Open source : avec le CRA et l'AI Act, le « gratuit par défaut » devient un choix de gouvernance

16/6/26
👈 les autres actualités

L'open source a longtemps été perçu comme une ressource gratuite, disponible et sans contrepartie. Avec le Cyber Resilience Act et l'AI Act, cette époque est révolue : intégrer une brique open source devient un acte de gouvernance, traçable et opposable. Pour les DPO et RSSI, c'est un nouveau périmètre de conformité qui s'ouvre.

Ce qui s'est passé

Une tribune publiée sur Silicon.fr remet en cause le réflexe du « gratuit par défaut » qui a accompagné l'adoption massive du logiciel libre en entreprise. L'argument est net : les deux réglementations européennes majeures de la décennie — le Cyber Resilience Act (CRA) côté cybersécurité, et l'AI Act côté intelligence artificielle — transforment l'open source en actif stratégique soumis à des obligations de traçabilité, de gestion des vulnérabilités et de gouvernance documentée.

Le constat est particulièrement vrai pour l'IA. Un modèle peut être « techniquement ouvert » — ses poids publiés, son architecture documentée — sans être transparent sur ses données d'entraînement, ses biais ou ses limites d'usage. Pour les entreprises qui avaient déjà adopté une approche professionnelle de l'open source (support industriel, cycles de vie contrôlés, gouvernance rigoureuse des composants), la conformité au CRA n'est qu'une formalisation de pratiques existantes. Pour les autres, c'est un rattrapage à marche forcée.

Pourquoi c'est important

Le calendrier ne laisse aucune marge. Comme nous l'avions détaillé à propos des alertes de l'ENISA sur le Cyber Resilience Act, le reporting des vulnérabilités exploitées s'applique dès le 11 septembre 2026, et les obligations de fond — le security by design — au 11 décembre 2027. L'ENISA va plus loin : avec la généralisation des outils de détection de failles dopés à l'IA, le secure-by-design devient la « licence d'exploitation » des entreprises tech. Ne pas corriger une vulnérabilité détectable devient difficilement défendable.

Cette exigence converge directement avec l'article 32 du RGPD. L'« état de l'art » qui définit le niveau de sécurité attendu est redéfini par l'IA : une faille connue, dans un composant open source intégré à un traitement de données personnelles, expose désormais l'organisation à la fois au CRA et au régime de sécurité du RGPD. Côté IA, le guide complet de conformité à l'AI Act rappelle que l'usage d'un modèle, même open source, impose de comprendre son entraînement, de documenter son usage et de garantir sa conformité selon sa classification de risque. L'open source n'est plus un simple accélérateur technique que l'on branche sans questionnement.

Ce que ça change pour les organisations

Concrètement, quatre chantiers s'imposent. D'abord, cartographier les composants open source utilisés en production — logiciels comme modèles d'IA — via un inventaire de type SBOM (Software Bill of Materials). Ensuite, industrialiser la veille de vulnérabilités et le traitement des correctifs, en s'appuyant sur les outils de détection désormais accessibles. Troisième chantier : documenter la chaîne IA complète, du dataset brut au modèle déployé, pour répondre aux exigences d'auditabilité de l'AI Act. Enfin, verrouiller les contrats fournisseurs et sous-traitants, car la responsabilité ne disparaît pas parce qu'un composant est gratuit.

Surtout, cette mise en conformité ne peut plus reposer sur une seule fonction. C'est exactement le message que portait la tribune sur le fait que le RSSI ne peut plus être le seul responsable du risque IA : data science, IT, juridique et métiers doivent partager la responsabilité technique et réglementaire. La logique est identique à celle qui sous-tend la directive NIS 2 : la sécurité n'est plus un poste de coût isolé, mais une fonction transverse intégrée dès la conception.

Ce que Leto pense de cette décision

Le vrai basculement n'est pas réglementaire, il est culturel. Tant que l'open source était « gratuit », personne n'en assumait la gouvernance ; le CRA et l'AI Act assignent désormais un propriétaire à chaque composant. Pour les DPO, la leçon est simple : un logiciel ou un modèle gratuit n'a jamais été sans coût — il avait seulement un coût caché, qui devient aujourd'hui une obligation documentée. Les organisations qui traiteront l'inventaire et la traçabilité de leurs briques open source comme un chantier de conformité, et non comme une corvée technique, prendront une longueur d'avance avant septembre 2026.

Sources : Silicon.fr — « L'open source n'est plus "gratuit par défaut" »

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026