LLW2018 : La FSFE réunit les meilleurs experts pour un débat sur les problèmes de licences et de droit intersectoriel autour du Logiciel Libre
Dans la continuité d'une tradition longue de plus d'une dizaine d'années, la FSFE a de nouveau organisé pour 2018 son Legal and Licensing Workshop (LLW, Atelier Juridique et de Licences) lié au Logiciel Libre en 2018. Il s'agit d'un rendez-vous entre les meilleurs experts juridiques pour débattre des problématiques et des des meilleures pratiques autour des licences du Logiciel Libre. Cette année nous avons décidé de revenir aux sources et mettre l'accent sur la partie atelier : 120 experts juridiques se sont rencontrés pour 3 jours de conférences à Barcelone, en Espagne, pour se plonger dans les sujet les plus litigieux du monde juridique du Logiciel Libre en suivant un nombre de « tracks » et de sessions interactives sans précédent.
D'ordinaire, cet événement est couvert par la Règle de Chatham House, ce qui permet des discussions confidentielles sous des conditions équitables pour tous les participants. Toutefois, les conférences qui n'ont pas été dispensées sous couverture de la Règle de Chatham House (ainsi qu'indiqué explicitement par les conférenciers) ont été traduites en une série d'articles par Jake Edge de LWN.net, qui a écrit au sujet des discussions suivantes lors du LLW2018 :
Marcus von Welser et Armijn Hemel ont donné un aperçu de l'affaire récente de conformité à la GPL en Allemagne, dans laquelle Patrick McHardy accusait la société Geniatech de violer son droit d'auteur sur le noyau Linux. La cour régionale de Cologne (Allemagne), où le dossier a été étudié en 2017, a dans un premier temps accordé à McHardy une injonction et obligé Geniatch à arrêter la distribution de toutes les versions du noyau. Geniatech a fait appel de l'injonction au motif qu'elle était trop large et trop restrictive, et que Patrick McHardy ne pouvait être considéré co-auteur du noyau Linux comme il le prétendait. Dans les faits, ses contributions au noyau Linux sous licence GPL v2 peuvent seulement être considérées comme des adaptations, ce qui ne lui permet au regard de la loi Allemande de ne demander que l'arrêt de la distribution de noyaux contenant ses modifications. Selon Marcus von Welser, il existe plus de 100 versions du noyau parues qui ne contiennent aucune des contributions de McHardy. En ordonnant à Geniatech de ne distribuer aucune version du noyau, la cour couvrait les noyaux qui n'étaient pas mis en cause par McHardy. Après une audience orale à la Cour d'Appel Provinciale de Cologne en Mars 2018, McHardy a finalement retiré sa demande d'injonction. Ce dossier montre qu'il existe un vrai besoin d'étendre les échanges d'informations sur comment construire une défense solide face aux « copyright trolls ».
Dirk Hohndel a présenté les défis de conformité que représentent les images de conteneurs. Les conteneurs sont un sujet d'actualité, et avec leur utilisation vient une série de problèmes de conformité selon Hohndel. Tout d'abord, il est courant de simplement copier une image de conteneur depuis n'importe quel endroit d'internet, sans considération pour les licences. Selon Hohndel, il ne s'agit pas seulement d'un cauchemar d'un point de vue sécurité, mais également d'une catastrophe quand il s'agit d'identifier ce qui est réellement embarqué dans ces conteneurs. S'il est compliqué de déterminer exactement quels « packages » sont contenus dans ces images, il est encore plus dur de les mettre en conformité une fois les entorses à la licence identifiées. La version employée et les patches appliqués sont également difficiles à identifier. Au-delà de tout ceci, les licences sous lesquelles de tels « packages » sont distribués sont loin d'être évidentes à récupérer. Toutes ces raisons démontrent l'importance d'entraîner les développeurs de logiciels à éviter les pièges des systèmes de « build » de conteneurs, selon Hohndel. De plus, les conteneurs doivent être construits en gardant les bonnes pratiques de conformité en tête : par exemple, prendre une base de travail qui a des « packages » dont les versions, le code et les licences sont connues. Il va sans dire que la mauvaise pratique d'installer des images de conteneurs téléchargées depuis n'importe quel endroit d'internet doit être évitée.
Mike Dolan a fait une présentation au sujet du « Community Data Licence Agreement » (CDLA, l'Accord de Licence sur les Données Communautaires), un instrument légal pour permettre le partage des données pertinentes pour des usages tels que le « machine learning » (apprentissage automatique), les « blockchains », l'« open geolocation », de la même manière que les Licences Libres fonctionnent pour le logiciel. L'idée derrière le CDLA est de partager ouvertement ses données en se basant sur le savoir faire de plusieurs dizaines d'années de partage de code source. Il existe deux types d'accord dans le CDLA, inspirés par les licences logicielles copyleft et non-copyleft. Appliquer simplement les licences Logiciels Libres aux données n'est pas optimal, du fait des différences fondamentales entre les données et le code source, d'où la nécessité d'un instrument légal distinct pour adresser les problématiques propres aux données. Par exemple, les données peuvent être perpétuelles. C'est pourquoi il peut être impossible de recréer les mêmes conditions que lors de la collecte. Ceci signifie que la licence sous laquelle les données sont livrées peut être déterminante quant à leur usage des dizaines ou centaines d'années plus tard.
Les participants ont été informés des développements du raisonnement de la Cour d'Appel concernant la bataille juridique opposant Oracle à Google quant à l'utilisation d'APIs Java par ce dernier dans ses systèmes Android. Il est courant en développement logiciel de réemployer les APIs de différents produits pour garantir une certaine compatibilité entre les différents programmes. De manière simple, une API permet à plusieurs programmes de communiquer ensemble en se basant sur des spécifications communes. Oracle a lancé une procédure juridique contre Google en 2012, l'accusant de violation de « propriété intellectuelle » de par l'utilisation d'APIs écrites en Java. En 2012, un tribunal fédéral a acté que que les APIs n'étaient pas sujettes au copyright. Cette décision a été cassée par la cour d'appel, et retournée au même tribunal fédéral. En 2016, le jury a acté que l'utilisation par Googgle d'APIs Java rentrait dans le cadre d'un usage acceptable (« fair use ») selon la loi des États-Unis. Oracle a fait appel de la décision du jury, opposant que Google avait copié d'anciennes APIs dans un seul but commercial, avait copié des milliers de lignes de code source de plus que nécessaire, ainsi que trompé les clients d'Oracle utilisateurs de Java SE en les poussant à basculer vers Android au motif que Google y garantissait un accès gratuit. En Mars 2018, la cour d'appel a pris position pour Oracle et acté que l'utilisation des APIs Java en question par Google ne rentrait pas dans le cadre d'un usage acceptable (« fair use ») au regard de la loi. Ce dossier est loin d'être clos, car Google peut faire appel de la décision devant la cour suprême. Ceci peut créer un précédent pour le développement logiciel de manière générale.
Pendant les conférences, un débat sur le lien entre Intelligence Artificielle (AI), prise de décision automatique et Logiciel Libre a également été animé. Lorsqu'il s'agit de généraliser la prise de décision automatisée, nous devons porter notre regard au delà des licences libres pour répondre de manière pertinente aux problématiques affectant les droits des utilisateurs. Dans cet atelier, les participants ont conclu que la prise de décision automatique soulève des questions auxquelles il n'est pas facile de répondre. Plus particulièrement, nous nous souhaitons que toute décision prise automatiquement qui affecte les êtres humains soit accompagnée d'une explication compréhensible par un humain, exposant les raisons pour lesquelles cette décision a été prise. Pour ce qui est des techniques de « machine learning », et plus particulièrement de « deep learning », peu d'éléments tendent à permettre de prouver que les décisions d'une IA sont explicables. C'est un champ de la recherche très actif. D'autres défis se posent lorsqu'on s'intéresse à la transparence et la responsabilité du processus de prise de décision. Dans certains cas particuliers, ces critères sont impossibles à atteindre, par exemple lorsqu'il est nécessaire d'obtenir l'accès au dossier médical complet d'une population pour entraîner certains algorithmes.
Lors d'un autre atelier interactif, les participants ont rassemblé, identifié et traité les principaux pièges juridiques pour les Logiciels Libres dans les marchés publics. Les participants ont identifié quelques scénarios plausibles dans lesquels les marchés publics gagneraient à être régulés. Une contrainte légale poussant à prioriser le Logiciel Libre (comme c'est le cas en Italie est théoriquement une bonne option pour l'adoption du Logiciel Libre par le secteur public. Néanmoins, en Italie la loi n'est pas respectée, car il n'existe pas de sanction dissuasive en cas de non-respect. Un exemple intéressant également est celui de Barcelone, en Espagne, où les politiques de marché public en faveur du Logiciel Libre pour le secteur public sont adoptées au niveau municipal. À Barcelone, la décision de migrer vers plus de Logiciel Libre est faite par les entités publiques gérant les marchés publics, plutôt que par contrainte législative émanant d'instances plus hautes. L'inconvénient d'une telle loi est que les retombées positives de telles politiques publiques n'auront pas forcément lieu durant le mandat des politiciens à l'origine de la décision. Il existe un vrai besoin de changement de culture dans les administrations publiques, et une vraie volonté politique de changer les modalités des marchés publics.
Ces ateliers n'auraient pas été possibles sans le soutien généreux de tous ses sponsors. Nous voulons particulièrement remercier nos sponsors Platine : Intel, Red Hat et la Fondation Linux.