Comment le Cyber Resilience Act traite-t-il les logiciels open source (FOSS) ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Les logiciels open source non commerciaux développés en dehors d'une activité commerciale échappent largement au Règlement sur la cyberrésilience. La monétisation peut changer la donne : réserver des fonctionnalités au paiement ou percevoir des dons supérieurs aux coûts de développement peut rendre le projet commercial. Un fabricant commercial qui intègre de l'open source reste pleinement responsable du produit final.

Key Facts

  • Le FOSS non commercial est largement hors champ (considérant 18).
  • Accepter des dons modestes ne déclenche pas à lui seul un statut commercial.
  • Le statut commercial peut résulter de fonctionnalités payantes, d'offres dual-license ou de dons supérieurs aux coûts.
  • Les gardiens de logiciels open source relèvent d'un régime allégé et sont exemptés d'amendes (art. 24, 64).
  • Le fabricant commercial est pleinement responsable des composants open source intégrés ; la responsabilité ne se transfère pas aux mainteneurs bénévoles.

Le RCR exclut les logiciels open source qui ne sont pas fournis dans le cadre d'une activité commerciale : les projets réellement non commerciaux en sont donc largement exclus. La nuance tient à la monétisation : accepter des dons ne rend pas à lui seul un projet commercial, mais réserver des fonctionnalités ou mises à jour essentielles derrière un paiement, proposer une offre entreprise payante à côté d'une version communautaire gratuite, ou percevoir des dons supérieurs aux coûts de développement peut basculer le projet dans le champ commercial (art. 24). Un rôle dédié de « gardien de logiciels open source » s'applique aux entités qui assurent un soutien durable à de l'open source à vocation commerciale ; les gardiens doivent maintenir une politique de cybersécurité et coopérer avec les autorités, mais sont exemptés d'amendes administratives (art. 64). Point crucial : lorsqu'un fabricant commercial intègre des composants open source dans un produit qu'il met sur le marché, il assume l'entière responsabilité juridique de la sécurité du produit final. La responsabilité ne peut être renvoyée en amont vers des mainteneurs bénévoles.

Et maintenant

Découvrez comment Acuna automatise ça