Compliance: enjeux et pratique
Magali Fitzgibbon – Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Workshop Juridique GTLL SYSTEMATIC – 02/04/2013
Une brève présentation d’Inria…
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Inria : institut de recherche en informatique et en automatique
8 centres de recherche + un siège (directions fonctionnelles)
Plusieurs missions dont :
la recherche fondamentale et appliquée
la diffusion des connaissances scientifiques
contribuer à la normalisation
réaliser des systèmes expérimentaux
- Transfert de technologie
- Edition open source de logiciels prototypes
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Des questions récurrentes lors du montage d’opérations de transfert / éditions open source à Inria
Qui sont les propriétaires du logiciel ?
Quelle liberté d’exploitation?
Bref, dispose-t-on des droits d’exploitation nécessaires pour mettre en oeuvre le projet?
Des questions simples en apparence… mais parfois difficiles à répondre dans la
pratique
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
exploitation Licensing out
Licensing in Policy
Software development process (seen from the legal / TTO point of view)
STRATEGY (compliance)
Legal status of components Component’s licence Usually well defined
Legal status of software (Not so easy to defined)
Licensing in
L1
Code reuse (pre-existing components)
Component based systems
Software : set of components (with new “ex-nihilo”components)
Licensing out choice
Compliance – des enjeux bien réels
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Clauses de garanties sur la PI Contrefaçon
(réclamation de tiers)
confiance/ qualité
Image
Contrats/exploitation « industriels »
Contrats de transfert de prototypes (recherche publique) – licences open source
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Comment s’assurer de la compatibilité des licences au sein de systèmes à composants ?
o Quelle mise en œuvre possible des analyses de compatibilité de
licences ?
Compte tenu de ces enjeux:
Dans la pratique, l’exercice peut s’avérer complexe…
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Des licences libres/open source nombreuses et variées (“jungle des licences”)
o Un cas simple: les cas de compatibilité expresse entre 2 licences
Exemple: compatibilité expresse de la CeCILL v2 avec la GNU GPL
o Pour les autres cas, utiliser les typologies de licences pour évaluer la marge de manoeuvre disponible concernant: Le choix de licence pour redistribuer le composant réutilisé Le choix de licence pour redistribuer l’assemblage intégrant le composant réutilisé
o Attention aux obligations “secondaires” parfois imposées par les licences!
Exemple: obligations de citation contraignantes, au point de ne pas être compatibles avec d’autres licences
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Autres éléments impactants o Grande diversité de logiciels et d’architectures logicielles à Inria
quel périmètre pour l’analyse? Quelle compréhension de l’objet analysé? o Des logiciels développés :
Parfois sur des durées longues… … avec un “défilé” de contributeurs… … des problématiques IP qui ne sont pas toujours au coeur des préoccupations
Quelle traçabilité des composant exogènes intégrés et de leur statut juridique?
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Ce vers quoi Inria est allé… o Compatibilité de licences – un sujet qu’on aborde notamment:
En équipe (juriste PI/Licensing-chargé d’affaire/développeur et/ou chercheur)
En partant de la “matière première” Avec un couplage entre une méthode et des outils pour identifier et qualifier
l’information
Projet EU Qualipso « Proposed IPR tracking methodology » (L. Grateau, M. Fitzgibbon, G. Rousseau)
Spin-off Antelink
I. Analyse de compatibilité et architectures logicielles
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Quelques bonnes raisons de formaliser l’architecture du logiciel analysé
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Identifier le périmètre de l’analyse
Distinguer les dépendances “juridiques” des autres dépendances de l’environnement du logiciel
o Cas des logiciels avec une stratégie multi-licensing à l’échelle du composant Exemple du logiciel SOFA: stratégie “open core” en GNU LGPL + modules sous licences
libres ou propriétaires o Disposer d’un support de discussion “accessible”
Compréhension commune de l’objet de l’analyse
Using software’s architecture – the example of DIET software (monitoring High Performance Computing Infrastructures)
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
Source: Qualipso – Report on the proposed IPR tracking methodology – 16/12/2009 – www.qualipso.org
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
II. Quelle traçabilité des composants exogènes et de leur statut juridique?
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Inria part toujours du point de vue des auteurs du logiciel pour recenser les
composants exogènes
“Situation perçue”
o Cette “situation perçue” est souvent incomplète
Les enjeux PI ne sont pas toujours une priorité au début d’un projet (POC)
Quelle traçabilité au bout de 5 à 20 ans, en l’absence de méthode et d’outils de suivi (les prototypes de recherche sont peu documentés)
o Cette “situation perçue” nécessite le plus souvent d’être objectivée/complétée
Implique de trouver une source d’information complémentaire
La “situation perçue”
Objectiver la situation perçue avec les outils de traçabilité
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Les « ouvre-boîtes » pour accéder aux informations juridiques du code:
License checkers Détection de composants open source (comparaison de code)
o Les bénéfices pour Inria:
Gain de temps (et donc réduction des coûts d’analyse) Possibilité de descendre à un niveau de granularité plus fin pour l’analyse Aide à l’industrialisation des processus
o Conséquence plus générale liée aux outils:
L’information juridique devient aussi « open » que le code source des logiciels libres…
Attention! Ne pas oublier que toute donnée doit être qualifiée juridiquement!
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o L’identification de l’origine des composants et de leur licence est un début…
o Mais comparer une liste d’information “brute” n’est suffisant ou fiable
o Les outils ne font pas à eux seuls toute l’analyse!
L’information doit être qualifiée (risques de faux positifs/négatifs)
Exemples
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Code source généré avec un éditeur comme le framework Eclipse Mentions de la licence EPL non pertinentes
o Licence du projet open source d’origine différente de la licence des en-têtes Cas des headers qui n’ont pas été mis à jour suite à un changement de licence
o Licences « gênantes » dans des fichiers en réalité non pertinents pour l’analyse
Makefiles
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Raison pour laquelle la situation perçue reste pertinente pour l’analyse
Confronter situation perçue et objectivée pour parvenir à une information qualifiée
o Raison pour laquelle le dialogue entre juriste/développeur/chercheur/
chargé d’affaire est essentiel
Couplage intelligent des expertises des uns et des autres
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
CONCLUSIONS – RECOMMANDATIONS
Magali Fitzgibbon -Technology Transfer and Innovation Department - CC BY-NC-ND 2.0
o Concernant les enjeux liés aux problématiques de compatibilité de licences:
Une prise de conscience dans l’édition logicielle
Une exigence croissante de l’écosystème, concernant la qualité juridique des logiciels (évolution de l’état de l’art)
L’émergence d’un marché relativement récent pour l’outillage de l’audit de code et la gouvernance open source l’illustre bien
o Le retour d’expérience d’Inria concernant la pratique:
Le travail d’équipe entre juriste/chercheur/développeur/chargé d’affaire au cœur de tout L’association d’une méthodologie d’analyse à de l’outillage est un élément de
professionnalisation Le « challenge » pour Inria : aller vers des démarches de suivi pendant le processus de
développement
« Le geek, c’est chic » – l’intérêt et la curiosité du juriste pour la matière logicielle est souhaitable
www.inria.fr Report on the proposed IPR Tracking methodology (L. Grateau, M. Fitzgibbon, G. Rousseau) http://www.inria.fr/content/download/6143/55776/version/2/file/Methodologie-d-analyse-IPR.pdf Qualipso EU funded project www.qualipso.org Guide d’approche et d’analyse des licences de logiciels libres (S. Steer, M. Fitzgibbon) http://www.inria.fr/content/download/5892/48431/version/2/file/INRIA_guide_analyse_licences_libres_vf.pdf Recueil de fiches explicatives de licences libres (S. Steer, M. Fitzgibbon) http://www.inria.fr/content/download/5892/48431/version/2/file/INRIA_guide_analyse_licences_libres_vf.pdf
Magali Fitzgibbon [email protected] http://www.linkedin.com/pub/magali-fitzgibbon/3a/390/76a
Merci !
Top Related