Réglementation et logiciel libre, compatibles ?

closeCet article a été publié il y a 2 ans 10 mois 13 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

obligations logiciel libre réglementationPeut-on utiliser des logiciels libres dans des domaines contraint par des réglementations et autres obligations légales ? Une question qui a été au cœur des échanges lors de l’apparition de la loi de finance 2016.

Certains termes de ce texte de loi pouvaient effrayer : inaltérabilité pour ne citer que celui-ci. Cependant ce critère concerne avant tout les données de l’application et pas l’application en elle-même.

Maintenant que ce texte de loi est en application,  comment répondre aux contraintes de la loi tout en préservant au mieux les libertés fondamentales des utilisateurs ?

Dans le cadre de cette fameuse loi de finance 2016, en tant que prestataire installant en dernier lieu l’application Dolibarr chez nos clients, c’est à nous que revient le rôle d’attester de la conformité de ce dernier aux critères d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. Au cas où un client attesté venait à réussir à tromper le fisc malgré tout et se faisait prendre, nous serions co-responsable sur le plan pénal et financier de façon illimitée.

Vous comprendrez tout de suite qu’en tant que patron, cela vous fait quelque peu réfléchir avant de prendre la décision de signer une attestation. Il fallait donc trouver une solution permettant de « brider » les possibilités d’intervention sur le logiciel et la base de données. Avec un logiciel libre en PHP dont le code source est disponible, sans parler de la possibilité d’ajouter des extensions pouvant intervenir sur le comportement et la base de données, l’opération n’est pas aisée.

Malheureusement, la seule solution « fiable » que nous ayons trouvée est de fermer l’accès au code source et à la base de données (du moins en modification). En gros de faire une « boite noire ». Mais quand on a fait du logiciel libre et de ces valeurs son fer de lance, cela fait un peu mal au ventre….

Nous allons donc délivrer des attestations, mais uniquement dans certains contexte techniques précis : en hébergement sur notre infrastructure ou dans des machines virtuelles sur site auxquelles le client n’aura pas accès (du moins pas facilement…).

Pour préserver la possibilité de modifier soi-même Dolibarr, nous proposons un « sas » constitué par un dépôt sur notre instance Gitlab. Le client pourra ainsi proposer des modifications que nous pourrons auditer et décider d’intégrer a son instance Dolibarr de production.  La contrepartie sera hélas le coût, le temps passé à auditer restant facturé. Mais nous saurons rester « light ». L’idée n’est pas de se faire de l’argent facile sur le dos de nos clients. Les différentes possibilités et tarifs associés sont décrits sur le site d’Open-DSI.

Dans l’immédiat, nous n’avons pas de solution moins contraignante. Une externalisation de l’historique chaîné des transactions a été un moment envisagé, mais cela introduit tout de même des possibilités de « bidouillage » en amont.

Il n’en reste pas moins vrai que celui qui veut frauder trouvera le moyen. Le tout est qu’il ne puisse pas le faire via le logiciel que nous lui aurons mis à disposition.

Philippe Scoffoni

Je barbote dans la mare informatique depuis 30 ans (premier ordinateur à 16 ans, un ORIC ATMOS) et je travaille à mon compte au travers de ma société Open-DSI. J'accompagne les associations, TPE et PME dans leurs choix et dans la mise en oeuvre se solutions informatiques libres.

9 réponses

  1. mortier dit :

    bon, ben bonne chance car une loi qui rend le prestataire responsable de manière illimitée est juste inapplicable. je ne sais pas dans le contexte juridique français mais en Belgique cette loi serait inapplicable. le phantasme du logiciel inviolable me fait quand même franchement marrer.

    Dans l’horeca par exemple en Belgique il y a bien des machines spécialises imposée dans les commerces, mais la loi a déjà été assouplie plusieurs fois car inapplicable dans un contexte de restaurant.

    Ça me fait penser a cet article de blog lu ce matin sur linkedin https://blog.microlinux.fr/data-dock/

    ou comment tuer un industrie par des réglementations absurdes

  2. Tetedegenie dit :

    Dolibarr possède une fonction afin de vérifier si le code a été modifié (outil/vérifier intégrité). Ceci n’est il pas suffisant pour « retourner » la faute sur un client en cas de modification du code ?

  3. @Tetedegenie : Il suffit qu’il modifie le code, fait ces bidouilles et remet le code source d’origine… Ni vu ni connu.
    Comme je n’ai aucune idée de ce que la jurisprudence retiendra comme moyen « suffisant » de protection, je suis obligé en l’état de sortir l’artillerie lourde.

  4. @Cascador : j’ai répondu dans les commentaire à Umli qui me semble avoir lu cet article un peu trop rapidement et sans trop creuser le sujet 🙂 Merci pour tes réponses.
    Très étonné de voir dans l’article de Philippe Pary que Dolibarr n’est pas concerné. Ce dernier dispose d’un module de point de vente, autrement dit d’un caisse en standard. Toute personnes assujetti à la TVA l’utilisant entre clairement dans le périmètre d’application de la loi.

  5. Mais dernièrement, il se confirme que seuls ceux qui utilisent le point de vente de Dollibar auront besoin d’une attestation Dollibar.
    Est il donc si couramment utilisé ? Une caisse tierce n’offrirait elle pas toutes les garanties sans risque de crise de nerfs ?

  6. @Dominique,
    J’ai sans chercher déjà dans mes clients actuels au moins 3 qui utilisent le module PDV ou un module complémentaires de type point de vente. Je pense qu’il y a pas mal de monde en fait de concerné.
    De ma lecture a ce jour de tout ce qui a été publié, je ne vois pas de limitation au seules fonctions de point de vente. Il y a un fil en cours sur la liste comptabilité de l’APRIL (mais tu es au courant:-) ) sur la rédaction en cours d’un futur BOI (Bulletin officiel des impôts). Et sa se présente pas très bien pour une stricte restriction claire aux fonction d’enregistrement des règlements…
    Point 80, je cite
    >Toutes les données de l’opération doivent être inaltérables, de la prise de commande jusqu’à l’enregistrement du règlement.
    Au secours….

  7. Nick dit :

    je me demandais si la blockchain ne pouvait pas etre une solution d’inaltérabilité ?

  8. @Nick: le chaînage de blocs est une technique, donc pas une solution en tant que tel. En revanche, une solution d’inaltérabilité peut utiliser le chaînage de blocs. C’est indiqué dans différents documents qui précisent les algorithmes valides (dont le chaînage de blocs) et les algorithmes non valides.