L'Europe lance une consultation majeure pour faire de l'open source le socle de sa souveraineté numérique

La consultation vise à transformer l'open source en levier de compétitivité européenne

La consultation "Towards European Open Digital Ecosystems" est pilotée par la DG CNECT (unité Future Internet) et la DG DIGIT (unité Interoperability and Digital Government). Elle s'adresse à l'ensemble de l'écosystème : contributeurs individuels, entreprises, fondations, administrations publiques, universités et société civile.

Le périmètre technologique couvre sept domaines stratégiques : technologies internet, cloud et edge computing, intelligence artificielle, cybersécurité, open hardware, logiciels industriels (notamment automobile et manufacturing) et appareils connectés IoT. Le questionnaire structure les contributions autour de cinq questions clés :

• Forces et faiblesses du secteur open source européen et obstacles à l'adoption
• Valeur ajoutée de l'open source pour les secteurs public et privé (coût, risque, lock-in, sécurité, innovation)
• Mesures concrètes au niveau UE pour soutenir la croissance et la souveraineté technologique
• Technologies prioritaires à développer en Europe
• Secteurs d'impact où l'open source renforcerait compétitivité et cyber-résilience

La Commission identifie un problème structurel : 70 à 90% du code logiciel repose sur des composants open source, mais la valeur économique est souvent captée hors de l'UE. L'objectif affiché est de remplacer "les stacks propriétaires les plus coûteuses ou excessivement extractrices de données" sur le marché européen.

Les rapports Draghi et Letta posent les fondements politiques

Le rapport Draghi publié le 9 septembre 2024, intitulé "The Future of European Competitiveness", recommande de réduire la dépendance aux fournisseurs cloud et technologies propriétaires non-européens, identifiant des risques pour la sécurité, la souveraineté des données et l'autonomie stratégique. Le rapport préconise explicitement de soutenir les initiatives "within open-source frameworks" et propose la création d'un EU Cloud and AI Development Act. À ce jour, l'audit du Draghi Observatory indique que seulement 11,2% des 383 recommandations sont pleinement mises en œuvre.

Le rapport Enrico Letta "Much More Than a Market", publié le 17 avril 2024, propose l'ajout d'une cinquième liberté fondamentale au marché unique : la libre circulation de la connaissance, de la recherche, de l'innovation et de l'éducation. Letta appelle à la création d'un European Knowledge Commons et souligne que "les services numériques européens sont pratiquement inexistants", appelant à réduire la dépendance aux services de pays tiers.

Le EU Competitiveness Compass, annoncé à Davos le 29 janvier 2025 par Ursula von der Leyen, traduit ces rapports en feuille de route opérationnelle articulée autour de trois impératifs : innovation, décarbonation, et sécurité/réduction des dépendances. Il prévoit plusieurs initiatives liées au numérique ouvert pour le Q1 2026, dont l'European Innovation Act et le Cloud and AI Development Act.

Le Summit de Bruxelles rassemble l'écosystème autour de la souveraineté numérique

Le EU Open Source Policy Summit 2026 se tiendra le 30 janvier à Bruxelles sous le thème "Digital Sovereignty Runs on Open Source", organisé par OpenForum Europe. L'événement réunit des responsables européens de premier plan :

• Fabrizia Benini (Head of Future Internet Unit, DG CNECT)
• Thibaut Kleiner (Director, DG Connect)
• Leontina Sandu (Head of Unit, Interoperability and Digital Government)
• Trois eurodéputés : Aura Salla (EPP), Alexandra Geese (Greens/EFA), Michał Kobosko (Renew)
• Dirk Schrödter, Ministre de la Digitalisation du Schleswig-Holstein (pionnière de la migration vers l'open source)

Le programme couvre les enjeux critiques : EuroStack, Sovereign Tech Fund européen, OSPOs comme moteurs de souveraineté, alternatives cloud et IA, RISC-V et alternatives à CUDA, et une proposition de 4ème Organisation Européenne de Standardisation (ESO) dédiée aux logiciels ouverts.

La citation de Pearse O'Donohue (Director Future Networks, DG CNECT), prononcée lors du Summit 2025, résume la position européenne : "If we are to have answers to Draghi and to Letta, to the Competitiveness Compass that was put to us, open source needs to be part of the answer." Il avait également souligné la problématique du financement court-termiste : "We fund a project for a limited number of years, and then gently disappear."

L'estimation des 70-90% provient d'études robustes sur la supply chain logicielle

L'origine de la statistique "70-90% du code logiciel repose sur l'open source" provient principalement du rapport Census II de la Linux Foundation et Harvard (mars 2022), basé sur l'analyse de plus de 500 000 observations de Software Composition Analysis fournies par Synopsys, Snyk et FOSSA. Les rapports Synopsys OSSRA confirment ces chiffres : 97% des applications contiennent du code open source en 2025.

L'étude économique Fraunhofer/OpenForum Europe commanditée par la Commission européenne (septembre 2021) quantifie l'impact : un investissement d'environ 1 milliard d'euros par les entreprises européennes génère un impact économique de 65 à 95 milliards d'euros sur le PIB, soit un ratio coût-bénéfice de 1:4 à 1:10. Une hausse de 10% des contributions OSS augmenterait le PIB de 0,4 à 0,6% par an.

L'étude Harvard Business School de janvier 2024 estime la valeur de remplacement mondiale de l'open source à 8,8 trillions de dollars : si l'OSS n'existait pas, les dépenses logicielles seraient multipliées par 3,5.

Les vulnérabilités de la supply chain constituent cependant un risque majeur : selon Sonatype, 74% des bases de code contiennent des vulnérabilités à haut risque, et 91% des composants sont obsolètes. Le rapport Census II révèle que 136 développeurs sont responsables de plus de 80% des lignes de code des 50 packages les plus utilisés, et un tiers des mainteneurs ne sont pas rémunérés.

Les acteurs FOSS français et européens se mobilisent massivement

En France, le CNLL (Conseil National du Logiciel Libre) a apporté son soutien à la lettre transpartisane de 38 eurodéputés du 27 novembre 2025 et appelle à passer "de la vision politique à un plan d'action concret". Le CNLL recommande de définir les 5 piliers d'un fournisseur souverain et de lutter contre le "sovereign washing". L'association a publié en décembre 2025 un Guide de conformité au Cyber Resilience Act (version 2.0).

OW2, consortium européen basé en France, a publié une lettre ouverte exigeant le maintien du financement NGI et organise sa conférence 2026 sur le thème "Open Source and Models to drive European Sovereignty". L'ADULLACT (13 700 contributeurs) a été consultée par la Commission pour le projet de catalogue européen de logiciels libres et gère le Comptoir du Libre (~500 solutions référencées).

Au niveau européen, OpenForum Europe a publié en juillet 2025 une étude de faisabilité pour un EU Sovereign Tech Fund proposant un minimum de 350 millions d'euros sur 7 ans, inspiré du modèle allemand (23-24,6 millions d'euros investis dans 60 projets depuis 2022). La Linux Foundation Europe note que seulement 34% des organisations européennes ont une stratégie OSS formelle et 22% ont un OSPO.

L'Eclipse Foundation salue la création du rôle d'"open source steward" dans le CRA mais alerte que seulement 12,3% des PME connaissent cette réglementation. La FSFE (Free Software Foundation Europe) met en garde contre le risque que la souveraineté numérique se traduise par de l'isolationnisme plutôt que par l'adoption du logiciel libre.

Deux décennies de politiques européennes culminent avec le Cyber Resilience Act

La Commission européenne a adopté sa première stratégie open source en décembre 2000, suivie de révisions successives. L'étape majeure fut la création de l'EUPL (European Union Public Licence) en 2007. La stratégie "Think Open" 2020-2023 a introduit six principes directeurs et conduit à la création de l'EC OSPO et de la plateforme code.europa.eu (214 projets, 737 dépôts fin 2024).

Les programmes EU-FOSSA (2015-2020, budget ~3 millions d'euros) ont audité des logiciels critiques suite au bug Heartbleed et lancé des programmes de bug bounty. Le programme NGI Zero (coordonné par NLnet Foundation) a financé plus de 1 000 projets et mobilisé environ 80 000 contributeurs, mais son avenir reste incertain avec des coupes budgétaires prévues (de 27 à 10 millions d'euros pour "Open Europe Stack").

Le Cyber Resilience Act, entré en vigueur le 10 décembre 2024, a fait l'objet de controverses majeures avec la communauté open source. Après une mobilisation intense, le texte final exclut les logiciels non-commerciaux et crée le statut d'"Open Source Steward" avec des obligations allégées : politique de cybersécurité documentée, notification des vulnérabilités exploitées, et promotion du partage d'informations. Les obligations de reporting débuteront en septembre 2026.

GAIA-X et les alternatives européennes peinent face aux hyperscalers américains

GAIA-X a publié son Trust Framework 3.0 "Danube" en novembre 2025, avec plus de 180 data spaces actifs. Cependant, l'initiative fait face à des critiques sévères : Cristina Caffarra (Eurostack) estime que "l'inclusion des hyperscalers américains a fait perdre son sens au projet", tandis que Frank Karlitschek (Nextcloud) le qualifie de "paper monster" bureaucratique. Le CEO Ulrich Ahle reconnaît que 90% du marché peut être servi par les hyperscalers, concentrant l'effort sur les 10% d'applications critiques.

Les alternatives européennes progressent néanmoins : La Suite Numérique française compte plus de 500 000 agents publics utilisateurs, OpenDesk allemand a été adopté par la Cour Pénale Internationale, Nextcloud est déployé au Schleswig-Holstein (30 000 fonctionnaires) et en Autriche. Element/Matrix compte 185 millions d'utilisateurs et est recommandé par la Commission européenne.

En matière d'open hardware, l'European Processor Initiative développe des processeurs hybrides ARM/RISC-V, tandis que le projet DARE (mars 2025, jusqu'à 120 millions d'euros) vise l'autonomie sur RISC-V. L'architecture RISC-V, basée en Suisse, n'est pas soumise aux contrôles export américains et devrait atteindre 62,4 milliards de cœurs expédiés en 2025.

Le Digital Commons EDIC, lancé en décembre 2025 par la France, l'Allemagne, les Pays-Bas et l'Italie, constitue une structure européenne dédiée aux communs numériques et à l'incubation de projets open source partagés entre administrations.

Conclusion : un moment charnière pour l'open source européen

La consultation "European Open Digital Ecosystems" représente une opportunité historique pour l'écosystème open source européen d'influencer directement les politiques de la Commission. La convergence des rapports Draghi et Letta, du Competitiveness Compass et de la volonté politique affichée crée un alignement sans précédent.

Les défis restent considérables : AWS prévoit plus de 100 milliards de dollars de capex en 2025, plus que l'ensemble du secteur cloud européen combiné. Mais les outils sont désormais disponibles – cloud souverain, alternatives collaboratives, processeurs ouverts, cadre réglementaire (RGPD, Data Act, CRA) – et la mobilisation de l'écosystème (Summit du 30 janvier, contributions à la consultation) témoigne d'une dynamique réelle.

L'enjeu central n'est plus de démontrer la valeur de l'open source – les études l'ont établie – mais de traduire les déclarations politiques en investissements structurels et en préférence systématique dans la commande publique. Comme l'a résumé Pearse O'Donohue : l'open source doit désormais faire partie de la réponse européenne à la question de la compétitivité.