs économiques, des communautés de collectivités qui se fédèrent pour pouvoir maintenir dans le temps.
Au Royaume-Uni, ce sont plus des logiques d’interopérabilité qui allaient aussi vers un usage de maximisation de l’open source.
En fait globalement, partout on voit des choses intéressantes, mais je pense que c’est à chaque fois relativement différent. C’est intéressant aussi de voir les différences qu’il y a entre toutes ces actions-là.
Walid Nouh : Finalement, quand tu discutes avec des gens, que tu arrives au même point mais par des portes d’entrée différentes, ça doit être vraiment intéressant.
Dernière question : est-ce qu’il y a des grosses questions européennes que vous suivez de près ou sur lesquelles vous intervenez ?
Benjamin Jean : Il y a la question des réglementations européennes qui peuvent avoir une incidence sur les communautés open source. On l’avait vu notamment pour toute la dimension sécurité, donc CRA, Cyber Resilience Act [25], disant que si on impose des contraintes trop fortes aux communautés open source au titre du nécessaire audit de vulnérabilité, en tout cas d’une sécurité, cybersécurité des secteurs finaux, à la fois on comprend le besoin, mais, en même temps, ce n’est pas adapté aux communautés, donc on va mettre à la charge des communautés des choses qu’elles ne peuvent pas générer. C’était un vrai risque dans le sens où une communauté n’est pas une entreprise, elle ne fonctionne pas de la même manière et plus on lui impose des choses pas intéressantes à faire, plus on désengage les acteurs.
Je pense qu’il y a vraiment des sujets de ce type-là. À ma connaissance, il y a eu quand même pas de fondations en Europe, même d’acteurs, qui ont cherché à se mobiliser pour expliquer comment faire sortir les communautés open source de ces contraintes, de ce cadre. Un peu comme pour l’export contre les US. Pour moi, la bonne manière de faire c’est de dire « dès lors que le projet est public, qu’il est diffusé selon une licence libre, on considère qu’on ne lui impose pas la même chose que si c’est un projet qui n’est pas public ou d’une organisation » , ça permet de faire le distinguo. C’est un point.
Ensuite, je trouve intéressant, plutôt bénéfique pour le coup, la manière dont l’Europe opère ses financements aujourd’hui, je pense notamment à NGI, Next Generation Internet. Ce sont des micro-financements, ils sont à 20 ou 30 millions. Au lieu de donner ces dizaines de millions d’euros à un projet avec de très gros acteurs et centres de recherche européens et tous les quatre/cinq ans ça recommence et on repart de zéro. Là ce sont des organismes sans but lucratif, des structures type associatif qui sont délégataires de ces budgets et qui, ensuite, micro-financement à hauteur de 50 à 150 k, plutôt du 50 k, des projets très concrets.
Je trouve ça super intéressant parce que sur des phases de trois/six mois, un an grand max, c’est sur des besoins très ponctuels, bien délimités, et ensuite c’est pas par pas, c’est-à-dire que celui qui se fait financer une première fois peut se faire financer une deuxième fois. Je trouve que ce sont des logiques qui sont très compatibles avec les communautés logiciel libre et open source et c’est très simple d’y répondre. Je trouve que c’est vraiment une super évolution d’un point de vue financement européen. Avant ils étaient détachés du terrain et là, à l’inverse, j’ai l’impression qu’ils sont beaucoup plus proches du terrain que la majorité des autre financements qu’on peut avoir.
Walid Nouh : De tes propos, je dirais qu’en termes de logiciel libre, l’avenir semble radieux, tout du moins ça semble positif.
Benjamin Jean : J’ai tendance à être positif de manière générale. On a la chance, actuellement, d’avoir une dynamique qui est vraiment très favorable. Ce n’est pas encore quelque chose de pérenne dans le sens où ça repose sur quelques individus, ça repose sur quelques expérimentations, ce n’est pas cranté, ce n’est pas gravé dans le marbre, mais c’est quand même tellement mieux que ce qu’il avait il y a dix ans. J’ai l’impression qu’on va dans le bon sens. En plus, avec cette convergence qu’il y a entre des actions de plein de ministères, des acteurs privés aussi qui comprennent ces logiques de mutualisation, de développement en logiciel libre et communautaire des projets, on avance sur le bon chemin.
Je pense que plus ça va, plus le numérique ira vers ça. Je pourrais émettre de réserves, mais je pense que maintenant tout le monde est conscient qu’il faut s’approprier, en tout cas comprendre ce qu’on utilise et qu’il n’y a pas de meilleure façon que de participer à la gouvernance des projets qu’on utilise. Il y a une maturité croissante chez les acteurs publics et les acteurs privés, et je pense que ça va vraiment dans le sens du développement des logiciels libres et d’une société plus libre et ouverte.
Walid Nouh : De mon point de vue, j’avais aussi l’impression que le RGPD [26] avait donné un coup de fouet à l’utilisation du logiciel libre avec toutes les problématiques de confidentialité et de propriété des données.
Benjamin Jean : En fait, pour tout. On a parlé de Framasoft [3] très rapidement, mais d’un point de vue privacy, respect de la vie privée, ce dont on est conscient c’est que si on s’appuie sur des solutions gratuites qui sont fournies par des acteurs outre-Atlantique ou chinois, oui, effectivement nos données c’est ce qui permet de rentabiliser leurs services.
À l’inverse, si on s’appuie sur des acteurs locaux, si on ne peut pas le faire soi-même, on a d’autres coûts mais qu’on maîtrise et on sait pourquoi on les a. Je pense que ça permet de mieux comprendre ce qu’on achète, pourquoi, comment, de mieux appréhender le numérique.
Walid Nouh : Il y a des sujets qu’on a à peine abordés, qui mériteraient une émission complète, je pense en particulier au modèle économique du logiciel libre, car c’est vraiment le genre de sujet qui m’intéresse beaucoup.
Puisque c’est maintenant l‘heure de conclure, je vais te laisser la parole, Benjamin : est-ce qu’il y a des sujets ou un message que tu voudrais faire passer ? C’est la tribune libre, c’est à toi.
Benjamin Jean : J’ai déjà dit énormément de choses. Ce que j’aurais envie d’ajouter c’est l’expression « la route est longue mais la voie est libre ». Globalement on sent que le sens de l’histoire est celui qu’on avait en tête et c’est plutôt une bonne chose. Il y a encore énormément de besoin d’acculturation et de monter en compétences sur tous ces sujets. Je pense que c’est l’un des grands points des années à venir, ce n’est pas fini et ce n’est pas parce qu’on a tous compris pourquoi il faut aller vers ça qu’on sait tous le faire. C’est peut-être là où il y aura encore des initiatives associatives, communautaires, importantes. Il ne faut pas avoir peur de ne pas savoir, de le faire ensemble et d’en discuter. Je suis ravi d’avoir eu cet échange maintenant. J’avais tout à l’heure un appel avec un projet qui se posait plein de questions sur l’utilisation, justement, de l’open source, des incidences d’un point de vue économique. Il faut en parler, que ça avance et partager les connaissances. Il ne faut surtout pas hésiter.
Walid Nouh : C’est un très bon mot de la fin. Merci, Benjamin, d’avoir pris du temps pour parler des sujets qui sont ton quotidien et que tout le monde mériterait de connaître, finalement, parce que ce sont des questions de gouvernance, d’argent public, de ce qu’on veut comme type de société. Merci d’avoir pris le temps de discuter avec nous. J’espère te recroiser bientôt.
Benjamin Jean : De même. Ravi, à très vite.
Walid Nouh : Pour les auditeurs et les auditrices, si ça vous a plu n’hésitez pas à en parler autour de vous, à partager sur les réseaux sociaux, à nous laisser aussi un commentaire sur les plateformes de streaming, le podcast est disponible su toutes les bonnes plateformes de streaming.
Restez connecté pour les prochains épisodes à venir, il y a encore des interviews passionnantes dans des domaines tout à fait différents.
Je vous souhaite une très bonne journée. À bientôt.