Avec la montée en puissance des outils d’intelligence artificielle générative tels que ChatGPT ou GitHub Copilot, l’adoption de l’open source ne fait que s’amplifier. Cela souligne l’importance, pour les professionnels du droit, d’appréhender les principes fondamentaux de ces licences, d’en comprendre les implications juridiques et d’adopter des pratiques adaptées pour en maîtriser les risques.
Qu’est-ce que l’open source ?
Le concept d’open source se définit par la mise à disposition publique du code source, et se distingue du code propriétaire, dont l’accès est restreint. Selon les critères établis par l’Open Source Initiative, une organisation dédiée à la promotion des logiciels open source, cette notion repose sur dix principes fondamentaux :
1- Redistribution gratuite : possibilité de redistribuer le logiciel sans frais.
2. Accès au code source : le code source doit être disponible pour tous
3. Œuvre dérivée autorisée : faculté de modifier le code et de distribuer les versions modifiées.
4. Intégrité du code source de l’auteur : cette clause offre à l’auteur la possibilité d’imposer que les modifications apportées au code soient bien distinctes de son propre travail, sans pour autant interdire les modifications.
5. Absence de discrimination envers des personnes ou des groupes : aucune restriction ne doit cibler des individus ou des groupes spécifiques.
6. Absence de discrimination envers des domaines d’application : le logiciel peut être utilisé dans tout domaine.
7. Distribution de la licence : les droits attachés au programme doivent s’appliquer à tous ceux à qui il est redistribué.
8. Licence non spécifique à un produit : les droits ne dépendent pas du programme faisant partie d’une distribution spécifique.
9. Licence ne restreignant pas d’autres logiciels : la licence ne doit pas imposer de restrictions aux autres logiciels distribués avec le programme sous licence.
10. Neutralité technologique : aucune clause ne doit dépendre d’une technologie individuelle ou de style d’interface.
Ces critères différencient clairement les licences open source des modèles propriétaires, tels que ceux de suites logicielles comme Microsoft Office 365.
Quels sont les droits et libertés associés au code open source ?
L’utilisation d’un code open source confère quatre libertés fondamentales à ses utilisateurs :
1. Liberté d’utiliser et d’exécuter le code source sans restriction d’usage.
2. Liberté de modifier le code source mis à disposition par la licence.
3. Liberté de redistribuer le code open source, c’est-à-dire de partager des copies du code source.
4. Liberté de distribution des versions modifiées .
Cependant, ces libertés s’accompagnent d’obligations, précisées dans les termes des licences applicables. Contrairement à une idée reçue, open source ne signifie pas que le logiciel est gratuit et qu’il n’est pas soumis à des contraintes dans son utilisation.
Ces obligations sont définies dans les conditions générales d’utilisation des licences qui se divisent en deux grandes catégories : les licences permissives et les licences non permissives.
Quelles sont les différentes catégories de licences open source ?
Licences permissives (sans copyleft)
Les licences permissives se caractérisent par leur flexibilité. Elles permettent d’utiliser, de modifier et d’intégrer le code open source dans des projets, avec des restrictions minimales. Les principales obligations consistent à maintenir la licence et à mentionner l’auteur et la licence utilisée dans son propre code.
L’intégration de code sous licence permissive dans un projet propriétaire n’entraîne pas de « contamination » du code propriétaire, permettant ainsi de conserver la propriété de son code tout en respectant les conditions de la licence permissive sur la partie intégrée.
Parmi les licences permissives figurent la licence BSD, la licence Apache et la licence MIT.
Licences non permissives (avec copyleft)
Les licences non permissives se subdivisent en deux sous-catégories : celles avec copyleft fort et celles avec copyleft faible. La distinction repose sur les exigences concernant les œuvres dérivées.
• Licences avec copyleft fort : des licences telles que la GNU GPL ou la CeCILL imposent que tout logiciel dérivé soit distribué sous la même licence. Cela peut limiter son usage dans des contextes propriétaires, notamment lorsque le logiciel est destiné à une exploitation commerciale.
• Licences avec copyleft faible : des licences comme la LGPL offrent davantage de souplesse. L’impact sur le code propriétaire dépend de la méthode d’intégration. Par exemple, une intégration par dérivation soumet tout le logiciel à la licence LGPL, tandis qu’une intégration par composition permet de conserver la distinction entre les parties propriétaires et open source.
Quels sont les risques liés à l’utilisation de l’open source ?
L’usage de composants open source dans un projet logiciel présente divers risques, notamment :
• Risque de dévaluation du logiciel : l’intégration d’un code sous licence non permissive peut conduire à la « contamination » du code propriétaire, c’est-à-dire à l’application de la licence open source à l’ensemble du logiciel. Concrètement, le logiciel tout entier devient open source, ce qui peut être un sujet si le logiciel est destiné à être distribué ou commercialisé.
• Risques juridiques : la violation des termes d’une licence peut donner lieu à des poursuites pour non-respect contractuel ou, dans certains cas, à des actions en contrefaçon.
Comment gérer le risque open source ?
Pour minimiser ces risques, il est conseillé de mettre en œuvre un certain nombre de bonnes pratiques.
Tout d’abord, il est indispensable d’informer et de former tous les acteurs concernés, qu’il s’agisse des développeurs, des ingénieurs ou des juristes. Cette étape vise à leur fournir une compréhension claire des principes fondamentaux de l’open source et des enjeux juridiques et opérationnels qu’il implique.
Une fois cette prise de conscience établie, il convient de mettre en place une gouvernance spécifique dédiée à la gestion des logiciels open source. Cela inclut l’élaboration de processus précis encadrant l’utilisation, la modification et la redistribution des composants concernés. La création d’un registre répertoriant tous les logiciels open source utilisés au sein de l’entreprise ainsi que les licences associées constitue une bonne première étape de gouvernance.
Il est par ailleurs fortement conseillé de faire régulièrement réaliser un audit afin de vérifier la conformité des pratiques internes avec les exigences des licences applicables. À cet effet, l’utilisation d’outils spécialisés intégrant un scan du code source, tels que l’audit de la PI du logiciel développé par l’Agence pour la Protection des Programmes (APP), peut s’avérer particulièrement utile pour analyser et optimiser la gestion de licences tierces et open source au sein d’un logiciel.
Enfin, dans certaines situations, il peut être judicieux d’envisager l’acquisition d’une version propriétaire, souvent payante, de la licence open source problématique. Cette option, lorsqu’elle est disponible, offre une plus grande flexibilité en éliminant les restrictions associées à la redistribution du logiciel, ce qui peut s’avérer stratégique pour certains projets.
En adoptant ces pratiques, les équipes de développeurs peuvent tirer parti des avantages de l’open source et les équipes juridiques en maitriser les obligations et les risques associés. En cas de doute, il est conseillé de se rapprocher d’un expert du droit et des nouvelles technologies qui saura vous accompagner pour évaluer les risques, négocier les contrats et mettre en place les bonnes pratiques de gouvernance de l’open source.
L’Agence pour la Protection Des Programmes, l’APP, est une association loi 1901 fondée en 1982 et dont la vocation est d’informer et de former les juristes d’entreprise aux enjeux de la propriété intellectuelle et des nouvelles technologies. Elle propose des solutions de dépôt probatoire de code source, d’escrow de logiciel et d’audit de la propriété intellectuelle du logiciel incluant notamment un scan du code source.
Philippe Thomas, Président de l’APP
