Réglementation, souveraineté, compétitivité : faire évoluer la régulation européenne pour y intégrer Open Source et souveraineté

Quelques jours après les Rencontres Numériques de Strasbourg 2026, les réflexions de l’Atelier 10 « Using European regulation to boost economic competitiveness » continuent à faire leur chemin, notamment une proposition très concrète : clarifier deux angles morts de notre droit du marché intérieur, à savoir l’intégration d’une logique de compétitivité dans une doctrine pensée autour de la seule concurrence et la clarification de la place de l’Open Source dans la notion de mise sur le marché.

Pour rappel, les Rencontres Numériques de Strasbourg se sont tenues du 15 au 17 avril 2026 au Parlement européen, pour leur troisième édition co-organisée par Numeum et le Cigref. Le thème retenu, « Mutations numériques : de l’ambition à l’action », a structuré deux jours de plénières et dix ateliers thématiques.

L’Atelier 10, co-présidé par Véronique Lacour (EDF) et Sophie Batas (Dassault Systèmes) et facilité par Vanessa Dewaele (Veolia) a été l’occasion de nombreux échanges. Au fil des débats, l’idée partagée d’une régulation capable de soutenir pleinement les démarches des acteurs privés concourant à une souveraineté Européenne. Les échanges ont fait apparaître la nécessité d’assurer une réelle convergence entre les actions menées par le secteur privé d’une part et par le législateur d’autre part.

C’est en fin d’atelier etdurant le voyage retour que s’est installée l’idée de faire évoluer durablement les concepts manipuler durant l’atelier au travers d’outils de soft law ,tel que le Blue Guide de la Commission, afin de donner une orientation convergente aux travaux passés et à venir, à la fois concernant ces enjeux de souveraineté (qui vise à allier concurrence et compétitivité) et pour pleinement prendre en compte les spécificités de l’Open Source (qui constitue la source d’innovation incontournable pour regagner notre souveraineté). Parce qu’il est à la fois un outil d’interprétation des textes existants et un instrument d’harmonisation pour ceux à venir, il offre le véhicule le plus pragmatique pour porter deux clarifications utiles, sans exclure, en parallèle, des véhicules législatifs plus structurants.

Le diagnostic de l’atelier : la régulation pour donner confiance et renforcer la compétitivité

Le diagnostic partagé par les participants tient en trois frictions :

1. les législations sont perçues comme détournées de leur intention initiale au fil du processus de co-législation, voire lors de leur transposition nationale (cf notre article sur l’articulation des textes européens) ;
2. un investissement compliance qui peine à se traduire en gain d’innovation (et qui crée potentiellement une disparité entre les PMEs non outillée à cette fin et les grands groupes pour qui cela entre dans le business as usual) ;
3. la fragmentation persistante des 27 régimes nationaux qui dilue l’effet d’un marché intérieur pourtant au cœur du projet européen.

Deux chantiers ont été identifiés comme prioritaires : Digital Trust (autour notamment de la révision du schéma EUCS) et Industrial Strategy & Competitiveness (autour du DMA, du Data Act et de la commande publique). Au-delà, un constat transversal a émergé : l’Europe joue pleinement son rôle de protection des consommateurs et des citoyens, mais elle peine à intégrer avec la même finesse les intérêts des acteurs économiques européens. Les deux logiques ne sont pourtant pas antagonistes. Elles se combinent dès lors qu’on accepte de penser la régulation comme un vecteur de compétitivité au même titre qu’un outil de protection. C’était tout notre travail des ateliers qui s’est traduit en deux lots de recommandations :

• un cadre unifié européen de souveraineté à plusieurs niveaux, horizontal, adossé à la révision du Cybersecurity Act et au futur Cloud and AI Development Act (CADA), proposition attendue au premier trimestre 2026), couvrant cloud, logiciel, IA et chaîne d’approvisionnement (semi-conducteurs compris). Les caractéristiques attendues : niveaux scalables, business-centricity, applicabilité TPE/PME, protection contre l’extraterritorialité, stabilité dans le temps, avec une préférence assumée pour un règlement (plutôt qu’une directive afin d’éviter la re-fragmentation en 27 transpositions).
• une stratégie industrielle européenne pour la souveraineté numérique. Elle s’appuie sur deux piliers : 1) une préférence européenne dans la commande publique, inscrite explicitement dans le CADA sur le modèle du Buy American Act et avec des critères de souveraineté opérationnels (localisation des données, juridiction applicable, titularité et licences de la propriété intellectuelle (et gouvernance de l’IP), protection contre l’extraterritorialité et les réglementations en matière d’export control) ; et 2) un fonds souverain numérique européen ouvert à l’épargne citoyenne.

Assortis d’un fast-track législatif pour les « sujets numériques critiques », ces sujets sont déjà dans le viseur de la Commission. L’enjeu n’est donc pas de les pousser dans l’agenda, mais de faire en sorte que la rencontre entre ces textes en gestation et les intérêts économiques européens se fasse le plus en amont possible et de la manière la plus harmonieuse possible (et donc au delà des seuls règlement en gestation).

À noter :

• concernant le périmètre de la souveraineté, qu’un consensus a rapidement été atteint concernant l’extension des données à l’ensemble de la chaîne d’approvisionnement. La question est tout aussi importante pour le cloud que pour la circulation des produits souverains, et elle se pose avec une acuité croissante pour les objets connectés (IoT), l’embarqué industriel et plus largement les composants logiciels critiques de la supply chain.
• les échanges ont rappelé la nécessité d’adapter la réglementation actuelle afin de reconnaître la spécificité de la diffusion numérique des logiciels, et en particulier la mécanique propre à l’Open Source. Les critiques portées avec le CNLL dans le Guide de conformité au CRA pour les communautés Open Source sont justement que la doctrine actuelle de la mise sur le marché a été pensée pour des produits tangibles circulant dans des canaux de distribution identifiables, et qu’elle décrit mal les modalité de diffusion des logiciels libres et Open Source (notamment la publication sur une forge avec une simple offre de contracter).

Intégrer et faire évoluer ces concepts dans la réglementation européenne

Plusieurs textes européens matérialisent les concepts qui nous ont intéressés, étant de ce fait autant de possibilité de traduire les évolutions souhaitées :

• la Décision du 9 juillet 2008 (constituant le cadre de référence du New Legislative Framework, liant politiquement le Parlement, le Conseil et la Commission),
• les Règlements (CE) nº 765/2008 et (UE) 2019/1020 sur la surveillance du marché, et les différents textes sectoriels (CRA, RIA, PLD pour ne citer qu’eux),
• le Blue Guide 2022/C 247/01 comme communication interprétative de la Commission qui explique comment le NLF doit être appliqué et harmonise la lecture des textes sectoriels par les autorités nationales — c’est en quelque sorte le livre de chevet pour qui souhaite articuler les différents textes,
• le Digital Omnibus qui visera à simplifier l’application des différents dispositifs (actuellement relativement critiqué),
• et le très attendu Cloud and AI Development Act (CADA) qui devrait pouvoir, de concert avec la stratégie Open Source européenne, orienter la stratégie européenne dans une logique articulant souveraineté et constitution de software supply chain de confiance (notamment par l’Open Source).

Plusieurs chantiers semblent pouvoir être mobilisés en fonction

• le Digital Omnibus afin de poser une définition harmonisée de l’« activité commerciale » et du commercial Open Source commune au CRA, au RIA et à la PLD.

Même si ce texte ne cesse de se faire désirer, il constituerait l’outil de prédilection permettant d’harmoniser les concepts mobilisés entre les différentes réglementation européenne..

En effet, chaque texte sectoriel récent a bâti sa propre exception Open Source, avec ses définitions, ses seuils, et ses zones grises (voir notamment le billet sur l’articulation des règlements). Des critères opérationnels d’activité commerciale pourrait être construits, suffisamment fins pour rendre compte des modèles réels : seuils, formes d’engagement économique, relations contributeurs/mainteneurs, modèles open core, dual licensing, stewardship, sponsoring, services associés. Une typologie des rôles ensuite (développeur individuel, contributeur ponctuel, mainteneur, Open Source Software Steward au sens de l’article 24 du CRA, éditeur Open Source, intégrateur), alignée avec la terminologie des règlements sectoriels. Une définition commune du commercial open source enfin, qui puisse servir de référence transversale à tout le NLF, du CRA au RIA en passant par la PLD.

• le CADA afin d’intégrer les critères de souveraineté opérationnels qui traitent l’Open Source comme un vecteur naturel de résilience, notamment à l’extraterritorialité, et à porter dans le débat public la traduction concrète d’un Buy European soutenable juridiquement au regard de l’article 18 TFUE et des engagements AMP.

Le rapport Draghi remis à la Commission le 9 septembre 2024 a posé les mots sur la dépendance numérique européenne : environ 80 % des produits et services numériques utilisés en Europe proviennent d’acteurs étrangers. Le rapport appelle à une politique industrielle coordonnée et à des formes de préférence européenne ciblée, en rupture avec la pure neutralité concurrentielle. Le CADA a pour objectif de mettre en oeuvre un certain nombre de préconisation. C’est à la fois les enjeux de souveraineté qui pourraient être introduits (dans une approche cloud providers), mais aussi toutes les réflexions relatives à la supply chain, étant entendu que l’autonomie de ces acteurs ne sera réelle qui si l’infrastructure technique sous-jacente est ouverte et interopérable (et gérée de manière ouverte et commune).

Le droit européen de la concurrence (articles 101 à 109 TFUE) structure un marché intérieur ouvert et compétitif, mais neutre quant à l’origine des acteurs. Ce principe, cohérent avec le projet de marché unique, est en décalage croissant avec les pratiques des autres grands blocs. Les États-Unis ont depuis 1933 bâti une panoplie d’instruments de préférence nationale, récemment complétée par le CHIPS and Science Act (2022) et les dispositifs de soutien de l’Inflation Reduction Act (2022). La Chine articule une politique industrielle assumée autour de Made in China 2025 et de ses dispositifs de substitution d’importations.

• la révision du Blue Guide pour y accueillir la doctrine transversale manquante : typologie des rôles Open Source, critères opérationnels d’activité commerciale, lecture du « produit européen » numérique, traitement des dépendances et de la supply chain.

Le Blue Guide étant une communication interprétative de la Commission, sa révision ne requiert pas de procédure législative ordinaire et peut intervenir dans des délais bien plus courts qu’un règlement ou une directive. Son adaptation permettrait de reconnaître la spécificité de la diffusion numérique des logiciels, et en particulier la mécanique propre à l’Open Source. Les critiques portées avec le CNLL dans le Guide de conformité au CRA pour les communautés Open Source sont justement que la doctrine actuelle de la mise sur le marché a été pensée pour des produits tangibles circulant dans des canaux de distribution identifiables, et qu’elle décrit mal les modalité de diffusion des logiciels libres et Open Source (notamment la publication sur une forge avec une simple offre de contracter).

Soit la publication Open Source n’est pas en tant que telle une mise sur le marché, auquel cas les exceptions sectorielles récentes sont largement redondantes et leur complexité est sans objet. Soit elle l’est dès qu’elle s’insère dans une activité commerciale, auquel cas il faut choisir : appliquer la règle commune à tout l’Open Source commercial (ce que font, de fait, les règlements sectoriels, au prix de la fragmentation décrite plus haut), ou reconnaître à certaines formes d’Open Source commercial un statut particulier justifié par des motifs d’intérêt public et la soutenabilité de l’écosystème.

• à plus long terme, la question d’une révision ciblée de la Décision 768/2008 pour y intégrer un volet numérique, ou d’un acte-cadre horizontal dédié à la mise sur le marché numérique, pourrait être portée dans la doctrine (de manière contraignante, contrairement au Blue Guide qui relève du domaine de la soft law.

Par exemple la Décision 768/2008 définit la mise à disposition comme toute fourniture de produit destiné à être distribué, consommé ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit. Le critère déterminant est bien l’activité commerciale (ce qui est plus large que la gratuité), en revanche aucun exemple ne permet de projeter directement ce concept pour les communautés et les projets Open Source.

C’est peut être aussi ici que la question d’un soutien particulier aux acteurs de l’Open Source pourrait être posée, compte tenu de la contribution réelle apportée à une infrastructure numérique ouverte. Cela permettrait éventuellement de prévoir des régimes d’incitation ou d’accompagnement, de la même manière que les statuts dérogatoires de l’économie sociale et solidaire sont adossés à des conditions de gouvernance et de lucrativité précises. Cela d’autant plus que l’Open Source joue là un rôle particulier dans la recherche d’une souveraineté : la liberté technique et juridique consacrée par les logiciels Open Source permet de reconstruire une chaîne d’approvisionnement alternative si l’accès à la brique initiale venait à être coupé (sorte d’assurance juridique contre l’extraterritorialité).

Plus encore

Protéger les acteurs européens contre l’extraterritorialité (EAR, OFAC et export controls)

La question de l’extraterritorialité est directement liée à celle de la souveraineté numérique. Les Export Administration Regulations (EAR) américaines et les sanctions gérées par l’Office of Foreign Assets Control (OFAC) s’appliquent à tout composant logiciel ou technologie dès lors qu’il contient de la US-origin technology, et ce où qu’il se trouve sur la planète. Un éditeur européen qui intègre une bibliothèque de cryptographie américaine, un intégrateur qui déploie un service cloud sur une infrastructure fournie par un acteur soumis à ces réglementations, une communauté Open Source qui héberge son dépôt sur une forge américaine : tous entrent dans le champ matériel des lois extraterritoriales, à des degrés divers (avec l’exemple de GitHub en juillet 2019 qui a restreint l’accès aux comptes privés d’utilisateurs situés en Iran, en Syrie et en Crimée — y compris pour des développeurs européens en déplacement dans ces zones).

Cet angle nourrit la réflexion : une doctrine opérationnelle du « produit européen » n’a de sens que si elle intègre, parmi ses critères, la résistance aux mesures unilatérales étrangères : la capacité pour un acteur européen de poursuivre son activité sans être contraint par un régime d’autorisation d’exportation ou de sanctions extérieur au droit de l’Union (avec, dans cette hypothèse, la garantie d’être protégé par le droit européen).

Étendre ces enjeux de souveraineté dans les autres règlements européens

Il est nécessaire de s’assurer qu’une préférence européenne puisse être en accord avec les principe de non-discrimination (article 18 TFUE) et aux engagements de l’Union au sein de l’Accord sur les marchés publics de l’OMC (AMP). Cela peut, comme pour le règlement IPI — International Procurement Instrument –, s’appuyer sur l’introduction d’une réciprocité à l’égard des pays tiers (qui eux mêmes ont défini leurs critères de souveraineté) en définissant des critères européens objectivement justifiés (sécurité, résilience, protection des données, etc.).