SovereigntyGap.
SovereigntyGap.sovereignty-gap.eu

Glossaire

Termes techniques, juridiques et notions d'ingénierie mobilisés dans le manifeste et le dispositif sovereignty-gap.

Termes techniques, juridiques et notions d’ingénierie mobilisés dans le manifeste et le dispositif. Définitions courtes, renvois vers les sections du corpus où chaque terme est argumenté.

Le glossaire couvre les acronymes du domaine logiciel (SBOM, AGPL, OCI, CNCF, MSP…), les notions juridiques et géopolitiques (eIDAS, FISA 702, Golden Power…) et les mécanismes contractuels mobilisés par le dispositif (séquestre, release-on-trigger…). Les ancrages vers le manifeste et l’a-propos donnent le contexte argumentatif que le glossaire ne reproduit pas.

AGPL(GNU Affero General Public License)

Licence libre copyleft renforcée publiée par la Free Software Foundation en 2007. Étend les obligations de la GPL aux logiciels exposés via un service réseau : tout déploiement public d’un service appuyé sur du code AGPL doit en publier les modifications. Conçue pour neutraliser la « faille SaaS » qui permettait aux fournisseurs cloud d’utiliser du code copyleft sans en libérer les évolutions.

→ Mentionné dans : Pour les éditeurs propriétaires européens, Philosophie du dispositif, Composants tiers stratégiques, Continuité en cas de défaillance, Engagements et limites assumés, Bascules de licence, Publier vos choix de stack technique et le raisonnement de souveraineté qui les sous-tend, Mettre en place un mécanisme de séquestre logiciel chez un tiers de confiance européen, ou s'engager publiquement à publier le code source dans des circonstances précises, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance, Lire un Profil — angle Développeur.

AWG(Außenwirtschaftsgesetz)

Loi allemande sur le commerce extérieur (Außenwirtschaftsgesetz, AWG) et son règlement d’application (Außenwirtschaftsverordnung, AWV) qui constituent le cadre juridique du contrôle des investissements étrangers en Allemagne. La procédure est gérée par le Bundesministerium für Wirtschaft und Klimaschutz (BMWK). Elle prévoit un examen des prises de participation étrangères dans des entreprises actives dans des secteurs sensibles — infrastructures critiques, technologies clés, cybersécurité, médias — et peut aboutir à une interdiction ou à l’imposition de conditions. Équivalent allemand du dispositif IEF français et du Golden Power italien.

Sources : BMWK — Außenwirtschaftsrecht.

→ Mentionné dans : Philosophie du dispositif, Gouvernance et capital, Souveraineté juridique & capital, Inscrire dans les statuts des clauses de protection contre un rachat hors UE — pacte d'actionnaires, droits de préemption européens, golden share, action spécifique à droits de blocage, Lire un Profil — angle Acheteur, Lire un Profil — angle Investisseur, Lire un Profil — angle Journaliste, Lire un Profil — angle RSSI.

BSL(Business Source License)

Licence de code source publiée par MariaDB en 2017 et adoptée par HashiCorp en 2023 pour Terraform, Vault et plusieurs autres produits. Elle autorise l’utilisation, la modification et la redistribution à usage non commercial ou non concurrent, et prévoit une conversion automatique vers une licence libre (généralement MPL ou Apache 2.0) à l’issue d’une période définie, en général trois à quatre ans. La BSL n’est pas reconnue comme licence libre par l’Open Source Initiative, car elle restreint les usages commerciaux concurrents pendant sa période active.

→ Mentionné dans : Composants tiers stratégiques, Plans de contournement, Bascules de licence, Examiner la juridiction de gouvernance des composants tiers que vous utilisez dans vos projets professionnels, Recommander explicitement des alternatives européennes ou de fondation neutre à vos clients et collègues, Intégrer des critères de souveraineté technologique dans notre processus de due diligence, Qualifier honnêtement la nature de gouvernance des solutions que nous distribuons, Garantir contractuellement un préavis minimum (six à douze mois) avant tout arrêt de support, bascule unilatérale ou modification substantielle du service, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Étudier au moins une migration hors d'un composant single-vendor identifié, Lire un Profil — angle Acheteur, Lire un Profil — angle Développeur.

CNCF(Cloud Native Computing Foundation)

Fondation créée en 2016, filiale de la Linux Foundation, qui héberge et certifie les projets d’infrastructure cloud native. Son portefeuille comprend des projets diplômés majeurs : Kubernetes (orchestration), Prometheus (métriques), etcd (stockage distribué), containerd (moteur de conteneurs), Envoy (proxy réseau) et OpenTelemetry (observabilité). La CNCF encadre la gouvernance de ces projets via un modèle de maturité en trois niveaux (Sandbox, Incubating, Graduated) et assure la neutralité vis-à-vis des membres contributeurs, qui incluent la plupart des fournisseurs cloud majeurs.

Sources : CNCF.

→ Mentionné dans : FAQ — Questions fréquentes sur le manifeste, Composants tiers stratégiques, Fondations sous juridiction étrangère, Chaînes de distribution captives, Concentration des contributions, Fragilité du supply chain, Réversibilité & portabilité, Contribuer régulièrement à un projet open source sous gouvernance européenne ou de fondation neutre, Contribuer activement à au moins un projet open source sous gouvernance européenne ou de fondation neutre, Garantir aux clients PaaS la portabilité applicative de leurs workloads — packaging OCI standard, manifestes portables vers des cibles diverses (Compose self-hosted en privilégié, autres PaaS, Kubernetes en option), services managés détachables, contrat de relocalisation testé, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre.

CRA(Cyber Resilience Act)

Règlement européen 2024/2847 adopté en octobre 2024 et applicable progressivement à partir de 2027. Il impose des exigences de cybersécurité aux fabricants et distributeurs de produits comportant des composants numériques mis sur le marché de l’Union européenne. Les obligations comprennent la fourniture d’un SBOM, la gestion documentée des vulnérabilités, la notification des incidents sous 24 heures à l’ENISA et une durée minimale de support sécurité de cinq ans. Les logiciels libres développés sans finalité commerciale bénéficient d’exemptions spécifiques, dont les contours ont été précisés lors du processus législatif.

Sources : Règlement (UE) 2024/2847.

→ Mentionné dans : Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance.

DORA(Digital Operational Resilience Act)

Règlement européen 2022/2554 applicable depuis janvier 2025. Il établit un cadre unifié de résilience opérationnelle numérique pour les entités du secteur financier européen : banques, assurances, entreprises d’investissement, chambres de compensation et leurs prestataires informatiques critiques (tiers fournisseurs de TIC). DORA impose des exigences de gestion des risques TIC, de tests de résilience (dont des tests de pénétration sur base de menaces, TLPT), de gestion et de signalement des incidents, ainsi qu’un cadre de surveillance directe par les autorités européennes (ABE, AEAPP, AEMF) des prestataires TIC critiques, notamment les fournisseurs cloud d’importance systémique.

Sources : Règlement (UE) 2022/2554.

→ Mentionné dans : FAQ — Questions fréquentes sur le manifeste.

eIDAS(electronic IDentification, Authentication and Trust Services)

Règlement européen 910/2014 entré en application en juillet 2016, qui établit un cadre juridique commun pour l’identification électronique, les signatures électroniques, les cachets électroniques, les horodatages et les services d’archivage au sein de l’Union européenne. Il définit des niveaux d’assurance (faible, substantiel, élevé) et impose la reconnaissance mutuelle des schémas d’identification notifiés entre États membres. Une révision substantielle, connue sous le nom d’eIDAS 2.0, introduit le Portefeuille Européen d’Identité Numérique (EUDIW) et étend le champ aux attributs d’identité qualifiés.

Sources : Règlement (UE) 910/2014.

→ Mentionné dans : Documenter publiquement la juridiction de gouvernance des principaux composants de notre chaîne d'approvisionnement.

FISA 702(Foreign Intelligence Surveillance Act, Section 702)

Disposition de la loi américaine sur la surveillance du renseignement étranger, codifiée à 50 U.S.C. § 1881a, qui autorise les agences de renseignement américaines à collecter les communications de personnes étrangères situées hors des États-Unis, y compris via les prestataires de services numériques américains soumis à leur juridiction. Cette disposition a joué un rôle central dans l’arrêt Schrems II de la Cour de justice de l’Union européenne (juillet 2020), qui a invalidé le Privacy Shield en jugeant que le droit américain ne garantit pas une protection équivalente à celle du RGPD pour les données personnelles des ressortissants européens transférées vers les États-Unis.

→ Mentionné dans : Hébergement et données, Lire un Profil — angle Investisseur, Lire un Profil — angle RSSI.

fondation

Structure juridique à but non lucratif qui héberge un projet logiciel libre et en détient les actifs communs : propriété intellectuelle, marque déposée, trésorerie et parfois infrastructure d’hébergement. La fondation sépare ces actifs de toute entreprise individuelle, réduisant le risque de changement unilatéral de gouvernance ou de licence par un acteur unique. Les principales fondations de l’écosystème cloud sont la Linux Foundation (et ses sous-projets CNCF, OpenSSF), la Apache Software Foundation, l’Eclipse Foundation et l’OpenJS Foundation. Leur capacité à garantir la neutralité dépend de leurs statuts, de la composition de leur conseil d’administration et des règles de vote qui y sont définies.

→ Mentionné dans : (sans titre), Manifeste court, FAQ — Questions fréquentes sur le manifeste, Philosophie du dispositif, Composants tiers stratégiques, Plans de contournement, Dépendances de chaîne d'approvisionnement, Continuité en cas de défaillance, Gouvernance et capital, Engagements et limites assumés, Fondations sous juridiction étrangère, Chaînes de distribution captives, Concentration des contributions, Contre-exemples positifs, Fragilité du supply chain, Choix de briques européennes, Financement de l'écosystème, Lisibilité, transparence, cartographie, Contribuer régulièrement à un projet open source sous gouvernance européenne ou de fondation neutre, Recommander explicitement des alternatives européennes ou de fondation neutre à vos clients et collègues, Publier vos choix de stack technique et le raisonnement de souveraineté qui les sous-tend, Reverser une fraction documentée de vos revenus professionnels au financement direct des mainteneurs open source, Intégrer des critères de souveraineté technologique dans notre processus de due diligence, Allouer une part documentée de nos investissements au soutien de projets open source européens ou de fondation neutre, Reverser une fraction documentée de notre chiffre d'affaires logiciel au financement des projets open source dont nous dépendons, À équivalence fonctionnelle, privilégier les briques sous gouvernance européenne ou multi-vendor neutre dans les offres que nous proposons, Qualifier honnêtement la nature de gouvernance des solutions que nous distribuons, Mettre en place un mécanisme de séquestre logiciel chez un tiers de confiance européen, ou s'engager publiquement à publier le code source dans des circonstances précises, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance, Contribuer activement à au moins un projet open source sous gouvernance européenne ou de fondation neutre, Conduire un audit interne de notre exposition aux dépendances technologiques single-vendor, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Reverser une fraction documentée de notre budget logiciel au financement direct des projets open source, Limites assumées du dispositif, Lire un Profil — angle Développeur.

fork

Création d’une branche de développement indépendante à partir du code source d’un projet existant. Le fork est un acte fondamental du logiciel libre : toute licence libre garantit le droit de copier, modifier et redistribuer, ce qui rend le fork toujours légalement possible. En pratique, un fork peut être technique (développement d’une variante), communautaire (divergence de gouvernance) ou de survie (réponse à un changement de licence ou à l’abandon du projet originel). La possibilité de forker constitue une protection structurelle contre la dépendance à un mainteneur unique ou à un éditeur unique, à condition que la base de contributeurs soit suffisante pour assurer la viabilité du projet divergent.

→ Mentionné dans : (sans titre), Manifeste court, Pour les éditeurs propriétaires européens, FAQ — Questions fréquentes sur le manifeste, Philosophie du dispositif, Composants tiers stratégiques, Continuité en cas de défaillance, Bascules de licence, Concentration des contributions, Contre-exemples positifs, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Étudier au moins une migration hors d'un composant single-vendor identifié, Lire un Profil — angle Développeur.

Golden Power

Dispositif juridique italien de contrôle des investissements étrangers dans les secteurs stratégiques, instauré par la loi 56/2012 et progressivement élargi par les décrets-lois 21/2012, 105/2019 et 23/2020. Il autorise le gouvernement italien à s’opposer à des acquisitions, à imposer des conditions ou à exercer des droits spéciaux (veto, prescriptions comportementales) lors d’opérations affectant des activités d’importance stratégique : défense, sécurité nationale, énergie, transports, communications et, depuis 2019, technologie à haute valeur stratégique (5G, intelligence artificielle, données sensibles). Équivalent italien des dispositifs IEF français et AWG/AWV allemand.

→ Mentionné dans : Philosophie du dispositif, Gouvernance et capital, Souveraineté juridique & capital, Inscrire dans les statuts des clauses de protection contre un rachat hors UE — pacte d'actionnaires, droits de préemption européens, golden share, action spécifique à droits de blocage, Lire un Profil de souveraineté, Lire un Profil — angle Acheteur, Lire un Profil — angle DSI, Lire un Profil — angle Investisseur, Lire un Profil — angle Journaliste, Lire un Profil — angle RSSI.

IEF(Investissements étrangers en France)

Dispositif français de contrôle des investissements étrangers dans les activités stratégiques, régi par les articles L. 151-1 et suivants du Code monétaire et financier et ses décrets d’application. La Direction générale du Trésor (DG Trésor) instruit les demandes d’autorisation préalable pour les opérations susceptibles de porter atteinte aux intérêts nationaux dans des secteurs définis, notamment les infrastructures critiques, les technologies duales, la cybersécurité, l’énergie, l’eau et les communications. Le périmètre a été étendu en 2019 pour inclure les activités liées aux données personnelles sensibles. Équivalent français des dispositifs AWG (Allemagne) et Golden Power (Italie).

Sources : DG Trésor — IEF.

→ Mentionné dans : Philosophie du dispositif, Gouvernance et capital, Souveraineté juridique & capital, Inscrire dans les statuts des clauses de protection contre un rachat hors UE — pacte d'actionnaires, droits de préemption européens, golden share, action spécifique à droits de blocage, Lire un Profil — angle Acheteur, Lire un Profil — angle Investisseur, Lire un Profil — angle Journaliste, Lire un Profil — angle RSSI.

mainteneur

Personne ou groupe responsable de la validation ou du refus des contributions (patches, pull requests) soumises à un projet logiciel libre. Le rôle de mainteneur est une responsabilité de fait, non une obligation juridique : il naît de la confiance accordée par la communauté ou par l’éditeur qui détient le dépôt. Les mainteneurs peuvent être identifiés publiquement, agir sous pseudonyme ou être distribués au sein d’un comité technique. Ils constituent souvent un goulot d’étranglement pour la vélocité d’un projet : leur disponibilité, leur neutralité et leur continuité conditionnent directement la durabilité du logiciel. La concentration du rôle sur une seule personne représente un risque opérationnel documenté dans l’ingénierie des systèmes critiques.

→ Mentionné dans : (sans titre), Manifeste court, FAQ — Questions fréquentes sur le manifeste, Composants tiers stratégiques, Dépendances de chaîne d'approvisionnement, Engagements et limites assumés, Fondations sous juridiction étrangère, Concentration des contributions, Contre-exemples positifs, Fragilité du supply chain, Tournant IA, Demande structurée d'engagements, Financement de l'écosystème, Réversibilité & portabilité, Privilégier l'hébergement de mes nouveaux projets sur des forges européennes, Examiner la juridiction de gouvernance des composants tiers que vous utilisez dans vos projets professionnels, Contribuer régulièrement à un projet open source sous gouvernance européenne ou de fondation neutre, Publier vos choix de stack technique et le raisonnement de souveraineté qui les sous-tend, Reverser une fraction documentée de vos revenus professionnels au financement direct des mainteneurs open source, Intégrer des critères de souveraineté technologique dans notre processus de due diligence, Allouer une part documentée de nos investissements au soutien de projets open source européens ou de fondation neutre, Reverser une fraction documentée de notre chiffre d'affaires logiciel au financement des projets open source dont nous dépendons, Contribuer activement à au moins un projet open source sous gouvernance européenne ou de fondation neutre, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Étudier au moins une migration hors d'un composant single-vendor identifié, Reverser une fraction documentée de notre budget logiciel au financement direct des projets open source, Limites assumées du dispositif, Lire un Profil — angle Développeur.

MPL(Mozilla Public License)

Licence libre copyleft au niveau fichier publiée par la Mozilla Foundation en 2012 (version 2.0). Les obligations de partage s’appliquent fichier par fichier : les modifications de fichiers existants sous MPL doivent être redistribuées sous MPL, mais un projet peut combiner des fichiers MPL avec des fichiers sous licence propriétaire dans des répertoires séparés sans que le copyleft ne contamine l’ensemble. Ce copyleft faible rend la MPL compatible avec des environnements commerciaux tout en préservant l’ouverture du code modifié. Utilisée notamment pour Firefox, Thunderbird et Terraform (avant le passage à BSL en 2023).

Sources : Mozilla Public License 2.0.

→ Mentionné dans : Bascules de licence, Lire un Profil — angle Développeur.

MSP(Managed Service Provider)

Prestataire informatique qui opère pour le compte de ses clients l’infrastructure, les applications et les services numériques, généralement sous contrat à forfait ou à abonnement. Le MSP prend en charge la supervision, les mises à jour, la sauvegarde, la sécurité et le support des environnements concernés, ce qui transfère la charge opérationnelle du client vers un tiers spécialisé. Les outils centraux d’un MSP sont le RMM pour la supervision et l’administration à distance, et le PSA pour la gestion commerciale et contractuelle. Dans le secteur des PME et des collectivités, les MSP constituent souvent le principal intermédiaire entre les éditeurs logiciels et les organisations clientes.

→ Mentionné dans : Philosophie du dispositif, Hébergement et données.

multi-vendor neutre

Modèle de gouvernance d’un projet logiciel libre dans lequel plusieurs entreprises contribuent significativement au code, à la documentation et aux décisions, sans qu’aucune d’elles ne détienne seule le contrôle de la roadmap ou de la propriété intellectuelle. Ce modèle est souvent structuré autour d’une fondation neutre qui héberge le projet. Le noyau Linux, Kubernetes et OpenStack en sont des exemples établis. La pluralité des contributeurs réduit le risque de lock-in sur un éditeur unique et augmente la résilience du projet face aux décisions unilatérales, à condition que les règles de gouvernance garantissent effectivement l’absence de position dominante d’un seul acteur. → Voir aussi /fr/profil/a-propos/ pour le contexte argumentatif.

→ Mentionné dans : Composants tiers stratégiques.

NIS2(Network and Information Security Directive 2)

Directive européenne 2022/2555, entrée en vigueur en janvier 2023 et devant être transposée par les États membres avant octobre 2024. Elle remplace la directive NIS de 2016 en élargissant significativement son champ d’application à de nouveaux secteurs (administrations publiques, gestion des déchets, fabrication critique, services postaux) et en augmentant le nombre d’entités concernées, désormais classées en « entités essentielles » et « entités importantes ». Les obligations incluent des mesures techniques et organisationnelles de gestion des risques cyber, un signalement d’incidents sous 24 heures aux autorités compétentes et des exigences de sécurité des chaînes d’approvisionnement logicielles.

Sources : Directive (UE) 2022/2555.

→ Mentionné dans : FAQ — Questions fréquentes sur le manifeste, Hébergement et données, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance, Ouvrir un droit d'audit du code source aux clients dont le contrat le justifie — publics sensibles, infrastructures critiques, exigences souveraines fortes — sous accord de confidentialité.

OCI(Open Container Initiative)

Initiative de standardisation fondée en 2015 au sein de la Linux Foundation. Définit trois spécifications ouvertes : le format d’image de conteneur (image-spec), l’interface d’exécution (runtime-spec) et le protocole de distribution (distribution-spec). Ces standards garantissent l’interopérabilité entre registres, moteurs d’exécution et orchestrateurs indépendamment du fournisseur. Docker, containerd, Podman et la majorité des plateformes cloud respectent les spécifications OCI, ce qui permet de construire une image une fois et de la déployer sur des environnements hétérogènes sans modification.

Sources : Open Container Initiative.

→ Mentionné dans : Pour les éditeurs propriétaires européens, Philosophie du dispositif, Inscrire dans tous les contrats clients une clause de réversibilité standard, avec formats ouverts documentés, scripts d'export testés, et délais d'export contractuellement garantis, Garantir aux clients PaaS la portabilité applicative de leurs workloads — packaging OCI standard, manifestes portables vers des cibles diverses (Compose self-hosted en privilégié, autres PaaS, Kubernetes en option), services managés détachables, contrat de relocalisation testé.

PSA(Professional Services Automation)

Catégorie d’outils logiciels dédiés à la gestion opérationnelle et commerciale des prestataires de services informatiques. Un PSA centralise la gestion des tickets d’incident et de demande, le suivi du temps, la facturation, la gestion des contrats et la planification des interventions. Il est généralement intégré à un outil RMM pour relier les alertes techniques aux engagements contractuels et aux relevés de facturation. Les plateformes PSA leaders (ConnectWise Manage, Autotask, HaloPSA) sont largement d’origine anglo-saxonne et distribuées en SaaS ; des alternatives auto-hébergeables existent mais restent minoritaires dans l’écosystème MSP.

→ Mentionné dans : Philosophie du dispositif, Hébergement et données.

release-on-trigger

Variante du mécanisme de séquestre dans laquelle le tiers dépositaire est mandaté pour libérer automatiquement le code source sous une licence libre prédéterminée dès la survenance d’un déclencheur contractuellement défini, sans intervention supplémentaire de l’éditeur ni décision judiciaire. Les déclencheurs typiques incluent la faillite de l’éditeur, un rachat par une entité extérieure à un périmètre géographique ou juridique convenu, l’abandon documenté du produit ou le dépassement d’un délai de non-publication de mises à jour de sécurité. Ce mécanisme vise à garantir la continuité opérationnelle du logiciel pour les organisations qui l’exploitent. → Voir aussi /fr/profil/a-propos/ pour le contexte argumentatif.

→ Mentionné dans : Pour les éditeurs propriétaires européens, Philosophie du dispositif, Limites assumées du dispositif, Lire un Profil de souveraineté, Lire un Profil — angle Acheteur, Lire un Profil — angle DSI, Lire un Profil — angle Investisseur, Lire un Profil — angle RSSI.

RHEL(Red Hat Enterprise Linux)

Distribution Linux commerciale publiée par Red Hat, filiale d’IBM depuis 2019. Fondée sur les sources de la communauté Fedora, elle est commercialisée sous forme d’abonnements incluant support, certifications et mises à jour de sécurité longue durée. Jusqu’en 2023, Red Hat publiait les sources de RHEL accessibles à tous, ce qui permettait à des distributions dérivées (CentOS Stream, AlmaLinux, Rocky Linux) de les reproduire librement. Depuis juin 2023, l’accès public aux sources est restreint aux clients actifs et aux partenaires sous accord, une décision qui a modifié les conditions d’existence des distributions RHEL-compatibles communautaires.

→ Mentionné dans : Bascules de licence, Chaînes de distribution captives, Fragilité du supply chain, Tournant IA.

RMM(Remote Monitoring and Management)

Catégorie d’outils logiciels utilisés par les MSP pour superviser et administrer à distance les systèmes de leurs clients. Un RMM collecte en continu des données sur l’état des postes et serveurs (santé matérielle, disponibilité des services, journaux d’événements, alertes de sécurité), permet le déploiement automatisé de correctifs et l’exécution de scripts, et offre un accès distant aux techniciens. Les solutions RMM dominantes du marché (NinjaRMM, ConnectWise Automate, Datto RMM, N-able) sont pour la plupart d’origine nord-américaine et opèrent en mode SaaS cloud, ce qui soulève des questions de dépendance et de souveraineté des données pour les prestataires européens.

→ Mentionné dans : Philosophie du dispositif, Hébergement et données.

SBOM(Software Bill of Materials)

Inventaire structuré des composants logiciels d’un produit, incluant versions, dépendances et licences. Codifié par les standards SPDX et CycloneDX. Imposé par le Cyber Resilience Act européen pour les produits commercialisés à partir de 2027.

Sources : SPDX, CycloneDX.

→ Mentionné dans : FAQ — Questions fréquentes sur le manifeste, Philosophie du dispositif, Composants tiers stratégiques, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance.

self-hosted

Architecture dans laquelle une organisation exploite elle-même les services logiciels sur son propre parc d’infrastructure, qu’il s’agisse de serveurs physiques, d’une infrastructure virtualisée privée ou d’un cloud IaaS dont elle contrôle les couches de virtualisation et de système d’exploitation. Par opposition au mode SaaS cloud géré par le fournisseur, le self-hosted confère à l’organisation un contrôle complet sur la localisation des données, les versions déployées, le calendrier des mises à jour, les configurations de sécurité et les accès réseau. Ce contrôle implique en contrepartie la responsabilité opérationnelle des mises à jour, des sauvegardes et de la disponibilité, généralement assurée en interne ou déléguée à un MSP.

→ Mentionné dans : Philosophie du dispositif, Dépendances de chaîne d'approvisionnement, Continuité en cas de défaillance, Choix de briques européennes, Réversibilité & portabilité, Contribuer régulièrement à un projet open source sous gouvernance européenne ou de fondation neutre, Publier vos choix de stack technique et le raisonnement de souveraineté qui les sous-tend, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance, Inscrire dans tous les contrats clients une clause de réversibilité standard, avec formats ouverts documentés, scripts d'export testés, et délais d'export contractuellement garantis, Garantir aux clients PaaS la portabilité applicative de leurs workloads — packaging OCI standard, manifestes portables vers des cibles diverses (Compose self-hosted en privilégié, autres PaaS, Kubernetes en option), services managés détachables, contrat de relocalisation testé, Documenter publiquement la juridiction de gouvernance des principaux composants de notre chaîne d'approvisionnement.

séquestre

Mécanisme contractuel par lequel le code source d’un logiciel, sa documentation technique et les éléments nécessaires à sa continuité opérationnelle sont déposés auprès d’un tiers de confiance indépendant. Le tiers conserve ces actifs sous accord de confidentialité et les libère au bénéficiaire (client, partenaire, communauté) à la survenance d’événements déclencheurs préalablement définis : faillite de l’éditeur, rachat par un acteur hors périmètre contractuel, cessation de support, changement de licence. Le séquestre est une pratique reconnue en droit des contrats informatiques, notamment dans les marchés publics et les industries réglementées. → Voir aussi /fr/profil/a-propos/#les-conditions-d-equivalence-pour-le-proprietaire pour le contexte argumentatif.

→ Mentionné dans : (sans titre), Manifeste court, Philosophie du dispositif, Continuité en cas de défaillance, Continuité en cas de défaillance, Réversibilité & portabilité, Publier notre Profil de souveraineté, Mettre en place un mécanisme de séquestre logiciel chez un tiers de confiance européen, ou s'engager publiquement à publier le code source dans des circonstances précises, Inscrire dans tous les contrats clients une clause de réversibilité standard, avec formats ouverts documentés, scripts d'export testés, et délais d'export contractuellement garantis, Préparer un dispositif de continuité opérationnelle activable en cas de cessation — transfert organisé de la relation client, fonds de garantie sectoriel, ou accord de reprise mutuelle entre confrères, Ouvrir un droit d'audit du code source aux clients dont le contrat le justifie — publics sensibles, infrastructures critiques, exigences souveraines fortes — sous accord de confidentialité, Limites assumées du dispositif, Lire un Profil de souveraineté, Lire un Profil — angle Acheteur, Lire un Profil — angle Développeur, Lire un Profil — angle DSI, Lire un Profil — angle Investisseur, Lire un Profil — angle Journaliste, Lire un Profil — angle RSSI.

single-vendor

Modèle de gouvernance d’un projet logiciel libre dans lequel un éditeur unique contrôle la roadmap, détient la majorité des droits sur la propriété intellectuelle et prend seul les décisions structurantes (changement de licence, fermeture de dépôt, conditions d’accès au code). La contribution d’autres acteurs y est possible mais reste subordonnée à l’accord de cet éditeur. Ce modèle facilite la cohérence technique et commerciale du produit mais expose les utilisateurs à un risque de dépendance élevé : en cas de rachat, de changement de stratégie ou de liquidation de l’éditeur, aucune autre entité ne dispose d’une légitimité établie pour assurer la continuité du projet. → Voir aussi /fr/profil/a-propos/ pour le contexte argumentatif.

→ Mentionné dans : Composants tiers stratégiques, Demande structurée d'engagements, Lisibilité, transparence, cartographie, Examiner la juridiction de gouvernance des composants tiers que vous utilisez dans vos projets professionnels, Intégrer des critères de souveraineté technologique dans notre processus de due diligence, À équivalence fonctionnelle, privilégier les briques sous gouvernance européenne ou multi-vendor neutre dans les offres que nous proposons, Qualifier honnêtement la nature de gouvernance des solutions que nous distribuons, Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance, Conduire un audit interne de notre exposition aux dépendances technologiques single-vendor, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Étudier au moins une migration hors d'un composant single-vendor identifié, Lire un Profil de souveraineté, Lire un Profil — angle Acheteur, Lire un Profil — angle Développeur, Lire un Profil — angle DSI, Lire un Profil — angle RSSI.

SSPL(Server Side Public License)

Licence publiée par MongoDB en 2018 pour MongoDB et adoptée par plusieurs autres projets dont Redis (2024). Elle étend les obligations de l’AGPL aux services managés : un fournisseur qui offre un service cloud basé sur un logiciel sous SSPL doit publier sous SSPL l’intégralité de la pile logicielle utilisée pour opérer ce service, y compris les composants d’infrastructure propres au fournisseur. L’Open Source Initiative n’a pas reconnu la SSPL comme licence libre, estimant que cette exigence dépasse le périmètre du logiciel sous licence lui-même.

→ Mentionné dans : Composants tiers stratégiques, Plans de contournement, Bascules de licence, Examiner la juridiction de gouvernance des composants tiers que vous utilisez dans vos projets professionnels, Recommander explicitement des alternatives européennes ou de fondation neutre à vos clients et collègues, Intégrer des critères de souveraineté technologique dans notre processus de due diligence, Qualifier honnêtement la nature de gouvernance des solutions que nous distribuons, Garantir contractuellement un préavis minimum (six à douze mois) avant tout arrêt de support, bascule unilatérale ou modification substantielle du service, Donner la préférence aux briques sous gouvernance européenne ou multi-vendor neutre, Étudier au moins une migration hors d'un composant single-vendor identifié, Lire un Profil — angle Acheteur, Lire un Profil — angle Développeur.

upstream

Désigne le projet source dont dérive une distribution ou un fork. Une distribution Linux basée sur Debian a Debian comme upstream ; une image Docker d’application a l’image de base officielle comme upstream. Par extension, « contribuer upstream » signifie soumettre des modifications directement au projet source plutôt que de les maintenir localement dans une branche divergente. Contribuer upstream réduit le coût de maintenance à long terme (les corrections sont intégrées aux versions suivantes) et renforce la légitimité du contributeur dans la gouvernance du projet. À l’inverse, accumuler des patches locaux sans les reverser upstream crée une dette technique croissante au fil des mises à jour du projet source.

→ Mentionné dans : Bascules de licence, Fragilité du supply chain, Tournant IA, Garantir aux clients PaaS la portabilité applicative de leurs workloads — packaging OCI standard, manifestes portables vers des cibles diverses (Compose self-hosted en privilégié, autres PaaS, Kubernetes en option), services managés détachables, contrat de relocalisation testé, Lire un Profil — angle Développeur.

vendor lock-in

Situation dans laquelle une organisation ne peut pas substituer un fournisseur à un autre sans supporter des coûts de migration disproportionnés par rapport à la valeur de la transition. Le lock-in résulte de plusieurs facteurs combinés : formats de données ou protocoles propriétaires sans équivalent standard, intégrations profondes avec d’autres produits du même écosystème, clauses contractuelles limitant la portabilité, absence de documentation permettant à un tiers de reproduire le service, ou dépendance à des compétences spécifiques à la plateforme. Le vendor lock-in réduit le pouvoir de négociation du client lors des renouvellements et limite sa capacité de réponse en cas de changement unilatéral de tarification, de conditions d’utilisation ou de disponibilité du service.

→ Mentionné dans : Hébergement et données, Lire un Profil de souveraineté, Lire un Profil — angle DSI.