Wjgtll 5 magali fitzgibbon

Compliance: enjeux et pratique

Magali Fitzgibbon – Technology Transfer and Innovation Department - CC BY-NC-ND 2.0

Workshop Juridique GTLL SYSTEMATIC – 02/04/2013

Une brève présentation d’Inria…

Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0

Inria : institut de recherche en informatique et en automatique

8 centres de recherche + un siège (directions fonctionnelles)

Plusieurs missions dont :

la recherche fondamentale et appliquée

la diffusion des connaissances scientifiques

contribuer à la normalisation

réaliser des systèmes expérimentaux

- Transfert de technologie

- Edition open source de logiciels prototypes


Des questions récurrentes lors du montage d’opérations de transfert / éditions open source à Inria

Qui sont les propriétaires du logiciel ?

Quelle liberté d’exploitation?

Bref, dispose-t-on des droits d’exploitation nécessaires pour mettre en oeuvre le projet?

Des questions simples en apparence… mais parfois difficiles à répondre dans la

pratique


exploitation Licensing out

Licensing in Policy

Software development process (seen from the legal / TTO point of view)

STRATEGY (compliance)

Legal status of components Component’s licence Usually well defined

Legal status of software (Not so easy to defined)

Licensing in

L1

Code reuse (pre-existing components)

Component based systems

Software : set of components (with new “ex-nihilo”components)

Licensing out choice

Compliance – des enjeux bien réels


Clauses de garanties sur la PI Contrefaçon

(réclamation de tiers)

confiance/ qualité

Image

Contrats/exploitation « industriels »

Contrats de transfert de prototypes (recherche publique) – licences open source


o Comment s’assurer de la compatibilité des licences au sein de systèmes à composants ?

o Quelle mise en œuvre possible des analyses de compatibilité de

licences ?

Compte tenu de ces enjeux:

Dans la pratique, l’exercice peut s’avérer complexe…


o Des licences libres/open source nombreuses et variées (“jungle des licences”)

o Un cas simple: les cas de compatibilité expresse entre 2 licences

Exemple: compatibilité expresse de la CeCILL v2 avec la GNU GPL

o Pour les autres cas, utiliser les typologies de licences pour évaluer la marge de manoeuvre disponible concernant: Le choix de licence pour redistribuer le composant réutilisé Le choix de licence pour redistribuer l’assemblage intégrant le composant réutilisé

o Attention aux obligations “secondaires” parfois imposées par les licences!

Exemple: obligations de citation contraignantes, au point de ne pas être compatibles avec d’autres licences


Autres éléments impactants o Grande diversité de logiciels et d’architectures logicielles à Inria

quel périmètre pour l’analyse? Quelle compréhension de l’objet analysé? o Des logiciels développés :

Parfois sur des durées longues… … avec un “défilé” de contributeurs… … des problématiques IP qui ne sont pas toujours au coeur des préoccupations

Quelle traçabilité des composant exogènes intégrés et de leur statut juridique?


Ce vers quoi Inria est allé… o Compatibilité de licences – un sujet qu’on aborde notamment:

En équipe (juriste PI/Licensing-chargé d’affaire/développeur et/ou chercheur)

En partant de la “matière première” Avec un couplage entre une méthode et des outils pour identifier et qualifier

l’information

Projet EU Qualipso « Proposed IPR tracking methodology » (L. Grateau, M. Fitzgibbon, G. Rousseau)

Spin-off Antelink

I. Analyse de compatibilité et architectures logicielles


Quelques bonnes raisons de formaliser l’architecture du logiciel analysé


o Identifier le périmètre de l’analyse

Distinguer les dépendances “juridiques” des autres dépendances de l’environnement du logiciel

o Cas des logiciels avec une stratégie multi-licensing à l’échelle du composant Exemple du logiciel SOFA: stratégie “open core” en GNU LGPL + modules sous licences

libres ou propriétaires o Disposer d’un support de discussion “accessible”

Compréhension commune de l’objet de l’analyse

Using software’s architecture – the example of DIET software (monitoring High Performance Computing Infrastructures)


Source: Qualipso – Report on the proposed IPR tracking methodology – 16/12/2009 – www.qualipso.org

http://www.qualipso.org/


II. Quelle traçabilité des composants exogènes et de leur statut juridique?


o Inria part toujours du point de vue des auteurs du logiciel pour recenser les

composants exogènes

“Situation perçue”

o Cette “situation perçue” est souvent incomplète

Les enjeux PI ne sont pas toujours une priorité au début d’un projet (POC)

Quelle traçabilité au bout de 5 à 20 ans, en l’absence de méthode et d’outils de suivi (les prototypes de recherche sont peu documentés)

o Cette “situation perçue” nécessite le plus souvent d’être objectivée/complétée

Implique de trouver une source d’information complémentaire

La “situation perçue”

Objectiver la situation perçue avec les outils de traçabilité


o Les « ouvre-boîtes » pour accéder aux informations juridiques du code:

License checkers Détection de composants open source (comparaison de code)

o Les bénéfices pour Inria:

Gain de temps (et donc réduction des coûts d’analyse) Possibilité de descendre à un niveau de granularité plus fin pour l’analyse Aide à l’industrialisation des processus

o Conséquence plus générale liée aux outils:

L’information juridique devient aussi « open » que le code source des logiciels libres…

Attention! Ne pas oublier que toute donnée doit être qualifiée juridiquement!


o L’identification de l’origine des composants et de leur licence est un début…

o Mais comparer une liste d’information “brute” n’est suffisant ou fiable

o Les outils ne font pas à eux seuls toute l’analyse!

L’information doit être qualifiée (risques de faux positifs/négatifs)

Exemples


o Code source généré avec un éditeur comme le framework Eclipse Mentions de la licence EPL non pertinentes

o Licence du projet open source d’origine différente de la licence des en-têtes Cas des headers qui n’ont pas été mis à jour suite à un changement de licence

o Licences « gênantes » dans des fichiers en réalité non pertinents pour l’analyse

Makefiles


o Raison pour laquelle la situation perçue reste pertinente pour l’analyse

Confronter situation perçue et objectivée pour parvenir à une information qualifiée

o Raison pour laquelle le dialogue entre juriste/développeur/chercheur/

chargé d’affaire est essentiel

Couplage intelligent des expertises des uns et des autres


CONCLUSIONS – RECOMMANDATIONS


o Concernant les enjeux liés aux problématiques de compatibilité de licences:

Une prise de conscience dans l’édition logicielle

Une exigence croissante de l’écosystème, concernant la qualité juridique des logiciels (évolution de l’état de l’art)

L’émergence d’un marché relativement récent pour l’outillage de l’audit de code et la gouvernance open source l’illustre bien

o Le retour d’expérience d’Inria concernant la pratique:

Le travail d’équipe entre juriste/chercheur/développeur/chargé d’affaire au cœur de tout L’association d’une méthodologie d’analyse à de l’outillage est un élément de

professionnalisation Le « challenge » pour Inria : aller vers des démarches de suivi pendant le processus de

développement

« Le geek, c’est chic » – l’intérêt et la curiosité du juriste pour la matière logicielle est souhaitable

www.inria.fr Report on the proposed IPR Tracking methodology (L. Grateau, M. Fitzgibbon, G. Rousseau) http://www.inria.fr/content/download/6143/55776/version/2/file/Methodologie-d-analyse-IPR.pdf Qualipso EU funded project www.qualipso.org Guide d’approche et d’analyse des licences de logiciels libres (S. Steer, M. Fitzgibbon) http://www.inria.fr/content/download/5892/48431/version/2/file/INRIA_guide_analyse_licences_libres_vf.pdf Recueil de fiches explicatives de licences libres (S. Steer, M. Fitzgibbon) http://www.inria.fr/content/download/5892/48431/version/2/file/INRIA_guide_analyse_licences_libres_vf.pdf

Magali Fitzgibbon [email protected] http://www.linkedin.com/pub/magali-fitzgibbon/3a/390/76a

Merci !

http://www.inria.fr/

http://www.inria.fr/content/download/6143/55776/version/2/file/Methodologie-d-analyse-IPR.pdf







http://www.qualipso.org/

http://www.inria.fr/content/download/5892/48431/version/2/file/INRIA_guide_analyse_licences_libres_vf.pdf






mailto:[email protected]

http://www.linkedin.com/pub/magali-fitzgibbon/3a/390/76a



Documents

Wjgtll 5 magali fitzgibbon