SovereigntyGap.
SovereigntyGap.sovereignty-gap.eu

Famille 4 · ~11 min de lecture

La concentration des contributions

Cas qui démontrent que l'open source moderne est dominé par les contributions salariées de quelques entreprises — la « neutralité » des fondations est une convention juridique, pas une indépendance réelle.

Thèses illustrées 05 · 08 · 11

L’imaginaire de l’open source repose sur l’image d’une communauté de bénévoles passionnés contribuant sur leur temps libre. Cet imaginaire, fixé par Eric Raymond dans La cathédrale et le bazar en 1999, ne correspond plus du tout à la réalité industrielle contemporaine. Les cas qui suivent montrent que l’open source moderne est une modalité de coordination industrielle dominée par quelques entreprises — la « neutralité » des fondations est une convention juridique, pas une indépendance opérationnelle.

Le noyau Linux — 84,3 % des commits par des salariés rémunérés#

Date des données : 2025 Statut : tendance continue depuis ~2010 Thèses du manifeste illustrées : 5, 6, 8, 11

Le fait#

Selon les rapports annuels de la Linux Foundation et les analyses de Linux Weekly News (LWN), plus de 80 % des contributions au noyau Linux sont aujourd’hui le fait de développeurs salariés rémunérés pour ce travail. En 2025, ce chiffre atteint 84,3 % des commits, distribués sur plus de 1 780 organisations contributrices. Intel reste le contributeur principal en volume de changesets, suivi de Google ; Intel et AMD totalisent ensemble 17,4 % des commits. La version 6.18 du noyau a vu 2 134 développeurs contribuer en un seul cycle, un record historique. Les développeurs individuels, non rémunérés, ne représentent qu’une fraction marginale des lignes de code modifiées sur les versions LTS récentes.

Ce qu’il démontre#

Cette donnée chiffrée est probablement la plus structurante du débat sur l’open source contemporain. Elle invalide trois récits couramment mobilisés :

  1. Le mythe du bénévole. L’open source critique n’est plus produit par des passionnés ; il est produit par des salariés. La passion peut exister, mais elle est cadrée par les priorités des employeurs.

  2. Le mythe de la neutralité communautaire. Quand 84 % des contributions viennent de salariés, la roadmap technique reflète mécaniquement les priorités des entreprises qui paient. Ce n’est pas un complot, c’est une arithmétique du temps de travail.

  3. Le mythe du fork facile. Forker un projet maintenu à 84 % par des salariés exige soit de répliquer leur masse salariale (impossible pour la plupart des États ou des associations), soit d’accepter un appauvrissement immédiat du rythme de développement.

Cela ne disqualifie pas le noyau Linux — qui reste l’un des projets open source les plus internationaux et les mieux gouvernés — mais cela disqualifie l’idée que son utilisation suffise à constituer une posture souveraine.

Sources#

Kubernetes — La capture par capacité de contribution#

Date : depuis 2014 Statut : continu Thèses du manifeste illustrées : 4, 5, 12

Le fait#

Kubernetes est issu d’un projet interne de Google nommé Borg, réimplémenté en 2014 puis donné à la CNCF en 2015. Depuis sa création et jusqu’à aujourd’hui, Google reste le contributeur dominant, suivi de Red Hat (IBM depuis 2019) et de Microsoft. La gouvernance technique reflète cette concentration : les comités de pilotage et les SIG (Special Interest Groups) sont peuplés majoritairement de salariés de ces mêmes entreprises. Les statistiques précises de contribution sont publiées en temps réel sur le portail DevStats du projet.

Ce qu’il démontre#

Kubernetes illustre comment un projet « donné » à une fondation reste structurellement contrôlé par son ancien propriétaire et ses concurrents directs. Les acteurs européens qui contribuent à Kubernetes le font de façon marginale en termes quantitatifs, ce qui leur retire toute capacité d’inflexion sur la roadmap. Cette dynamique nourrit directement le mécanisme décrit dans la thèse 12 : les fournisseurs européens qui adoptent Kubernetes deviennent distributeurs d’une grammaire dont la définition leur échappe.

Une lecture alternative existe et mérite d’être mentionnée : un économiste libéral pourrait répondre que cette concentration n’est pas une « capture » mais un effet naturel du fait que Google et ses concurrents font le travail et que personne d’autre ne le fait. Cette objection est valide sur le plan descriptif. Le manifeste ne la rejette pas — il en tire au contraire la conclusion politique : si les Européens veulent influer sur ces standards, ils doivent y consacrer la masse contributive qui n’existe pas aujourd’hui.

Sources#

  • Statistiques de contribution Kubernetes via DevStats : https://k8s.devstats.cncf.io/
  • CNCF Annual Report.
  • Mathilde Pannier (IFRI, décembre 2022), Software Power.

Chromium — 90 % des commits par Google#

Date : depuis 2008 Statut : continu Thèses du manifeste illustrées : 5, 6, 12

Le fait#

Chromium est le projet « open source » qui forme la base de Chrome, Edge, Brave, Opera, et de la quasi-totalité des navigateurs modernes hors Firefox et Safari. En 2024, Google a contribué 94 % des commits du projet (plus de 100 000 commits sur l’année), une donnée publiée par Google lui-même. La direction technique du projet, sa roadmap, son rythme de release sont entièrement contrôlés par Google.

En janvier 2025, Google et la Linux Foundation ont annoncé une initiative conjointe baptisée Supporters of Chromium-based Browsers, visant à diversifier les contributions au projet. Microsoft, Meta et Opera y ont rejoint. Cette annonce intervient au moment où le Department of Justice américain examine la possibilité de forcer Google à céder Chrome dans le cadre de procédures antitrust — l’initiative peut aussi se lire comme une préparation à un éventuel découplage opérationnel entre Chrome et Chromium.

Ce qu’il démontre#

Chromium est le cas extrême de l’open source mono-sponsor. Sa licence (BSD) est libre. Sa gouvernance ne l’est pas. Les fournisseurs de navigateurs concurrents qui se basent sur Chromium ne peuvent pas en infléchir le développement ; ils peuvent uniquement diverger sur la couche d’interface utilisateur et de télémétrie. Cela explique pourquoi tous les navigateurs « alternatifs » fondés sur Chromium se ressemblent : ils dépendent du même cœur, et ce cœur sert d’abord les besoins de Google.

Sources#

Android Open Source Project — Open en droit, fermé en pratique#

Date : depuis 2008 Statut : continu, en évolution restrictive Thèses du manifeste illustrées : 4, 5, 12

Le fait#

L’Android Open Source Project (AOSP) est juridiquement open source : son code source est publié sous Apache 2.0. Mais sa direction technique est entièrement contrôlée par Google, qui décide du calendrier de publication, des fonctionnalités intégrées, et de quels composants sont libérés (AOSP) ou maintenus propriétaires (Google Mobile Services, Play Store, services associés). Les forks réels et fonctionnels — LineageOS, GrapheneOS, /e/ — restent marginaux et exigent un effort considérable de maintenance pour combler ce que Google ne libère pas.

Ce qu’il démontre#

AOSP est le cas-école d’un projet où la licence libre coexiste avec une dépendance opérationnelle massive. Pour qu’un fabricant de smartphone produise un téléphone réellement utilisable, il a besoin des Google Mobile Services qui ne sont pas open source. Cette stratégie d’« embrace, extend, extinguish » modernisée a été utilisée pour transformer un système d’exploitation ouvert en infrastructure dont la couche utile est fermée.

Sources#

  • Android Open Source Project : https://source.android.com/
  • Documentation des forks indépendants : LineageOS, GrapheneOS, /e/Foundation.

VS Code et VSCodium — Le télémétrique qui dévore l’auditable#

Date : depuis 2015 Statut : continu Thèses du manifeste illustrées : 5, 7

Le fait#

Microsoft publie le code source de Visual Studio Code sous licence MIT. Mais le binaire distribué officiellement par Microsoft sur le site vscode.dev contient de la télémétrie, et utilise une Marketplace d’extensions propriétaire fermée dont Microsoft contrôle l’accès. VSCodium est le vrai fork libre, compilé sans télémétrie et sans marketplace propriétaire — mais il ne peut pas accéder à la marketplace officielle, qui constitue précisément la valeur d’usage de l’éditeur. VSCodium reste donc marginal en termes d’usage.

Ce qu’il démontre#

Ce cas illustre une stratégie subtile : ouvrir le code, fermer l’écosystème. La licence est libre, mais la valeur d’usage est concentrée dans un service géré par le propriétaire originel. C’est l’open source dont la souveraineté apparente masque une dépendance d’usage massive.

Sources#

Kubernetes en chiffres — La cartographie des contributions corporate#

Date : entrée à la CNCF en mars 2016 ; analyse à avril 2026 Statut : continu Thèses du manifeste illustrées : 6, 8, 11, 12

Le fait#

Kubernetes est le projet phare de l’écosystème cloud-native. Selon l’enquête annuelle CNCF 2024, 80 % des organisations utilisent Kubernetes en production (contre 66 % en 2023, soit une croissance annuelle de 20,7 %), et l’écosystème entier de l’orchestration de conteneurs s’est largement standardisé autour de Kubernetes. Le projet a passé tous les paliers de maturité de la CNCF : graduated depuis le 6 mars 2018, premier projet CNCF à avoir atteint ce statut.

Cette centralité fait de la cartographie des contributions à Kubernetes un indicateur structurel de la souveraineté technologique de l’écosystème cloud. Et cette cartographie, depuis l’origine, est nord-américaine.

Le rapport public Kubernetes Project Journey Report de la CNCF établit les chiffres suivants :

  • Avant l’entrée à la CNCF en mars 2016 : Google et Red Hat (IBM depuis 2019) totalisaient 83 % des contributions au projet.
  • Au moment de la rédaction du rapport (2023) : ces deux entreprises totalisent encore 46 % des contributions cumulées.
  • Plus de 7 800 organisations ont contribué à Kubernetes depuis son entrée à la CNCF.
  • Les autres contributeurs structurels cités explicitement par le rapport sont Microsoft, Amazon, Intel (toutes américaines) ainsi que des entreprises midsize américaines comme Meetup, Weaveworks, Mattermost.

Le rapport ne mentionne aucune entreprise européenne dans ses contributeurs structurants. Le tableau public k8s.devstats.cncf.io confirme que les entreprises européennes qui apparaissent dans les statistiques de contribution (SUSE, Canonical, plus marginalement quelques autres) n’atteignent pas l’ordre de grandeur des contributeurs majeurs nord-américains.

Comparaison régionale. Selon les analyses publiées par CNCF DevStats, la répartition géographique des contributeurs (et non des entreprises contributrices) à Kubernetes est plus équilibrée que la répartition corporate : l’Europe représente une part substantielle des contributeurs individuels au projet. Mais cette présence individuelle européenne est largement portée par des employés des filiales européennes d’entreprises américaines (Google Munich, Microsoft Berlin, Red Hat Brno, AWS Dublin) plutôt que par des employés d’entreprises européennes contribuant en tant que telles.

L’analyse CNCF Japan publiée par Cloud Native Community Japan en février 2025 (sur DevStats 2024) et en mars 2026 (sur DevStats 2025) fournit une lecture comparable pour le Japon : 93 contributeurs japonais en 2024, 36 dans le seul dépôt kubernetes/kubernetes en 2025, avec un déclin global du nombre absolu de contributeurs japonais d’une année sur l’autre. La même analyse rigoureuse appliquée à l’Europe permettrait de quantifier précisément la position européenne. Elle reste à conduire et serait précieuse pour étayer le présent dossier.

Ce qu’il démontre#

La distinction est importante. Sur le plan technique, les contributions sont effectuées par des personnes et la qualité du code ne dépend pas de l’employeur. Sur le plan de la souveraineté, en revanche, le critère est la capacité d’une organisation européenne à influencer la roadmap, à arbitrer les choix techniques, à siéger dans les instances de gouvernance. Cette capacité ne se mesure pas par le nombre d’individus européens qui contribuent, mais par le nombre d’entreprises européennes qui emploient ces contributeurs et leur donnent un mandat institutionnel.

La concentration des contributions corporate à Kubernetes auprès d’entreprises nord-américaines a plusieurs conséquences que les fournisseurs européens devraient documenter dans leurs Profils de souveraineté :

  • Roadmap arbitrée hors Europe. Les évolutions structurantes de Kubernetes — modèles d’API, modèles de sécurité, intégrations privilégiées, choix d’architecture — sont arbitrées par les contributeurs majeurs. L’Europe est, à ce niveau, observatrice plutôt qu’arbitre.

  • Dépendance aux orientations stratégiques nord-américaines. Les inflexions stratégiques de Google ou Red Hat sur leurs investissements respectifs dans Kubernetes ont un impact disproportionné sur la trajectoire du projet. Si l’une de ces entreprises décidait de réduire son engagement, la dynamique du projet en serait directement affectée.

  • Asymétrie d’information sur les vulnérabilités. Les processus d’embargo de sécurité avantagent les contributeurs majeurs (voir famille 2 — Kubernetes / CNCF).

  • Capacité de fork limitée. En cas de bascule majeure (changement de gouvernance CNCF, relicensing hypothétique, fork stratégique d’un acteur dominant), les fournisseurs européens auraient une capacité réduite de maintenir indépendamment un fork de Kubernetes, faute d’expertise interne accumulée.

Aucune de ces conséquences n’est, prise isolément, catastrophique. Elles sont, en revanche, structurellement préoccupantes pour un écosystème qui a fait de Kubernetes son socle de standardisation et qui revendique une souveraineté technologique. Combler ce déficit contributif est une politique publique européenne qui n’existe pas aujourd’hui et qui mériterait d’être instaurée — par exemple, via un fonds européen dédié au financement direct de mainteneurs sur les briques cloud-native critiques, ou via des exigences de contribution upstream documentée dans les marchés publics.

Sources#

Ouverture vers les rapports de santé OSS#

L’écosystème de mesure de la santé de l’open source — projet CHAOSS (Community Health Analytics for Open Source Software), hébergé… par la Linux Foundation — produit annuellement des indicateurs de concentration des contributions, de bus factor (nombre minimal de personnes dont la disparition mettrait en péril le projet) et de diversité géographique. Ces indicateurs montrent systématiquement une concentration corporate massive sur les projets centraux.

L’étude Synopsys / Black Duck Open Source Security and Risk Analysis Report (OSSRA), publiée annuellement, documente que environ 80 % du code des applications modernes est constitué de composants open source, dont une fraction critique est maintenue par moins de 5 personnes. Cette donnée croise la concentration des contributions et la fragilité du supply chain (voir famille 6).

Sources#

→ Engagements opérationnels associés#

La concentration des contributions n’a qu’un seul antidote durable : que d’autres acteurs — entreprises utilisatrices, fondations indépendantes, investisseurs publics et privés européens — financent à leur tour la maintenance des projets dont ils dépendent.

Catalogue complet des engagements →

Lire le manifeste →