La Commission européenne a lancé un appel à commentaires pour une nouvelle initiative stratégique intitulée « Vers des écosystèmes numériques ouverts européens », dont l’adoption est prévue au premier trimestre 2026. Motivée par les objectifs essentiels de souveraineté technologique et de cybersécurité, cette initiative vise à réduire la dépendance de l’Union européenne vis-à-vis des infrastructures numériques non européennes en renforçant le secteur open source européen. S’appuyant sur la stratégie 2020-2023 en matière de logiciels open source et complétant la future loi sur le développement du cloud et de l’IA, cette feuille de route vise à identifier les obstacles à l’adoption, à soutenir le développement des communautés et des start-ups open source, et à garantir que les technologies ouvertes dans des secteurs critiques tels que l’IA, le cloud et les applications industrielles soient développées et régies dans un cadre européen sûr, compétitif et transparent.

L’appel à commentaires suscite un certain enthousiasme de la communauté Open Source, avec 334 réponses moins d’une semaine après son ouverture. Cf. ces statistiques.

Continuez la lecture pour le détail des questions posées, quelques éléments de contexte et quelques éléments de réponses possible.

Sommaire

• Les 10 questions clefs
  • Questions explicites
  • Questions implicites
• Bilan de la Stratégie Open Source 2020-2023 de la Commission européenne
  • 1. Forces, faiblesses et barrières
  • 2. Valeur ajoutée pour les secteurs public et privé
  • 3. Mesures concrètes au niveau de l’UE
  • 4. Priorités technologiques
  • 5. Compétitivité et résilience
  • 6. Souveraineté (réduire la dépendance)
  • 7. Passage à l’échelle (upscaling)
  • 8. Administration publique (adoption)
  • 9. Durabilité (modèles économiques et maintenance)
  • 10. Sécurité (supply chain)
  • Conclusion de l’analyse
• Eléments de réponse
  • 1. Forces, faiblesses et obstacles du secteur open source de l’UE
  • 2. Valeur ajoutée pour les secteurs public et privé
  • 3. Mesures et actions concrètes au niveau de l’UE
  • 4. Domaines technologiques prioritaires
  • 5. Secteurs pour une compétitivité et une cyber-résilience accrues
• Références

Les 10 questions clefs

On peut identifier dans l’appel à commentaires une dizaine de questions, divisées en questions explicites (posées spécifiquement aux parties prenantes dans la consultation) et questions implicites (les problèmes sous-jacents que l’initiative cherche à résoudre).

Questions explicites

Ces questions sont répertoriées directement aux pages 3 et 4 afin que les parties prenantes puissent y répondre :

1. Forces, faiblesses et obstacles : « Quelles sont les forces et les faiblesses du secteur open source de l’UE ? Quels sont les principaux obstacles qui entravent (i) l’adoption et la maintenance d’un open source de haute qualité et sécurisé ; et (ii) les contributions durables aux communautés open source ? »
2. Valeur ajoutée : « Quelle est la valeur ajoutée de l’open source pour les secteurs public et privé ? Veuillez fournir des exemples concrets, y compris les facteurs (tels que le coût, le risque, la dépendance, la sécurité, l’innovation, entre autres) qui sont les plus importants pour évaluer la valeur ajoutée. »
3. Mesures concrètes de l’UE : « Quelles mesures et actions concrètes peuvent être prises au niveau de l’UE pour soutenir le développement et la croissance du secteur open source de l’UE et contribuer à la souveraineté technologique et au programme de cybersécurité de l’UE ? »
4. Priorités : « Quels domaines technologiques devraient être prioritaires et pourquoi ? »
5. Compétitivité et résilience : « Dans quels secteurs une utilisation accrue de l’open source pourrait-elle conduire à une compétitivité et une cyber-résilience accrues ? »

Questions implicites

Voici les questions fondamentales qui motivent la nécessité de cette initiative pour la Commission, que l’on retrouve tout au long du contexte politique et de la définition du problème (pages 1-2) :

1. Souveraineté : Comment l’UE peut-elle réduire sa dépendance vis-à-vis des pays tiers en matière d’infrastructures numériques et reprendre le contrôle de sa sphère numérique ?
2. Passage à l’échelle : Comment l’UE peut-elle aller au-delà du financement de la recherche et de l’innovation pour soutenir réellement le passage à l’échelle, le déploiement industriel et la viabilité commerciale des innovations open source ?
3. Administration publique : Comment le secteur public (États membres et régions de l’UE) peut-il mieux adopter les solutions open source afin d’éviter la dépendance vis-à-vis d’un fournisseur et d’accroître la transparence ?
4. Durabilité : Comment l’UE peut-elle garantir que la valeur générée par les projets open source n’est pas uniquement exploitée en dehors de l’UE et que les développeurs européens ont accès au capital et aux infrastructures nécessaires à leur croissance ?
5. Sécurité : Comment tirer parti des logiciels open source pour améliorer la transparence de la chaîne d’approvisionnement et la gestion des vulnérabilités en matière de cybersécurité ?

Bilan de la Stratégie Open Source 2020-2023 de la Commission européenne

Comme indiqué en intro, cette consultation a pour but (entre autres) de réviser la Stratégie Open Source 2020-2023 de la Commission européenne. Voici une analyse rapide de son bilan.

Cette stratégie se définissait par son slogan "Think Open". Le point clef, qu’on lui a reproché à son époque, est qu’elle était principalement une stratégie de transformation interne et culturelle (comment la Commission gère son informatique), plutôt qu’une stratégie de politique industrielle (comment l’Europe construit sa filière).

1. Forces, faiblesses et barrières

• Analyse de la stratégie 2020-2023 : La stratégie identifiait correctement la force de l’Open Source comme levier d’innovation et de co-création.
• Limite/Impact : Elle s’est concentrée sur les barrières administratives internes (simplifier la bureaucratie pour permettre aux fonctionnaires de contribuer au code). Elle a largement ignoré les barrières de marché (financement, concurrence déloyale des géants US) qui pèsent sur le secteur privé européen.
• Bilan : Elle a réussi à lever des blocages juridiques internes, mais n’a eu que peu d’impact sur la fragmentation du marché européen.

2. Valeur ajoutée pour les secteurs public et privé

• Analyse de la stratégie 2020-2023 : Elle a parfaitement théorisé la valeur ajoutée pour le secteur public : « Argent public, Code public », éviter le verrouillage propriétaire (vendor lock-in), et l’interopérabilité.
• Limite/Impact : La stratégie visait à « montrer l’exemple » (lead by example). Cependant, l’impact réel sur le secteur privé est resté marginal, car la Commission a continué, paradoxalement, à dépendre massivement de solutions propriétaires (Microsoft 365) durant cette période, affaiblissant la portée de son message sur la valeur ajoutée de l’Open Source.

3. Mesures concrètes au niveau de l’UE

• Analyse de la stratégie 2020-2023 : La mesure phare et le grand succès de cette stratégie a été la création du bureau de programme Open Source (OSPO) de la Commission ("OSOR"). Elle a aussi facilité la publication de logiciels comme EUSurvey ou LEOS.
• Limite/Impact : Ces mesures étaient centrées sur l’institution (« Inner Source »). Il manquait des mesures de soutien financier direct à l’écosystème (type « Fonds Souverain ») qui sont demandées aujourd’hui.

4. Priorités technologiques

• Analyse de la stratégie 2020-2023 : La stratégie mentionnait le Cloud, l’IA et la Blockchain de manière générique.
• Limite/Impact : Elle manquait de ciblage stratégique. Elle traitait l’Open Source comme une méthode de travail, et non comme une brique de souveraineté pour des technologies critiques spécifiques (comme le demande aujourd’hui la Feuille de route sur le Cloud/Edge).

5. Compétitivité et résilience

• Analyse de la stratégie 2020-2023 : Le document mentionnait la « souveraineté technologique » en introduction, citant Ursula von der Leyen.
• Limite/Impact : L’approche est restée très « soft power » (influence par l’exemple). Elle n’a pas suffi à créer une résilience face aux chocs géopolitiques ou à l’extraterritorialité du droit américain (Cloud Act), car elle ne s’accompagnait pas d’une politique industrielle agressive.

6. Souveraineté (réduire la dépendance)

• Bilan 2020-2023 : La stratégie posait le principe « Stay in control » (Garder le contrôle).
• Réalité : C’est sans doute l’échec principal de la période. Malgré la stratégie, la dépendance de l’Europe aux hyperscalers non-européens s’est accrue (cf Asteres). La stratégie a sous-estimé la difficulté de migrer des infrastructures critiques vers de l’Open Source sans investissement massif dans des alternatives industrielles européennes.

7. Passage à l’échelle (upscaling)

• Bilan 2020-2023 : La stratégie encourageait le partage et la réutilisation (Reuse).
• Réalité : Le passage à l’échelle a été limité à des outils de niche (sondages, légistique). La stratégie n’a pas fourni les mécanismes pour transformer des projets Open Source européens en géants technologiques capables de rivaliser mondialement.

8. Administration publique (adoption)

• Bilan 2020-2023 : Elle s’appuyait sur la Déclaration de Tallinn (2017).
• Réalité : La création de l’OSPO a été un modèle positif suivi par certains États membres (ex: France - avec les limites que l’on sait, Allemagne, Pays-Bas…). Cependant, l’adoption reste très hétérogène. La stratégie manquait de “dents” (obligations contraignantes) pour forcer l’adoption des logiciels libres et des standards ouverts dans les marchés publics des États membres.

9. Durabilité (modèles économiques et maintenance)

• Bilan 2020-2023 : La stratégie prévoyait que les développeurs de la Commission puissent contribuer “incidemment” aux projets externes.
• Réalité : C’est une réponse insuffisante au problème de la maintenance des infrastructures critiques (le problème de « l’inconnu du Nebraska »). Le bénévolat ou les contributions ponctuelles de fonctionnaires ne remplacent pas un financement structurel des fondations et des mainteneurs, point soulevé par les experts (Doc 3).

10. Sécurité (supply chain)

• Bilan 2020-2023 : Point fort de la stratégie via le programme EU-FOSSA (audits de sécurité financés par l’UE).
• Réalité : La Commission a bien identifié que « Open Source = transparence = sécurité potentielle ». Cependant, l’approche était réactive (audit de l’existant). La nouvelle période (2024+) doit gérer les effets de bord du Cyber Resilience Act (CRA), qui a créé une insécurité juridique pour les développeurs Open Source que la stratégie 2020-2023 n’avait pas anticipée.

Conclusion de l’analyse

La stratégie 2020-2023 a été une étape culturelle nécessaire mais insuffisante.

• Son mérite : Elle a légitimé l’Open Source au cœur de l’administration européenne (création de l’OSPO, changement de mentalité).
• Sa limite : Elle est restée une stratégie informatique interne (« Comment la Commission utilise le logiciel libre ») et non une stratégie politique (« Comment l’Europe utilise le logiciel libre pour sa souveraineté »).

Nous appelons donc à ce que la nouvelle initiative (2026) opère ce basculement : passer de l’Open Source comme « bonne pratique administrative » à l’Open Source comme « arme de souveraineté industrielle ».

Eléments de réponse

La Feuille de route thématique « La voie du logiciel libre vers la souveraineté numérique et la compétitivité de l’Union européenne » rédigée par un groupe d’experts (dont je (NdM: Stefane Fermigier) faisais partie) de l’Alliance européenne pour les données industrielles, l’Edge et le Cloud, et publiée par la Commission en juillet 2025 fournit un certain nombre d’éléments de réponses aux questions ci-dessus. Avec 70 propositions il y a évidemment de quoi « faire son marché ». Voici quelques éléments de réponse possibles extraits du document.

1. Forces, faiblesses et obstacles du secteur open source de l’UE

Forces :

• Engagement politique et financier : l’Europe a démontré son engagement à travers le financement de la recherche (Horizon Europe, Digital Europe) et des cadres politiques (Data Act) qui favorisent la transparence (*p. 16-17).
• Écosystème en pleine croissance : on observe une expansion des fournisseurs européens de cloud et d’edge open source proposant des alternatives conformes au RGPD, ainsi que de grands consortiums multipartites (bien qu’ils soient confrontés à des défis) et des collaborations avec des instituts de recherche (p. 18-19).
• Cadres spécialisés : L’Europe assiste à l’adoption croissante de cadres open source spécialisés dans l’IoT dans des secteurs tels que l’industrie manufacturière et l’énergie (p. 19).

Faiblesses :

• Domination des technologies non européennes : le marché est fortement influencé par les technologies propriétaires et les hyperscalers non européens, en particulier dans les domaines du cloud, de l’edge computing et des technologies de conteneurisation (p. 20).
• Fragmentation : Les initiatives nationales sont souvent fragmentées et manquent de coordination au niveau européen (p. 17).
• Problèmes de gouvernance : De nombreux projets, même ceux qui bénéficient de contributions européennes, sont gérés par des entités non européennes (par exemple, la Linux Foundation), ce qui peut entraîner un décalage par rapport aux intérêts européens (p. 26).

Principaux obstacles :

(i) À l’adoption et à la maintenance :

• Obstacles à l’interopérabilité : Il existe un manque de « normes véritablement ouvertes » universellement adoptées et développées par des entités européennes. Cela entraîne une complexité d’intégration et des frictions entre les outils propriétaires et les outils open source (p. 24).
• Sensibilisation du marché et discours : les PME et les entreprises hésitent en raison d’idées fausses sur la complexité et le soutien, souvent alimentées par les discours marketing des fournisseurs dominants non européens (p. 25).
• Pénurie de compétences : l’offre de professionnels maîtrisant les technologies open source européennes, l’orchestration du cloud et la cybersécurité est insuffisante (p. 25-26).

(ii) Vers des contributions durables :

• Contraintes en matière de ressources et de financement : De nombreux projets essentiels dépendent de contributions bénévoles et de financements sporadiques. Le paysage actuel favorise souvent les grands projets bien établis, laissant les petites initiatives européennes innovantes sous-financées (p. 24-25).

2. Valeur ajoutée pour les secteurs public et privé

Le document identifie la valeur ajoutée dans plusieurs dimensions, en se concentrant principalement sur la souveraineté numérique, la sécurité, la résilience économique et la durabilité.

Exemples concrets et facteurs :

• Administration publique :
  • Souveraineté et contrôle : l’adoption de l’open source européen permet aux institutions de garder le contrôle sur le traitement et le stockage des données, réduisant ainsi leur dépendance vis-à-vis de fournisseurs étrangers soumis à des lois extraterritoriales (par exemple, la section 702 de la loi américaine FISA).
  • Sécurité et conformité : la transparence totale du code permet un audit rigoureux, garantissant la conformité avec les directives RGPD et NIS.
  • Coût et transparence : cela réduit les coûts d’approvisionnement/de licence et favorise la confiance du public grâce à des systèmes transparents (p. 50).
• Secteur privé (général et PME) :
  • Innovation : cela réduit les barrières à l’entrée pour les PME, leur permettant d’être compétitives en tirant parti d’une infrastructure abordable et personnalisable. Cela accélère les cycles de développement grâce à l’innovation collaborative (p. 13).
  • Réduction des risques : cela évite la dépendance vis-à-vis d’un fournisseur associée aux normes propriétaires (p. 11).
• Fabrication (industrie 4.0) :
  • Efficacité opérationnelle : permet une maintenance prédictive et une surveillance en temps réel.
  • Flexibilité : les normes ouvertes permettent l’intégration transparente de nouvelles technologies dans les systèmes existants, évitant ainsi la dépendance (p. 51).

3. Mesures et actions concrètes au niveau de l’UE

La feuille de route propose des actions (70 au total) réparties en cinq piliers afin de soutenir le secteur et de contribuer à la souveraineté et à la cybersécurité, notamment :

1. Développement technologique :

• Normes : définir et imposer une « interopérabilité exécutoire » basée sur des normes véritablement ouvertes pour toutes les infrastructures numériques financées par l’UE (p. 28-29).
• Financement : créer un « Fonds européen pour la souveraineté open source » (NB : EOSSF → EU-STF) pour les projets fondamentaux (p. 30).
• Architectures de référence : développer des implémentations de référence spécifiques à chaque secteur (par exemple, pour les soins de santé ou l’énergie) (p. 30-31).

2. Développement des compétences :

• Formation et certification : Lancer des programmes de certification pour la maîtrise de l’open source européen et financer des ateliers de formation axés sur l’industrie (p. 32-33).
• Éducation : Intégrer les principes de l’open source dans les programmes d’études STEM et créer des centres d’excellence dans les universités (p. 34).

3. Pratiques d’approvisionnement :

• Politique : Adopter des politiques « Fonds publics, code public, open source d’abord, préférence européenne » (p. 36).
• Lignes directrices : Créer des guides d’évaluation pratiques et un répertoire de solutions européennes recommandées à l’intention des responsables des marchés publics (p. 37-38).

4. Croissance et investissement :

• Plateforme d’investissement : créer une « plateforme européenne d’investissement dans l’open source » (EOSIP) afin de consolider les informations sur le financement (p. 41).
• Image de marque : lancer une initiative de promotion de l’image de marque afin de mettre en avant la sécurité et la souveraineté des projets européens (p. 43).

5. Gouvernance :

• Analyse de sécurité : donner la priorité aux évaluations de vulnérabilité pour les projets critiques et collaborer avec les agences de cybersécurité (p. 45).
• Comité consultatif : former un comité consultatif européen sur l’open source afin de superviser le financement et l’orientation (p. 47).

4. Domaines technologiques prioritaires

La feuille de route donne explicitement la priorité aux technologies Cloud, Edge et Internet des objets (IoT).

Pourquoi ces technologies sont-elles prioritaires ?

• Épine dorsale de l’infrastructure : ces technologies constituent « l’épine dorsale de l’infrastructure numérique moderne » et sont essentielles pour la sécurité nationale et économique (p. 10).
• Dépendance actuelle : l’Europe est fortement dépendante des hyperscalers non européens dans ces domaines, ce qui pose des risques en matière de confidentialité des données, de sécurité nationale et de résilience opérationnelle (p. 10).
• Tendances émergentes : certains sous-domaines sont mis en avant comme étant essentiels pour la souveraineté future :
  • Edge Computing : essentiel pour réduire la latence et assurer la souveraineté des données (en gardant le traitement proche de la source) (p. 20).
  • Conteneurisation/Orchestration : critiques pour l’évolutivité, mais actuellement dominées par des entités non européennes (p. 20).
  • IA/apprentissage automatique : l’intégration de l’IA dans les appareils périphériques, pour l’IoT industriel et les systèmes autonomes (p. 20).

NB: d’autres domaines prioritaires peuvent également être mis en avant, en dehors de la feuille de route, notamment le collaboratif (bureautique).

5. Secteurs pour une compétitivité et une cyber-résilience accrues

Le document identifie les secteurs suivants dans lesquels l’open source peut stimuler la compétitivité et la résilience (p. 50-53) :

• Administration publique : renforce la confiance, la souveraineté des données et réduit les coûts.
• Fabrication (industrie 4.0) : améliore l’efficacité de la production, réduit les déchets et empêche la dépendance vis-à-vis d’un fournisseur.
• Santé : sécurise les données sensibles des patients, permet l’interopérabilité entre les systèmes (par exemple, les dossiers médicaux électroniques) et accélère la recherche médicale.
• Énergie : optimise la gestion de l’énergie (réseaux intelligents), intègre les énergies renouvelables et réduit la consommation énergétique des centres de données.
• Autres secteurs : transports, agriculture, finance, éducation, villes intelligentes et industrie spatiale (en particulier l’analyse des données d’observation de la Terre) (p. 53).

Références

• La Commission européenne veut commercialiser l’open source pour en faire un levier de souveraineté numérique (Euractiv)
• European Commission issues call for evidence on open source (LWN)
  • Discussion (Hacker News)
• Open source software strategy 2020-2023 (Commission européenne)
  • Document en français
  • Discussion en français (LinuxFr.org)
  • Propositions d’évolution (2024)
  • Propositions d’évolution détaillées (2024)
• La Feuille de route thématique « La voie du logiciel libre vers la souveraineté numérique et la compétitivité de l’Union européenne » de l’Alliance européenne pour les données industrielles, l’Edge et le Cloud.
  • Discussion en français (LinuxFr.org)