François Elie (Adullact) : « notre approche budgétaire et technique agace les idéologues »

Pouvez-vous nous expliquer ce qu’est l’Adullact (Association des Développeurs, Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales) ?

L’association a été fondée en 2002. Nous avons aujourd’hui environ 400 membres directs, essentiellement des collectivités locales importantes, quelques hôpitaux et surtout des organismes mutualisants. Par exemple, l’Agence de Mutualisation des Universités (AMUE), qui est parmi nos membres, regroupe une centaine d’universités. Les EPCI (Établissements public de coopération intercommunale, comme les communautés urbaines), de même, servent plusieurs communes. Des centres de gestion peuvent regrouper des milliers de collectivités d’un département ou d’une région. En tout, nous estimons servir environ 10 000 collectivités et établissements publics. Plus de 20 000 collectivités bénéficient des logiciels libres issus de nos travaux et portés par tel ou tel prestataire (dont plus de 13 000 sur le contrôle de légalité S²LOW).

Pour un grand nombre de logiciels de niche, des applications métiers, il existe un fort besoin mais, en face, peu ou pas d’offre. Si les clients ne les font pas, personne ne les fera à leur place. Notre approche est de promouvoir, pour couvrir ces besoins, l’usage du logiciel libre. Mais si on ne fait qu’utiliser le logiciel libre, on n’a rien compris. Il faut aussi le produire.

Prenons un exemple : la gestion des cimetières. C’est un sujet qui n’intéresse personne chez les développeurs libristes mais qui intéresse 36 000 communes qui ont toutes plus ou moins le même besoin. La ville d’Arles avait créé un logiciel et l’a ouvert sous le nom d’OpenCimetière. A partir du moment où un logiciel est libre, il peut être mutualisé.

Notre objectif, c’est donc d’utiliser, de mutualiser (y compris l’exploitation), de produire ou de faire produire les logiciels dont nos adhérents ont besoin.

Mais une collectivité ne peut-elle pas tout simplement lancer un appel d’offres et acquérir un produit du marché ou à façon ?

Vous pouvez lancer tous les appels d’offres que vous voulez, si le produit n’existe pas, il n’existe pas. Et les éditeurs font parfois des promesses pour remporter des marchés en mentant sur les fonctionnalités effectives, quitte à ensuite payer des pénalités si leur feuille de route change et que les fonctionnalités promises ne seront jamais développées.

Et si une collectivité fait développer un produit à façon, autant ouvrir le code. Les collectivités ouvrent par intérêt, pas par idéologie pro-libre. Partager, c’est bénéficier des idées et des investissements des autres.

Concrètement, comment fonctionnez-vous ?

Si un membre désire un logiciel, d’abord, il va demander si un tel logiciel existe dans l’écosystème. Il va notamment regarder comment font des organismes similaires au sien. Nous avons ainsi créé un « Comptoir du Libre » pour présenter ce qui existe, qui sont les utilisateurs effectifs et les prestataires pouvant accompagner une implémentation. Par exemple, pour fabriquer des tableaux de bord, on peut utiliser le produit Redash. C’est très puissant, libre (donc gratuit en termes de licence), mais il faut du temps pour l’installer et le paramétrer. Moi, j’ai pris ce temps mais d’autres préféreront recourir à des prestataires qui connaissent le produit. Enfin, il faut faire une veille de l’existant, c’est aussi notre rôle.

Prenons un exemple récent. A Angoulême, j’ai interdit la migration des postes de travail sous Windows 11 parce que cela implique de remplacer de nombreux PC. Pour faire durer le matériel, il convient de basculer sous Linux. 95 % des serveurs dans le monde sont sous Linux : c’est un système solide. Mais les équipes techniques m’ont remonté un problème : l’active directory. Peu de gens savent que l’État a investi 1,5 millions d’euros dans une alternative libre, Samba-AD. Pour choisir un produit, encore faut-il savoir qu’il existe.

Au début, l’Adullact avait créé une coopérative, Adullact Projet, pour développer du logiciel. Le problème était, à l’époque, la mise en place du contrôle de légalité dématérialisé avec gestion de l’archivage. La Caisse des Dépôts et Consignations voulait préempter le marché avec Fast. Or un tel choix a un impact sur l’ensemble de la chaîne documentaire. Pour éviter cette préemption, Adullact Projet a lancé S²low. Cette coopérative a crû rapidement, jusqu’à atteindre la cinquantaine de salariés.

Mais nous avions un problème de confusion des genres entre l’association et la coopérative, d’autant que cela troublait le jeu avec les SSLL (sociétés de services en logiciels libres). Nous nous sommes donc séparés et Adullact Projet a changé de nom. L’Adullact s’occupe toujours de développement mais uniquement en faire-faire. D’un côté, il y a des collectivités demandeuses, de l’autre des prestataires et nous, au centre, montons un groupe de travail pour créer le logiciel dont nous avons tous besoin, logiciel qui sera libre donc utilisable par d’autres.

L’un de vos slogans est « l’argent public ne paye qu’une fois ». Qu’est-ce que cela signifie ?

En face des entreprises, il n’y a qu’un seul acheteur public. Si un logiciel est commercial, l’éditeur va cibler chaque utilisateur et le faire payer au maximum. Les marges des éditeurs sont scandaleuses et les clients, captifs, payent. Pour mémoire, la disponibilité de S²low a entraîné une division par dix du prix de l’offre Fast…

Mais ça ne veut pas dire qu’il ne faut rien payer. Le développement doit être payé, tout comme le support et la formation.

Quelles sont vos relations avec les autres organismes de l’écosystème numérique public ?

Au départ, nous nous reposions surtout sur nos adhérents pour comprendre leurs besoins, leurs prises de décision, etc. Il nous a aussi fallu comprendre les modèles économiques de l’open-source et des SSLL.

Nous travaillons bien sûr avec la Dinum (Direction Interministérielle du Numérique) comme nous avons travaillé avec tous les organismes l’ayant précédée depuis notre fondation. L’État a été un temps adhérent de l’Adullact qui a d’ailleurs été citée dans la Circulaire Ayrault et dans un discours récent de la directrice de la Dinum.

L’État a aussi bien compris le modèle de financement du logiciel libre mais il ne suffit pas d’arriver avec ses gros sabots et son argent : il faut entraîner la communauté. L’AMU (Agence de Mutualisation des Universités) a adhéré à l’Adullact pour que nous les aidions à ouvrir le code d’applicatifs.

Le monde du logiciel libre, qui mêle des associations, des entreprises, des individus et des institutionnels, n’est pas toujours simple à comprendre. Quant à nous, notre approche budgétaire et technique agace les idéologues. Pourtant, je vous assure que l’on peut faire du logiciel libre et porter une cravate ! De même, nous avons des amis dans tous les camps politiques.

Vous avez relayé dans les collectivités l’initiative Démarches Simplifiées de la Dinum. Comment cela s’est-il passé ?

Comme vous le savez, le penchant de l’État français est d’être très jacobin. Mais il faut avoir les moyens de ses ambitions ! Les démarches des collectivités locales sont à la fois très nombreuses et très variées. Après avoir lancé le PaaS Démarches Simplifiées pour aider les administrations à digitaliser facilement des procédures, la Dinum a constaté qu’elle ne pourrait assurer un service de qualité pour toutes les collectivités. Rappelons qu’il y a environ 35 000 communes aujourd’hui !

Or il se trouvait que l’armée et la Polynésie Française avaient déjà créé des forks qu’elles hébergeaient. L’Adullact a donc proposé de faire une version « collectivités ». Cela a évidemment satisfait la Dinum : nous leur retirions une épine du pied. Désormais, les organismes mutualisant peuvent ainsi installer une instance de notre version à l’attention de leurs membres.

A l’inverse, parfois, cela se passe mal. La prise de rendez-vous médical au moment de la crise sanitaire Covid-19 a été très mal gérée. Et maintenant la prise de rendez-vous pour la délivrance de titres d’identité. Fonctionnellement, le besoin peut être couvert par un petit développement réalisé par un stagiaire. Là, l’argent public a payé beaucoup plus qu’une fois ! L’argent public ne doit pas servir à protéger le business privé !

Mais comment le logiciel libre est-il pris en charge dans un marché public ?

Quand on « achète » un logiciel propriétaire, en fait, on le loue à un prix prohibitif en plus de payer de la maintenance, du service, etc. Mettre en concurrence, dans un marché public, un logiciel propriétaire et un logiciel libre, c’est une très mauvaise manière de procéder.

En effet, un marché public ne concerne que des objets onéreux. Or le logiciel libre lui-même est gratuit. Donc on le prend sans marché. Si on a les compétences en interne, il n’y a aucun marché public nécessaire. Le cas échéant, on va juste acheter du service. Et si le prestataire choisi pour assurer ce service ne fait plus l’affaire au bout d’un certain temps, on peut changer de prestataire sans changer de logiciel : les deux sont séparés. Cette séparation juridique de la prestation et du logiciel a un effet énorme.

Bien sûr, on peut acheter de la prestation de développement pour faire évoluer le logiciel. Mais le client est alors en position de force : si le prestataire ne veut pas le servir comme attendu, le client peut en changer. Le client n’a pas à tenir compte d’une feuille de route stratégique d’un éditeur : c’est lui qui définit sa feuille de route.

C’est donc une autre manière d’acheter. (L’achat en matière de logiciels libres sera le sujet du Club Disruptor du 30 mai 2023, NDLR)

Comment doit être traitée la question de la cybersécurité en matière de logiciel libre ? Pouvoir tout regarder ne signifie pas que quelqu’un a effectivement regardé…

Plusieurs réponses sont possibles à cette question. Tout d’abord, il faut rappeler que la sécurité par le secret, principe des logiciels propriétaires, est morte avec RSA. A l’inverse, les évolutions du code d’un logiciel libre peuvent être tracées et le code signé pour s’assurer qu’il n’y a pas de corruption des sources.

Il y a en fait deux types de risques entre lesquels il faut choisir. D’un côté, vous pouvez faire confiance à de soi-disant professionnels. Sauf que, par exemple, une mise à jour a planté le service de santé anglais durant trois jours… De l’autre côté, vous devez admettre un risque diffus sur ce que l’on installe. On ne supprimera jamais tous les risques. Mais, avec le logiciel libre, on peut les maîtriser. Si ça plante, nous connaissons le coupable : nous-mêmes. Nous avons les moyens d’auditer les briques critiques et il faut juste le faire.

D’un point de vue informatique, la France est un pays sous-développé. C’est à dire que nous sommes obligés de recourir à des produits que nous ne savons pas produire. Or, mettre une cotte de maille quand on est en slip, ça ne sert à rien ! Nos SI sont remplis de logiciels faits pour être vendus, pas pour pour être sécurisés, et qui sont bourrés de failles.

Autant le logiciel libre est fréquent sur les serveurs, il est rare sur le poste de travail. Comment pourrait-on changer les choses ?

Depuis le début, il y a une dissymétrie profonde entre les couches basses (95 % des serveurs sont sous Linux) et les terminaux (2 ou 3 % des PC sont sous Linux au plus). Nous avons essayé trop tôt de faire des PC sous Linux dans les collectivités et les pilotes ont eu un retour de flamme parfois violent.

Pour l’heure, lorsque l’on déploie du Nextcloud (partage de fichiers), du CollaboraOnline (bureautique collaborative) ou d’autres outils pour les utilisateurs finaux dans un « cloud libre », le terminal reste malgré tout sous Windows ou MacOS. Cependant, l’enjeu n’est pas technique mais politique.

A Angoulême, nous avons déployé des PC sous Linux dans les écoles : aucun frein côté utilisateurs, maintenance incluse dans le marché… Nous allons ainsi pouvoir prouver que l’on gagne en durabilité des machines, en coût d’entretien… sans aucune résistance des utilisateurs. Je pense que cela permettra la bascule de la ville. Un de nos membres a migré sa mère sous Linux en lui disant que c’était la nouvelle version de Windows et ça n’a rien changé : les utilisateurs ne maîtrisent pas Linux mais ils ne maîtrisent pas plus Windows ! Pour eux, ce sont juste des icônes à cliquer !

Les collectivités sont, à ce niveau, très en retard sur l’État. Rappelons que la Gendarmerie a 70 000 PC sous Linux !

Quels sont vos prochains défis ?

Les défis que nous avons à relever ne sont pas encore côté PC mais toujours sur l’infrastructure et les logiciels de back-office (messagerie, annuaires…). Il nous faut encore prouver que le logiciel libre est sécurisé. Et cela ne dépend pas tellement de nous, beaucoup plus de l’ANSSI. Pourtant, la Gendarmerie ou la DGFiP sont de bons exemples. Copernic (gestion fiscale) est ainsi 100 % open-source.

L’enjeu majeur est un problème de souveraineté. A cause de l’OTAN, nous mettons du logiciel propriétaire américain pour équiper nos forces armées alors que, par exemple, l’ANSSI a développé un système d’exploitation ultra-sécurisé, ClipOS. Nous dépendons de prestataires étrangers qui peuvent à tout moment éteindre nos systèmes !

Si, en France, nous avons souvent les meilleurs informaticiens du monde, il faut que la question avance au niveau politique. Malheureusement, au contraire d’il y a une vingtaine d’années, il n’y a plus aucun politique national ayant une vraie vision du logiciel libre, comme le sénateur Pierre Laffitte (le fondateur de Sophia Antipolis) en son temps.

Le sujet de l’adoption de l’open-source et de l’acquisition de services connexes sera au centre du Club Disruptor du 30 mai 2023.