Les développeurs open source ne peuvent pas toujours travailler avec des pays sous sanctions internationales. De nombreuses réglementations, notamment celles de l’OFAC (Office of Foreign Assets Control) aux États-Unis, imposent des restrictions sur les interactions avec certaines nations, entreprises et individus. La Linux Foundation vient de publier un guide pour aider les programmeurs à mieux comprendre ces contraintes et éviter tout risque juridique.
La communauté open source s’est toujours construite sur la collaboration et l’échange libre des connaissances. Cependant, les lois sur les sanctions ne laissent pas de place à l’exception : elles s’appliquent à tous, y compris aux contributeurs bénévoles. La Linux Foundation espère que, dans le futur, des clarifications permettront de garantir que l’open source puisse continuer à fonctionner sans entrave tout en respectant les cadres réglementaires. Un guide est publié, à destination principalement des développeurs américains, mais forcément d’utilité aussi pour les développeurs européens.
- Guide complet (en anglais) : Navigating Global Regulations and Open Source: US OFAC Sanctions
Comprendre les sanctions et leurs impacts sur l’open source
Les sanctions internationales visent à restreindre les transactions avec des entités considérées comme menaçantes pour la sécurité nationale ou la politique étrangère de certains pays. Elles ne concernent pas uniquement les échanges financiers : elles peuvent aussi s’appliquer aux collaborations techniques, y compris dans les projets open source.
Par exemple, les sanctions de l’OFAC ciblent non seulement des pays comme la Russie, l’Iran ou la Corée du Nord, mais aussi certaines entreprises et individus listés sur la Specially Designated Nationals and Blocked Persons List (SDN). Si un développeur interagit avec une entité sanctionnée, même sans en avoir conscience, il risque des pénalités importantes.
Ce que les développeurs doivent savoir
Le guide donne des exemples concrets.
L’exemption des « informations publiques » :
Le code open source est généralement considéré comme une « information publique » et peut être partagé librement. Cependant, si un développeur reçoit une demande spécifique d’une entité sanctionnée pour modifier ou adapter du code, cela peut être interprété comme une « prestation de service » interdite.
Éviter les contributions suspectes :
Accepter des contributions anonymes ou indirectes de la part d’un développeur affilié à une entité sanctionnée peut poser problème. Il est recommandé de vérifier les contributeurs et de rester vigilant.
Limiter les interactions directes :
Si un développeur envoie une correction de bug depuis un pays sous sanction, il est possible de l’accepter. En revanche, engager une discussion avec lui sur l’amélioration du patch ou sur d’autres modifications du code pourrait être risqué.
Ne pas signer de Contributor License Agreement (CLA) avec des entités sanctionnées :
Certains projets open source exigent la signature d’un CLA. Si une entité sanctionnée accepte cet accord, cela peut être considéré comme une transaction interdite.
📖 Le guide est accessible en ligne en anglais sur le blog de la Fondation Linux. Il a été traduit, à ce stade, uniquement en chinois et en japonais.
