SAAS, quelles licences open source adopter ?

Par Mben le mercredi 2 septembre 2009, 00:51 - En vrac - Lien permanent

Anne Perny, stagiaire juriste à LINAGORA, travaille depuis maintenant 5 mois à mes côtés, finalisant ainsi sa formation « Stratégies Juridiques du Développement International »^[1] et mettant en pratique la spécialisation open source choisie durant ces deux années de Master.

Les chantiers que nous menons de concert ou de façon plus autonome sont divers et vont de l’expertise open source (analyse contractuelle avant redistribution de logiciels) à la mise en place et le perfectionnement de la gouvernance open source de la société, en passant par les nombreuses problématiques qui sont le lot des juristes d’entreprise au sein de sociétés informatiques (NDA, CGU, contrats de sous-traitance, etc.). Outre le fait qu’elle allie avec brio des compétences juridiques et linguistiques bénéfiques à la Société (et des projets comme EOLE, pour lequel elle a su se rendre indispensable), elle est entièrement au fait des licences libres et open source, et c’est un vrai plaisir d’échanger avec elles sur ces problématiques.

Parmi les multiples tâches qu’elle mène de front, le résultat de l’une d’elles a été élargi afin de permettre la publication des slides que j’attache à ce billet (en attendant qu’elle crée son propre blog pour nous parler des licences libres). En quelques mots, il s’agissait de conseiller le choix de licences libres à la destination de projets hébergés en Saas et au regard de ce que certains ont appelé l’« asp loophole ».

Notes

[1] Le parcours ” Stratégies Juridiques du Développement International ” a pour objectif de former d’associer des compétences linguistiques et juridiques de haut niveau pour répondre aux attentes des professionnels du monde des affaires face à l’internationalisation croissante des échanges. Ce parcours offre deux spécialisations dans le domaine des technologies de l’information, dont une expertise dans l’analyse juridique de licences déterminant l’utilisation de logiciels de type “open source”

Vous verrez que ce court diaporama, symptomatique du cheminement de pensée amenant au choix d’une licence adaptée à son produit, est décomposé en trois étapes :

Saas : faut-il une licence open source particulière ?
Quelles sont les licences open source adaptées ?
Solutions retenues

Bonne lecture !

Annexes

Saas_quelles_licences_open_source_adopter_Final.pdf

Commentaires

1. Le mercredi 2 septembre 2009, 20:34 par PoluX

Bravo pour ce travail, le SAAS et, de manière générale l’informatique déportée (que ce soit dans les nuages du libre ou dans les obscurs abîmes) est et sera de plus en plus notre lot quotidien avec l’ubiquité explosive des systèmes d’information. Pourtant, je trouve que cette présentation est très centrée sur le développeur, et de la relation de réciprocité entre fournisseurs du service (à ce propos, la RPL est très bien nommée).

Voici quelques idées que je me suis permis d’isoler à ce sujet.

Là où la licence d’un logiciel ne déclare souvent que les droits et devoirs du distributeur à destination du receveur, l’éthique de la relation peut être résumée, par exemple dans un certain nombre de libertés que le distributeur accorde au receveur (RMS en a isolé 4, au regard des usages actuels de l’informatique sur poste client).

Le «cloud computing» offre une relation (et donc l’analyse qui en découle) beaucoup plus compliquée, dans la mesure où il s’agit d’une relation de service entre personnes. Je ne crois pas circonscrire le problème, mais voici quelques idées en vrac :

Le cloud computing n’est pas mauvais en soi. J’utilise des webmails depuis plus de 10 ans, et je ne crois pas avoir eu l’impression d’avoir été enchainé à aucun moment (sous réserve que les systèmes ne prennent pas les données en otage).
Le cloud computing nécessite une confiance, une réciprocité entre les tiers. Cette relation de confiance pourrait être amorcée, renforcée, par des règles strictes : publication du code source de l’application en ligne ; et illégalité (stricte !) d’un accès à la base de données via des méthodes non publiées.
Les données UGC doivent appartenir aux utilisateurs. Cela implique le droit de les détruire.
Le fournisseur de service devrait s’engager à intégrer les évolutions sur son système, à l’issue d’une consultation des utilisateurs (peut être restreint à des évolutions déjà disponibles sous forme de code).
À partir de ça, et constatant le pouvoir conséquent que je souhaite allouer à l’utilisateur du service, il semble peu probable de compter sur des services gratuits offerts par des gentilles multinationales pour retrouver ce genre de CGU. Sinon, payer, donc.

Bon, que penser de ceci ; voulez vous comparer avec les conditions d’utilisation de pas mal de services ?

2. Le jeudi 3 septembre 2009, 13:58 par Maps

Quelques remarques pour faire suite au message de Polux, qui soulève des points très intéressants (du côté utilisateur donc) :

(sous réserve que les systèmes ne prennent pas les données en otage).
Il faudrait en fait aller plus loin et parler de contrôle des données. Il y a plusieurs manières de voir la question du contrôle :

Les données peuvent être supprimées : ça rejoint le point suivant (voir plus bas).
Les données peuvent être rapatriées : cela sous-entend qu’on puisse *facilement* les récupérer, mais également qu’elles soient ensuite lisibles par des solutions non verrouillées (donc sous format ouvert).
Toute utilisation faite sur les données par un autre intervenant que l’utilisateur doivent être acceptées (note que c’est le cas pour la plupart sinon tous les réseaux sociaux, si seulement les gens prenaient le temps de lire les petites lignes…).

Les données UGC doivent appartenir aux utilisateurs. Cela implique le droit de les détruire.
C’est un point important souvent mésestimé. Exemple : les réseaux sociaux. Les gens pensent souvent que la suppression de leur profil (dans les cas où c’est déjà possible) implique la suppression des données. Ce n’est pas le cas pour la plupart, facebook conservant par exemple ad vitam æternam les données fournies.

Le fournisseur de service devrait s’engager à intégrer les évolutions sur son système, à l’issue d’une consultation des utilisateurs (peut être restreint à des évolutions déjà disponibles sous forme de code).
Si j’ai bien compris, tu proposes que les évolutions ne soient intégrées que si l’utilisateur l’approuve ? À la manière d’une MAJ logicielle sur son propre client, que l’on choisit d’installer ou non. C’est une idée très intéressante, qui sous-entend de reprendre le contrôle du logiciel. Par contre, ça me semble difficilement applicable : cela signifierait qu’il y ait une copie du logiciel par utilisateur, et ce n’est pas franchement idéal.

Pour revenir du côté développeur, et donc à la présentation d’Anne Perny, il y a quelques points qui méritent encore d’être discutés :

Le double licenciement. Il y a tout de même une règle de base à respecter dans ce cas précis. Elle est certes implicite, mais il n’est jamais négatif de le souligner : les 2 licences choisies doivent contenir une clause étendue au réseau. Dans le cas inverse, celle qui ne la contient pas ouvre une brèche énorme que l’autre ne peut pas combler vu que les licences ne sont pas exclusives (ex. OSL / LGPL : si je veux développer un SaaS sans redistribuer les sources, je peux grâce à la LGPL).

Et last but not least, une question déjà posée à plusieurs reprises : ne devrait-on pas inclure systématiquement une telle clause d’utilisation par le réseau ? Cf. par exemple Fabrizio Capobianco : “Now we just need developers to understand that using GPL v3 instead of AGPL v3 is just dumb. Your software is going to be used as a service, if not today, in a few years. Yes, YOUR software. Everything is going to be used as a service, even word processors… They can take it and do not give any changes back to your community.”

VVL :: Le Blog sur les Licences Libres, Open Source, et leur diffusion

SAAS, quelles licences open source adopter ?

Notes

Annexes

Commentaires

Recherche

Tags

Auteurs

S'abonner

Licences

Contact