<h2>Un législateur qui n&rsquo;avait pas vraiment pensé à Debian</h2>
<p>Un législateur californien, bien intentionné, veut protéger les enfants sur Internet. Il rédige un texte de loi qui oblige les systèmes d&rsquo;exploitation à collecter et transmettre l&rsquo;âge de leurs utilisateurs. Il pense à Apple. Il pense à Google. Il pense à Microsoft.</p>
<p>Il ne pense pas à Arch Linux.</p>
<p>Et c&rsquo;est précisément là que tout a dérapé.</p>
<h2>Le contexte : une loi bien intentionnée, mais naïve</h2>
<p>Pour comprendre ce qui s&rsquo;est passé, il faut remonter à la fin 2025. Le gouverneur de Californie Gavin Newsom signe l&rsquo;<strong>Assembly Bill 1043</strong> (AB 1043), officiellement baptisé le <strong>Digital Age Assurance Act,</strong> la « Loi sur l&rsquo;assurance d&rsquo;âge numérique ». Le but affiché est louable : protéger les mineurs contre le cyberharcèlement, la sextorsion, et les effets néfastes des réseaux sociaux.</p>
<p>L&rsquo;idée centrale de la loi est assez radicale : plutôt que de laisser chaque application ou site web gérer la vérification d&rsquo;âge en solo avec les résultats inégaux et contournables que l&rsquo;on connait, la Californie décide de descendre la vérification au niveau du <strong>système d&rsquo;exploitation lui-même</strong>. Directement dans l&rsquo;OS.</p>
<p>Concrètement, voici ce que la loi exige :</p>
<ul>
<li><strong>Lors de la configuration initiale de l&rsquo;appareil</strong>, l&rsquo;OS doit collecter la date de naissance ou l&rsquo;âge de l&rsquo;utilisateur.</li>
<li><strong>Un « signal d&rsquo;âge »</strong> doit être généré et rendu accessible en temps réel via une API aux applications et boutiques d&rsquo;applications</li>
<li><strong>Quatre tranches d&rsquo;âge</strong> sont définies : moins de 13 ans, 13-15 ans, 16-17 ans, et 18 ans et plus</li>
<li><strong>Des paramètres par défaut adaptés</strong> à chaque tranche doivent être appliqués automatiquement</li>
<li>La loi entre en vigueur le <strong>1er janvier 2027</strong>, avec des délais de conformité matérielle jusqu&rsquo;en juillet 2027</li>
<li>Les pénalités atteignent <strong>2 500 dollars par enfant</strong> pour les violations négligentes, et <strong>7 500 dollars par enfant</strong> pour les violations intentionnelles</li>
</ul>
<p>Sur le papier, c&rsquo;est une approche centralisée et cohérente. Pour Apple, Google et Microsoft, c&rsquo;est un chantier d&rsquo;ingénierie coûteux mais faisable. Ces trois géants ont des équipes juridiques, des comptes utilisateurs pour chaque client, des systèmes de télémétrie sophistiqués, et des milliards de dollars pour absorber les coûts de conformité.</p>
<p>Pour Arch Linux ou linux ? C&rsquo;est une toute autre histoire.</p>
<h2>Mais c&rsquo;est quoi Linux, exactement ? Pour ceux qui se demandent</h2>
<p>Avant d&rsquo;aller plus loin, une petite mise à niveau pour les lecteurs qui ne sont pas familiers avec le monde de Linux et des logiciels libres. C&rsquo;est essentiel pour comprendre pourquoi cette loi était aussi absurde dans ce contexte.</p>
<h3>Linux, c&rsquo;est un écosystème, pas une entreprise</h3>
<p>Linux n&rsquo;est pas un produit vendu par une société. C&rsquo;est un <strong>noyau de système d&rsquo;exploitation,</strong> la couche fondamentale du logiciel qui parle directement au matériel de votre ordinateur, créé en 1991 par Linus Torvalds, qui le distribue librement. À partir de ce noyau, des milliers de communautés, d&rsquo;associations, d&rsquo;entreprises et de bénévoles ont créé leurs propres <strong>distributions</strong> (ou « distros ») : Ubuntu, Debian, Fedora, Arch Linux, Linux Mint, Gentoo, et plus de <strong>600 autres</strong>.</p>
<p>Ces distributions sont très différentes les unes des autres en termes de philosophie, de public cible et de mode de fonctionnement. Mais elles partagent toutes un point commun fondamental : elles sont distribuées sous des <strong>licences libres</strong> (GPL, MIT, Apache…) qui garantissent à tout utilisateur le droit de copier, modifier et redistribuer le logiciel librement.</p>
<p>Et c&rsquo;est justement ce modèle-là qui rend la loi AB 1043 complètement inapplicable dans cet univers.</p>
<h3>Pas de comptes utilisateurs. Pas de budget. Pas d&rsquo;avocat.</h3>
<p>Reprenons ce qu&rsquo;exige AB 1043 et voyons comment ça se traduit pour une distribution Linux typique :</p>
<table>
<thead>
<tr>
<th>Ce que la loi exige</th>
<th>Apple / Google / Microsoft</th>
<th>Debian / Arch / Gentoo</th>
</tr>
</thead>
<tbody>
<tr>
<td>Comptes utilisateurs</td>
<td>â Des milliards d&rsquo;Apple ID, Google Account, etc.</td>
<td>â Aucun. Vous téléchargez une image ISO. Personne ne sait qui vous êtes.</td>
</tr>
<tr>
<td>Système de télémétrie</td>
<td>â Intégré dans l&rsquo;OS</td>
<td>â Absent par conception, la vie privée est une valeur fondamentale</td>
</tr>
<tr>
<td>API de signalement d&rsquo;âge</td>
<td>â Peut être construite en quelques mois</td>
<td>â Techniquement incohérent avec l&rsquo;architecture décentralisée</td>
</tr>
<tr>
<td>Budget de conformité légale</td>
<td>â Des milliards de dollars disponibles</td>
<td>â Revenus = 0 pour la plupart. Fonctionnement sur dons et bénévolat</td>
</tr>
<tr>
<td>Équipe juridique</td>
<td>â Des dizaines d&rsquo;avocats par pays</td>
<td>â Inexistante pour la plupart des projets</td>
</tr>
<tr>
<td>Responsable légal identifiable</td>
<td>â Une entité corporative claire</td>
<td>â Souvent une communauté anonyme répartie dans le monde entier</td>
</tr>
</tbody>
</table>
<p>La réalité est celle-là : la majorité des distributions Linux sont des projets <strong>entièrement bénévoles</strong>, maintenus par des passionnés qui consacrent leurs week-ends et leurs soirées à un travail non rémunéré. Debian, l&rsquo;une des distributions les plus répandues au monde, est gérée par une organisation à but non lucratif sans revenu commercial. Arch Linux est maintenu par une poignée de contributeurs bénévoles.</p>
<p>Leur demander de construire et de maintenir une infrastructure de vérification d&rsquo;identité en temps réel sous peine de 7 500 dollars d&rsquo;amende par enfant, c&rsquo;est comme demander à un boulanger de quartier de se conformer aux réglementations de sécurité alimentaire d&rsquo;un supermarché géant.</p>
<h2>Comment télécharger Linux et pourquoi c&rsquo;est impossible à verrouiller</h2>
<p>Voilà un autre problème que les rédacteurs de la loi semblent n&rsquo;avoir pas anticipé. La façon dont on obtient Linux est fondamentalement différente de celle dont on télécharge une application sur l&rsquo;App Store.</p>
<p>Pour installer Linux, vous allez sur le site de la distribution (debian.org, archlinux.org, ubuntu.com…), vous téléchargez un fichier appelé <strong>image ISO,</strong> un fichier qui contient l&rsquo;intégralité du système d&rsquo;exploitation et vous le gravez sur une clé USB pour l&rsquo;installer sur votre machine.</p>
<p>Personne ne vous demande de créer un compte. Personne ne vérifie votre identité. Personne ne sait que c&rsquo;est vous qui avez téléchargé ce fichier. Et ce n&rsquo;est pas un oubli, c&rsquo;est <strong>une décision philosophique délibérée</strong> qui remonte aux origines du mouvement du logiciel libre.</p>
<p>De surcroît, ces fichiers sont hébergés non pas sur un serveur centralisé contrôlé par une seule entité, mais sur des <strong>centaines de miroirs,</strong> des serveurs relais gérés par des universités, des associations, des entreprises et des particuliers dans le monde entier. Comment la Californie imaginerait-elle forcer ces milliers de serveurs à implémenter une vérification d&rsquo;âge ?</p>
<p>C&rsquo;est exactement comme vouloir faire vérifier l&rsquo;âge des utilisateurs d&rsquo;un livre publié sous licence libre et téléchargeable librement sur Internet. La structure même du système rend la chose absurde.</p>
<h2>La réaction de la communauté : de la stupéfaction à l&rsquo;action</h2>
<p>Quand la communauté open source et les défenseurs de la vie privée ont réalisé les implications concrètes de AB 1043 pour Linux, la réaction a été massive et rapide.</p>
<h3>MidnightBSD : l&rsquo;option nucléaire</h3>
<p>L&rsquo;une des premières réponses concrètes est venue de <strong>MidnightBSD</strong>, un système d&rsquo;exploitation libre basé sur FreeBSD. Face à l&rsquo;impossibilité de se conformer à la loi, le projet a pris une décision radicale : <strong>bloquer les adresses IP californiennes</strong> entièrement. Plus aucun utilisateur situé en Californie ne pouvait télécharger MidnightBSD depuis les serveurs officiels.</p>
<p>C&rsquo;est une mesure extrême, presque ironique. Pour se protéger d&rsquo;une loi censée protéger les enfants, un projet open source décide d&rsquo;exclure un État entier y compris les adultes légitimes, les développeurs, les chercheurs, les entreprises. C&rsquo;est le symbole parfait de l&rsquo;absurdité à laquelle aboutit une réglementation mal conçue.</p>
<h3>L&rsquo;Electronic Frontier Foundation monte au créneau</h3>
<p>L&rsquo;<strong>Electronic Frontier Foundation</strong> (EFF), la grande organisation américaine de défense des droits numériques, a publié une critique cinglante d&rsquo;AB 1043. Sa position : cette loi ne protège pas les enfants, elle <strong>renforce la domination des géants de la tech</strong>. En imposant des obligations que seuls Apple, Google et Microsoft peuvent satisfaire, le texte crée de fait une barrière à l&rsquo;entrée qui élimine toute alternative à ces plateformes fermées. L&rsquo;EFF y voit une forme de censure déléguée aux développeurs d&rsquo;applications, contraire aux libertés fondamentales.</p>
<h3>Les grandes organisations de défense du logiciel libre : un silence troublant</h3>
<p>Fait remarquable et soulevé par plusieurs analystes : lors du processus législatif qui a conduit à l&rsquo;adoption d&rsquo;AB 1043, ni l&rsquo;<strong>Open Source Initiative</strong> (OSI), ni la <strong>Free Software Foundation</strong> (FSF), ni la <strong>Linux Foundation</strong> n&rsquo;ont présenté de témoignage formel au législateur californien. La communauté la plus directement menacée n&rsquo;était pas représentée dans la salle où se décidait son sort.</p>
<p>Même le gouverneur Newsom l&rsquo;avait reconnu implicitement en signant le texte : son message d&rsquo;approbation appelait explicitement à des amendements dans la session législative 2026 pour corriger les problèmes identifiés, notamment les comptes partagés au sein d&rsquo;une famille et les profils utilisés sur plusieurs appareils. Il a signé une loi qu&rsquo;il savait bancale.</p>
<h2>L&rsquo;amendement AB 1856 : le retournement</h2>
<p>La pression a fini par porter ses fruits. Et d&rsquo;une manière un peu piquante : c&rsquo;est <strong>la même législatrice qui avait rédigé la loi originale</strong> qui a proposé l&rsquo;amendement pour la corriger.</p>
<p>L&rsquo;<strong>Assembly Member Buffy Wicks</strong> a introduit l&rsquo;<strong>Assembly Bill 1856</strong> (AB 1856) le 11 février 2026. Plusieurs versions ont suivi. La plus importante pour la communauté open source est celle publiée le <strong>18 mai 2026</strong>, qui intègre un nouveau paragraphe dans la définition de « fournisseur de système d&rsquo;exploitation » :</p>
<blockquote><p><em>« « Operating system provider » does not mean a person or entity that distributes an operating system or application under license terms that permit a recipient to copy, redistribute, and modify the software. »</em></p></blockquote>
<p>En français : un « fournisseur de système d&rsquo;exploitation » n&rsquo;inclut pas une personne ou entité qui distribue un OS sous des termes de licence permettant à un destinataire de copier, redistribuer et modifier le logiciel.</p>
<p>En clair : si votre logiciel est open source au sens traditionnel du terme, c&rsquo;est-à-dire s&rsquo;il respecte les quatre libertés fondamentales du logiciel libre, <strong>vous êtes exempté</strong> de l&rsquo;obligation de vérification d&rsquo;âge.</p>
<p>Le 19 mai 2026, le texte était lu une deuxième fois et renvoyé en troisième lecture. Début juin, il doit passer devant des commissions parlementaires. L&rsquo;exemption n&rsquo;est pas encore votée au sens définitif mais la direction est clairement tracée.</p>
<h3>Ce que ça protège et ce que ça ne protège pas encore</h3>
<p>Avec AB 1856 tel que rédigé, les distributions suivantes seraient exemptées :</p>
<ul>
<li><strong>Debian</strong>, <strong>Ubuntu</strong>, <strong>Fedora</strong>, <strong>Arch Linux</strong>, <strong>Linux Mint</strong>, <strong>Gentoo</strong>, <strong>openSUSE</strong>, <strong>Kali Linux</strong> et l&rsquo;immense majorité des distributions Linux</li>
<li><strong>FreeBSD</strong>, <strong>OpenBSD</strong>, <strong>NetBSD</strong> et les autres systèmes BSD libres</li>
<li>En principe, tout logiciel distribué sous licence GPL, MIT, Apache ou similaire</li>
</ul>
<p>Mais il reste au moins <strong>un cas épineux</strong> que la communauté surveille de près : <strong>SteamOS</strong>, le système d&rsquo;exploitation Linux développé par Valve pour ses consoles Steam Deck. SteamOS est basé sur Arch Linux et son noyau est libre mais il est couplé à <strong>Steam</strong>, une boutique d&rsquo;applications propriétaire et commerciale qui contrôle les téléchargements de jeux. C&rsquo;est précisément le type de plateforme qu&rsquo;AB 1043 visait. SteamOS pourrait se retrouver dans une zone grise inconfortable malgré ses fondations open source.</p>
<h2>Une tendance mondiale qui dépasse la Californie</h2>
<p>Ce qui se passe en Californie n&rsquo;est pas un cas isolé. C&rsquo;est le symptôme d&rsquo;un mouvement réglementaire mondial qui tente de répondre à de vraies inquiétudes : la protection des mineurs en ligne, avec des outils qui ont été conçus pour un Internet centralisé, propriétaire et commercial.</p>
<ul>
<li><strong>Texas</strong> : le HB 1181 impose une vérification d&rsquo;identité par document gouvernemental pour accéder aux sites pour adultes. La Cour Suprême américaine l&rsquo;a validé en juin 2025.</li>
<li><strong>Utah et Louisiane</strong> : ont adopté des lois similaires ciblant les boutiques d&rsquo;applications mobiles.</li>
<li><strong>Union européenne</strong> : le Digital Services Act (DSA) et l&rsquo;AI Act imposent des obligations croissantes aux plateformes en matière de protection des mineurs.</li>
<li><strong>Royaume-Uni</strong> : l&rsquo;Online Safety Act (2023) oblige les plateformes à vérifier l&rsquo;âge des utilisateurs pour tout contenu potentiellement préjudiciable.</li>
</ul>
<p>Dans tous ces cas, le cadre réglementaire a été pensé pour les grandes plateformes commerciales centralisées. Et dans tous ces cas, les projets libres et décentralisés se retrouvent soit dans un angle mort juridique, soit sous une pression de conformité qui leur est fatale.</p>
<h2>Comment la réglementation d&rsquo;Internet menace la philosophie du logiciel libre</h2>
<p><em>Cette section est une réflexion personnelle et une invitation au débat.</em></p>
<p>Il y a une tension fondamentale que cette affaire met en lumière avec une rare clarté, et qu&rsquo;on n&rsquo;articule pas assez souvent.</p>
<p>La régulation d&rsquo;Internet qu&rsquo;elle soit motivée par la protection de l&rsquo;enfance, la sécurité nationale, ou la lutte contre la désinformation, est presque toujours conçue autour d&rsquo;un postulat implicite : <strong>Internet est une série de services commerciaux centralisés, contrôlés par des entreprises identifiables</strong>. Un App Store est une boutique avec un propriétaire. Une plateforme sociale est une entreprise avec un PDG. Un système d&rsquo;exploitation est un produit vendu par une corporation.</p>
<p>Cette vision du monde est peut-être vraie pour 95 % des utilisateurs d&rsquo;Internet. Mais elle est <strong>structurellement fausse</strong> pour le mouvement du logiciel libre.</p>
<p>Le logiciel libre n&rsquo;est pas un modèle économique alternatif. C&rsquo;est une <strong>philosophie politique</strong>. La liberté de lire un code source, de le modifier, de le redistribuer sans permission, ce n&rsquo;est pas un avantage commercial, c&rsquo;est un droit fondamental que des décennies de travail collectif ont rendu possible. Richard Stallman ne cherchait pas à concurrencer Microsoft quand il a fondé le projet GNU en 1983. Il cherchait à préserver une certaine idée de la liberté intellectuelle.</p>
<p>Or, à chaque vague de régulation d&rsquo;Internet, le logiciel libre est mis en danger non pas par malveillance, mais par ignorance. Personne au Capitole de Sacramento ne connaît la différence entre une image ISO et une application iOS. Personne ne sait ce qu&rsquo;est un miroir de téléchargement. Personne ne comprend qu&rsquo;il n&rsquo;existe pas de « responsable d&rsquo;Arch Linux » à poursuivre en justice.</p>
<p>Le résultat, c&rsquo;est des lois qui fonctionnent comme des <em>filtres économiques</em> : elles sont tolérables pour Apple et Google, qui ont les moyens de s&rsquo;y conformer. Elles sont létales pour les projets bénévoles, qui n&rsquo;ont ni les ressources ni les structures juridiques nécessaires.</p>
<p>Et cela a une consequence que personne ne veut vraiment assumer : <strong>chaque loi de ce type renforce le duopole Apple/Google et fragilise les alternatives</strong>. L&rsquo;effet est exactement l&rsquo;inverse de ce qu&rsquo;une politique de diversité technologique devrait produire.</p>
<p>La vraie question, celle que les législateurs devraient se poser avant de rédiger ces textes, est simple : <strong>est-ce que cette loi va s&rsquo;appliquer uniformément à tous les acteurs, ou est-ce qu&rsquo;elle va, en pratique, écraser les petits et épargner les grands ?</strong></p>
<p>Dans le cas d&rsquo;AB 1043, la réponse était évidente. Et heureusement, un recul a eu lieu avant qu&rsquo;il soit trop tard. Mais les prochaines vagues de régulation arriveront sur la désinformation, sur l&rsquo;IA, sur la protection des données. Et à chaque fois, la communauté du logiciel libre devra à nouveau justifier son existence face à des législateurs qui ne l&rsquo;avaient pas anticipée.</p>
<p>La solution à long terme n&rsquo;est pas d&rsquo;attendre que des amandements soient proposés après les dégâts. C&rsquo;est de s&rsquo;assurer qu&rsquo;OSI, FSF, la Linux Foundation et les communautés open source <strong>soient présentes dans les salles législatives avant que les textes soient adoptés</strong>. Pas après.</p>

Une annonce qui a changé la nature du débat Le 19 mai 2026. KPMG et…
On les appelle agents IA, et depuis quelques mois, ils font beaucoup parler d'eux, pour…
"En janvier 2026, une ingénieure chez Google a confié à un agent IA une mission…