[Toulibre] Exemple de politique d'entreprise concernant l'open source
Sébastien Dinot
sdinot at april.org
Ven 15 Jan 16:19:43 CET 2016
Bonjour Éric,
----- Mail original -----
> Cette grande entreprise avait une politique d'acquisition de
> logiciel. Dans les divers documents décrivant cette politique le
> logiciel libre avait le même statut que le logiciel propriétaire.
Le problème est tout de même sensiblement différent : le mode d'approvisionnement change tout.
* Qui dit logiciel propriétaire dit en général licence payante et donc passage par le service des achats et plus globalement par un circuit d'approvisionnement bien identifié. Une entité est par exemple chargée dans l'entreprise de gérer les licences flottantes. Un contrat est signé et il inclut bien souvent du support. Certains ont malheureusement recours à des sources d'approvisionnement illégales, à des cracks et tutti quanti mais dans ce cas, ces personnes savent exactement ce qu'elles font et elles savent que leurs actes sont répréhensibles.
* De son côté, le logiciel libre peut en général être obtenu librement et gratuitement. Il peut donc être téléchargé par n'importe quel collaborateur et celui-ci ne connait souvent rien ni au droit, ni aux licences libres mais il croit fermement que « en libre accès sur Internet » signifie « j'en fais ce que je veux ». Cerise sur le gâteau, à l'intégration de la brique complète, ce collaborateur peut préférer le copié/collé du seul fragment de code qui l'intéresse, rendant au passage presque indétectable ce code exogène (j'ai dit « presque », c'est là que le bas blesse). Ce faisant, le risque est grand qu'au final, l'application viole le droit d'auteur de plusieurs auteurs originels et que l'entreprise s'expose à une action en justice. Dans certains cas, l'entreprise se retrouve même avec une chimère juridique bonne pour la poubelle. Et le pire dans tout cela, c'est que bien souvent, personne n'a conscience de faire mal, donc personne ne donne l'alerte !
Une gouvernance du libre commence donc par :
1. Un programme de sensibilisation des collaborateurs au droit d'auteur et au logiciel libre
2. Une politique d'utilisation (identifier des composants qualifiés sur les plans technique et juridique)
3. Un assainissement de l'existant par la réalisation d'audits de code mettant en œuvre des outils d'analyse évolués et des auditeurs qualifiés (non, ce n'est pas du boulot de stagiaire et ce n'est pas non plus un boulot de juriste car il faut comprendre l'œuvre sur le plan technique pour tirer les bonnes conclusions juridiques).
Et il faut aussi comprendre que même si un logiciel est libre et si sa communauté est solide et réactive, souscrire un contrat de support auprès d'une entreprise qualifiée peut être indispensable lorsque ce composant est critique. Autrement dit, et c'est là que je te rejoins, il faut comprendre qu'à ce niveau, il n'y a pas de différence entre logiciel libre et logiciel propriétaire.
Je peux sembler alarmiste mais lors de mes formations, j'aime à préciser :
Les nombreux atouts du libre sont intrinsèques mais pas les risques. Ces derniers ne sont imputables qu'à la méconnaissance et à un usage trop candide. Une gouvernance a donc pour but de définir les règles et les bonnes pratiques qui permettent à l'entreprise d'intégrer pleinement le libre et de profiter de ses atouts sans s'exposer aux risques.
Sébastien
--
Sébastien Dinot, sdinot at april.org
April - Promouvoir et défendre le logiciel libre
http://www.april.org/
Plus d'informations sur la liste de diffusion Toulouse-ll