Article 25 Attestation de sécurité des logiciels libres et ouverts

Les logiciels et données qui sont partagés de manière ouverte, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Pour favoriser le développement et le déploiement de logiciels libres et ouverts, en particulier par les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, par les personnes physiques, par les organisations à but non lucratif et par les instituts de recherche universitaires, l’application du présent règlement aux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale devrait tenir compte de la nature des différents modèles de développement de logiciels distribués et développés sous licences logicielles libres et ouvertes.

On entend par «logiciel libre et ouvert» un logiciel dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui ne sont pas monétisés par leur fabricant ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts, destinés à être intégrés par d’autres fabricants à leurs propres produits comportant des éléments numériques, ne devrait être considérée comme une mise à disposition sur le marché que si le composant est monétisé par son fabricant d’origine. Par exemple, le simple fait qu’un fabricant verse un soutien financier à un logiciel libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne relevant pas de leur responsabilité.

Étant donné l’importance que revêtent, en matière de cybersécurité, de nombreux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui sont publiés mais ne sont pas mis à disposition sur le marché au sens du présent règlement, les personnes morales qui apportent un soutien prolongé au développement de tels produits destinés à des activités commerciales et qui jouent un rôle de premier plan en veillant à la viabilité de ces produits (intendants de logiciels ouverts) devraient être soumises à un régime réglementaire allégé et sur mesure. Figurent parmi les intendants de logiciels ouverts certaines fondations et les entités qui développent et publient des logiciels libres et ouverts dans un cadre commercial, y compris les entités à but non lucratif. Le régime réglementaire devrait tenir compte de leur nature particulière et de leur compatibilité avec le type d’obligations qui leur incombent. Ce régime ne devrait concerner que les produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et dont la finalité est commerciale, par exemple ceux qui sont destinés à être intégrés à des services commerciaux ou à des produits comportant des éléments numériques monétisés. Aux fins de ce régime réglementaire, l’intention d’intégration à des produits comportant des éléments numériques monétisés couvre les cas où le fabricant qui intègre un composant dans ses propres produits comportant des éléments numériques contribue régulièrement au développement de ce composant ou apporte une assistance financière régulière afin d’assurer la pérennité d’un logiciel. Le fait d’apporter un soutien prolongé au développement d’un produit comportant des éléments numériques comprend, sans s’y limiter, l’hébergement et la gestion de plates-formes collaboratives de développement de logiciels, l’hébergement de code source ou d’un logiciel, l’administration ou la gestion de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ainsi que le pilotage du développement de ces produits. Étant donné que le régime réglementaire allégé et sur mesure n’impose pas aux intendants de logiciels ouverts les mêmes obligations que celles qui incombent aux fabricants en vertu du présent règlement, les intendants de logiciels ouverts ne devraient pas être autorisés à apposer le marquage CE aux produits comportant des éléments numériques dont ils soutiennent le développement.

Afin de soutenir et de faciliter l’application du devoir de diligence raisonnable par les fabricants qui intègrent à leurs produits comportant des éléments numériques des composants logiciels libres et ouverts qui ne sont pas soumis aux exigences essentielles de cybersécurité énoncées dans le présent règlement, la Commission devrait être en mesure de mettre en place des programmes volontaires d’attestation de sécurité, soit par voie d’un acte délégué complétant le présent règlement, soit en demandant, en vertu de l’article 48 du règlement (UE) 2019/881, un schéma européen de certification de cybersécurité qui tienne compte des spécificités des modèles de développement des logiciels libres et ouverts. Les programmes d’attestation de sécurité devraient être conçus de sorte que non seulement les personnes physiques ou morales qui développent un produit comportant des éléments numériques répondant aux critères d’un logiciel libre et ouvert ou qui participent à son développement, mais aussi des tiers, tels que les fabricants qui intègrent ces produits à leurs propres produits comportant des éléments numériques, les utilisateurs ou les administrations publiques de l’Union ou des États membres, puissent être à l’initiative d’une attestation de sécurité ou la financer.

La bonne application du présent règlement dépendra également de la disponibilité des compétences appropriées en matière de cybersécurité. Au niveau de l’Union, la pénurie de main-d’œuvre qualifiée en cybersécurité dans l’Union et la nécessité d’y remédier à titre de priorité, dans le secteur tant public que privé, ont été reconnues dans divers documents programmatiques et politiques, dont la communication de la Commission du 18 avril 2023 intitulée «Remédier à la pénurie de talents dans le secteur de la cybersécurité pour renforcer la compétitivité, la croissance et la résilience de l’UE» et les conclusions du Conseil du 22 mai 2023 sur la politique de cyberdéfense de l’UE. Aux fins de la bonne application du présent règlement, les États membres devraient veiller à ce que les autorités de surveillance du marché et les organismes d’évaluation de la conformité disposent des ressources appropriées afin d’employer le personnel nécessaire aux tâches qui leur incombent en vertu du présent règlement. Ces mesures devraient favoriser la mobilité des effectifs dans le domaine de la cybersécurité et des parcours professionnels associés et contribuer à rendre la main-d’œuvre de ce domaine plus résiliente et inclusive, y compris pour ce qui est de l’équilibre entre les hommes et les femmes. Par conséquent, les États membres devraient prendre des mesures garantissant que les tâches susmentionnées sont menées à bien par des professionnels formés disposant des compétences nécessaires dans le domaine de la cybersécurité. De même, il convient que le fabricant veille à ce que son personnel dispose des compétences nécessaires pour respecter les obligations qui leur incombent en vertu du présent règlement. Les États membres et la Commission, conformément à leurs prérogatives et compétences ainsi qu’aux tâches particulières qui leur reviennent en vertu du présent règlement, devraient prendre des mesures visant à soutenir les fabricants et en particulier les microentreprises et les petites et moyennes entreprises, dont les jeunes pousses, y compris dans des domaines tels que le développement de compétences, aux fins du respect des obligations qui leur incombent en vertu du présent règlement. En outre, puisque la directive (UE) 2022/2555 exige d’eux qu’ils adoptent, dans le cadre de leurs stratégies nationales en matière de cybersécurité, des mesures de politique publique qui encouragent et développent la formation et les compétences dans le domaine de la cybersécurité, les États membres peuvent également envisager, lors de l’adoption de ces stratégies, de pourvoir aux besoins de compétences en matière de cybersécurité qui découlent du présent règlement, y compris les besoins de renforcement des compétences et de reconversion professionnelle.

Lorsqu’il intègre des composants obtenus auprès de tiers à des produits comportant des éléments numériques au cours de la phase de conception et de développement, le fabricant devrait, pour que les produits soient conçus, développés et produits conformément aux exigences essentielles de cybersécurité énoncées dans le présent règlement, faire preuve de diligence raisonnable concernant ces composants, y compris les composants logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché. Le niveau approprié de diligence raisonnable dépend de la nature et du niveau du risque de cybersécurité associé à un composant donné et devrait, à cette fin, tenir compte d’une ou de plusieurs des mesures suivantes: vérifier, le cas échéant, que le fabricant d’un composant a démontré se conformer au présent règlement, y compris en s’assurant que le composant porte déjà le marquage CE; vérifier qu’un composant fait régulièrement l’objet de mises à jour de sécurité, par exemple en consultant l’historique de ses mises à jour de sécurité; vérifier qu’un composant est exempt des vulnérabilités enregistrées dans la base de données européenne des vulnérabilités créée en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques; réaliser des essais de sécurité supplémentaires. Les obligations en matière de gestion des vulnérabilités énoncées dans le présent règlement, que le fabricant doit respecter lors de la mise sur le marché d’un produit comportant des éléments numériques puis pendant la période d’assistance, s’appliquent aux produits comportant des éléments numériques dans leur entièreté, y compris à tous les composants intégrés. Lorsque, dans l’exercice de sa diligence raisonnable, le fabricant du produit comportant des éléments numériques décèle une vulnérabilité dans un composant, y compris un composant libre et ouvert, il devrait en informer la personne ou l’entité qui fabrique le composant ou en assure l’entretien, s’attaquer et remédier à la vulnérabilité et, le cas échéant, fournir à la personne ou à l’entité le correctif de sécurité appliqué.

Immédiatement après la période transitoire pour l’application du présent règlement, le fabricant d’un produit comportant des éléments numériques qui intègre un ou plusieurs composants obtenus auprès de tiers qui relèvent également du présent règlement pourrait ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants de ces composants ont démontré qu’ils se conforment au présent règlement en s’assurant, par exemple, que le composant porte déjà le marquage CE. Cette situation pourrait se présenter lorsque des composants ont été intégrés avant que le présent règlement ne s’applique à leur fabricant. Dans ce cas, un fabricant qui intègre de tels composants devrait faire preuve de diligence raisonnable par d’autres moyens.