Le jour où la loi californienne AB 1043 arrêtera Linux : Guide de survie de l'open source en 2027

1er janvier 2027. Un développeur en Californie ouvre son terminal et tente d'installer un paquet comme d'habitude. Mais au lieu de la barre d'installation familière, une fenêtre d'alerte inhabituelle s'affiche : Avez-vous plus de 18 ans ? Veuillez saisir votre date de naissance. Ce n'est pas une scène de roman dystopique. C'est la réalité que pourrait engendrer la Loi sur la garantie de l'âge numérique des enfants (AB 1043), adoptée par le gouvernement de l'État de Californie.

Linux repose intrinsèquement sur l'anonymat et la liberté. Pourtant, cette loi ébranle ses fondements mêmes. Contrairement à Windows ou macOS, gérés par des entreprises, c'est une réglementation quasi-catastrophique pour des projets comme Debian ou Arch Linux, maintenus par des contributeurs bénévoles.

Le piège à 7 500 $ conçu par la réglementation

Les législateurs ont conçu ce projet de loi sans comprendre du tout la structure de Linux. L'AB 1043 définit le champ d'application des fournisseurs de systèmes d'exploitation de manière extrêmement large. Selon l'article 1798.500(g), toute entité qui développe ou concède sous licence un logiciel est soumise à la réglementation. Les communautés à but non lucratif sans aucun modèle de revenu ou les mainteneurs individuels ne font pas exception.

Le niveau des amendes est sévère. Si la négligence est reconnue, une amende civile de 2 500 $par enfant est imposée ; si elle est considérée comme une violation intentionnelle, elle s'élève à 7 500$. Si une distribution comptant des milliers d'utilisateurs est prise dans les filets de cette réglementation, le projet fait immédiatement faillite.

Le plus gros problème réside dans les gestionnaires de paquets. Des outils de base de Linux tels que apt, pacman ou flatpak risquent fort d'être classés légalement comme des Magasins d'applications couverts (Covered Application Store). Même pour l'installation d'une simple application de calculatrice, le système doit vérifier les informations d'âge de l'utilisateur et les transmettre au développeur de l'application. C'est le point où la philosophie de contrôle local de Linux entre frontalement en conflit avec les obligations légales.

Ligne de défense technique : L'évolution du protocole D-Bus

On ne peut pas survivre uniquement par la critique. Actuellement, l'écosystème Linux cherche des percées techniques. La solution la plus probable consiste à traiter les informations personnelles localement sans les envoyer à des serveurs externes.

La communauté Ubuntu discute de l'introduction d'une nouvelle interface D-Bus nommée org.freedesktop.AgeVerification1. C'est une structure où l'application demande au système la tranche d'âge de l'utilisateur, et le système répond avec l'une des 4 tranches préconfigurées :

• Tranche 1 : Moins de 13 ans (consentement parental obligatoire)
• Tranche 2 : Entre 13 et 16 ans (partage de données strictement limité)
• Tranche 3 : Entre 16 et 18 ans (paramètres de protection des mineurs appliqués)
• Tranche 4 : 18 ans et plus (autorisation adulte accordée)

Cette méthode permet de répondre aux exigences légales sans laisser fuiter la date de naissance ou les informations d'identité de l'utilisateur hors du réseau. C'est, en quelque sorte, un compromis entre protection de la vie privée et conformité réglementaire.

Géofencing et variantes de licences

Les petits projets pour lesquels une réponse technique est impossible envisagent des choix plus radicaux : modifier la licence pour interdire explicitement l'utilisation par les résidents de Californie.

Inspirées par le cas récent de MidnightBSD, certaines distributions Linux examinent des clauses de non-responsabilité telles que : À compter du 1er janvier 2027, les résidents de Californie ne sont pas autorisés à utiliser ce logiciel. C'est une mesure désespérée pour pousser le projet hors de la juridiction légale.

Cependant, cela a un prix élevé. Dès l'instant où l'on discrimine les utilisateurs d'une région spécifique, le logiciel en question enfreint la Définition de l'Open Source (OSD). Il ne peut plus être officiellement reconnu comme open source, ce qui accélérera la fragmentation de l'écosystème Linux.

Liste des risques à vérifier immédiatement

2027 semble loin, mais du point de vue d'une feuille de route de développement, c'est pour ainsi dire demain. Tout mainteneur doit vérifier immédiatement les trois points suivants :

1. Vérification du flux de données : Enregistrez-vous l'adresse IP de l'utilisateur dans les logs lors du téléchargement de paquets ou de l'accès à un serveur miroir ? Si des données de résidents californiens y figurent, vous êtes concerné.
2. Mise à jour de l'infrastructure : Prévoyez d'ajouter des champs de tranche d'âge aux outils de configuration initiale tels que accountsservice ou gnome-initial-setup.
3. Modification des mentions légales : Insérez dans le fichier de licence une mention précisant que ce logiciel n'est pas destiné à être utilisé par des enfants et que vous n'êtes pas responsable de l'authenticité des informations saisies.

La technocratie, sous couvert de bonnes intentions, menace le code libre. La communauté Linux a déjà surmonté de nombreux trolls de brevets et vagues de réglementations par le passé. Cette fois encore, nous devons prouver la valeur de l'open source à travers des standards techniques préservant la vie privée. Que le terminal de 2027 reste un espace de liberté dépend de notre réaction aujourd'hui.