Lors de notre dernière visite à la communauté Audacity, les utilisateurs soucieux de la confidentialité de l’éditeur audio gratuit et open source étaient préoccupés par les plans proposés pour ajouter des rapports de télémétrie aux logiciels d’édition audio open source vieux de plusieurs décennies. Plus de 1 000 commentaires ont été laissés sur la demande d’extraction de GitHub qui aurait mis en œuvre cette capacité de « téléphone à domicile », de nombreuses personnes affirmant que la meilleure solution était de créer un nouveau fork d’Audacity qui supprimait tout code de suivi actuel ou futur qui était mis en œuvre en amont.

Pour leur part, les nouveaux propriétaires du projet, Muse Group, ont fait valoir que la possibilité pour Audacity de faire rapport sur l’environnement logiciel de l’utilisateur leur permettrait de traquer certains bogues particulièrement délicats. La tabulation d’informations d’utilisation anonymes, telles que les filtres audio les plus couramment appliqués, serait également utilisée pour déterminer où le temps et l’argent de développement seraient le mieux dépensés. Le nouveau chef de projet Martin « Tantacrul » Keary est intervenu personnellement pour expliquer que toute la situation n’était qu’un malentendu et que Muse Group n’avait aucune mauvaise intention pour le vénérable programme. Ils voulaient simplement avoir une meilleure idée de la façon dont le logiciel était utilisé dans le monde réel, mais après avoir vu à quel point la communauté s’exprimait sur le sujet, la décision a été prise de suspendre tout changement jusqu’à ce qu’une approche plus largement acceptable puisse être développé.

Notre dernier article sur le sujet s’est terminé sur une note positive, car il semblait que la situation s’améliorait. Alors qu’il y avait encore un segment de la base d’utilisateurs d’Audacity qui était sceptique quant à l’ajout d’analyses à distance dans un programme qui n’en avait jamais besoin auparavant, les représentants du groupe Muse semblaient écouter les commentaires qu’ils recevaient. Keary a assuré aux utilisateurs que les plans de mise en œuvre de la télémétrie avaient été abandonnés et que s’ils étaient réintroduits à l’avenir, cela se ferait avec la transparence appropriée.

Malheureusement, les choses n’ont fait qu’empirer au cours des mois qui ont suivi. Non seulement la télémétrie est de retour au menu pour un programme qui n’a jamais eu besoin d’une connexion Internet depuis sa sortie initiale en 2000, mais cette fois, elle a apporté avec elle une politique de confidentialité troublante qui détaille qui peut accéder aux données collectées. Pire encore, Muse Group a clairement fait savoir qu’il avait l’intention d’éloigner Audacity de sa licence GPLv2 actuelle, même si cela signifie muscler les contributeurs de longue date qui n’accepteront pas le changement. La société soutient que cela leur donnera plus de flexibilité pour répertorier le logiciel avec un plus large éventail de référentiels de packages, une affirmation qui a été accueillie avec un grand scepticisme par ceux qui connaissent bien les licences open source.

Jeu de coquille de licence

Un peu plus d’une semaine après la parution de notre précédent article sur Audacity, Daniel Ray, responsable de la stratégie de Muse Group, a lancé une nouvelle bombe sur GitHub sous la forme d’un nouveau Contributor License Agreement (CLA). Il a expliqué que les contributeurs passés et futurs seraient liés par l’accord, qui donne au groupe Muse des droits illimités sur la façon dont le code contribué est utilisé et sous licence. Le document indique clairement que le contributeur d’origine est toujours techniquement le propriétaire dudit code, et qu’il était libre de l’utiliser dans d’autres projets, mais qu’il n’aurait rien à dire sur son sort une fois intégré au projet Audacity.

S’il y avait le moindre doute sur ce que Muse Group avait en tête en mettant en œuvre cette CLA, Ray était clair qu’ils se positionnaient en effet pour renouveler la licence du projet. À court terme, ils souhaitent faire passer Audacity de la GPLv2 à la GPLv3, ce qui, a-t-il expliqué, ouvrirait la compatibilité avec diverses bibliothèques et technologies sur lesquelles l’équipe avait l’œil. Ce ne serait pas nécessairement une mauvaise chose, et bien que certains contributeurs n’aient peut-être pas été d’accord avec tous les changements apportés dans la révision ultérieure de la GPL, il est peu probable que la mise à jour ait fait trop de vagues.

Le vrai problème a commencé lorsqu’il a admis que Muse Group avait finalement l’intention de doubler le code. Cela signifierait que dans certaines situations, et à leur seule discrétion, Muse Group pourrait proposer une version d’Audacity qui était liée par une licence entièrement différente et dont le nom n’a pas encore été nommé. Ray cite des problèmes liés à la liste des projets sous licence GPL sur l’App Store d’Apple comme exemple de la nécessité de cette clause, car elle permettrait au groupe Muse d’utiliser une licence plus permissive pour satisfaire les exigences d’un fournisseur en matière de redistribution.

Si cela ne suffisait pas, la FAQ pour le nouveau CLA indique spécifiquement que le code contribué à Audacity peut être utilisé dans de futurs projets de code source fermé par Muse Group :

Il n’est pas exagéré de dire que c’est l’antithèse de ce que la communauté open source, ou du moins la GPL, représente. Peu de personnes qui cherchent à soumettre leur code pour inclusion dans un programme qui a passé plus de 20 ans sous licence GPLv2 approuveraient que leur travail finisse dans le cadre d’un projet commercial à code source fermé. Lorsqu’un commentateur a demandé à Ray comment Muse Group avait l’intention d’amener les anciens contributeurs à accepter un tel document, il a répondu que seuls les contributeurs majeurs devaient signer ; l’équipe a décidé que réécrire ce qu’il a décrit comme des contributions « triviales » serait plus efficace que de faire accepter les nouveaux termes par les auteurs originaux.

Vous devez être aussi haut pour rouler

Tout en acceptant toujours le CLA, la communauté a été encore plus énervée par la publication d’une version préliminaire de la nouvelle politique de confidentialité d’Audacity plus tôt ce mois-ci. Ce document décrit un système de télémétrie qui n’a pas encore été mis en œuvre et comment les informations qu’il collecte seraient partagées avec des tiers. Le libellé selon lequel le groupe Muse partagerait les « données nécessaires à l’application de la loi, aux litiges et aux demandes des autorités (le cas échéant) » était particulièrement préoccupant, tout en omettant de clarifier la portée des données collectées ou à quelles autorités l’entreprise faisait référence. Il convient de mentionner à ce stade que Muse est basé à Kaliningrad, en Russie.

Une autre section de la politique de confidentialité, intitulée simplement « Mineurs », explique qu’Audacity ne doit pas être utilisé par des personnes de moins de 13 ans. Cette clause a probablement été insérée afin que la collecte de données et les rapports proposés ne soient pas contraires à l’American Children’s. La loi sur la protection de la vie privée en ligne (COPPA) et le règlement général sur la protection des données (RGPD) de l’Union européenne, qui limitent l’âge auquel un utilisateur peut donner son consentement à l’utilisation de ses informations en ligne.

De nombreux commentateurs se sont dits préoccupés par le fait que la nouvelle exigence d’âge d’Audacity signifierait que l’outil gratuit ne pourrait plus être utilisé dans les milieux éducatifs, forçant les écoles à trouver un programme alternatif. D’autres ont souligné que la GPLv2 et la GPLv3 interdisent spécifiquement toute limitation concernant les personnes pouvant exécuter le programme. Si Muse Group avait l’intention de tirer parti de la CLA pour remplacer cette clause de la GPL, ce serait un dangereux précédent ; limiter l’âge auquel un utilisateur peut exécuter un programme est une pente glissante vers d’autres formes de discrimination, un autre affront inexcusable aux valeurs de la communauté open source.

Confiance gâchée

Tout comme ils l’ont affirmé avec la demande d’extraction de télémétrie bâclée de mai, la ligne officielle de l’entreprise est que la publication du projet de politique de confidentialité était une erreur, et que le document final sera révisé pour s’aligner plus étroitement sur les objectifs de l’entreprise pour Audacity à l’avenir . Selon un article de Daniel Ray, une fois la télémétrie activée dans Audacity version 3.0.3, les seules données qui seront collectées sont l’adresse IP de l’utilisateur, des informations de base sur son ordinateur et éventuellement des rapports d’erreur. Malgré ce qui est indiqué dans le projet, il a également assuré aux utilisateurs qu’aucune donnée supplémentaire ne serait collectée à des fins d’application de la loi, et si les utilisateurs le souhaitent, ils peuvent utiliser Audacity en mode hors ligne qui les dispense de suivre complètement la politique de confidentialité.

Les grandes différences entre le projet de politique de confidentialité actuellement sur le site Web d’Audacity et la version théorique révisée sont difficiles à ignorer. Un observateur raisonnable se demanderait pourquoi ce projet a été publié publiquement si le but était d’invalider la plupart de ses clauses controversées dans une deuxième révision. La conclusion inévitable est que certains éléments au sein du groupe Muse sont soit dangereusement naïfs quant aux réalités de la gestion d’un grand projet open source, soit plus inquiétant, qu’ils essaient activement de voir jusqu’où la communauté peut être poussée avant de commencer à pousser dos.

Dans ce dernier cas, nous pouvons avoir notre réponse. Un fork d’Audacity visant à annuler les changements apportés par Muse Group, bien nommé Tenacity, a déjà amassé plus de 4 000 étoiles sur GitHub. Bien sûr, il n’y a aucune garantie quant à la longévité de ces projets rebelles ou, de manière critique, si les principaux référentiels de logiciels éviteront ou non la version amont au profit de versions « de-Mused ». Mais il y a un élan indéniable derrière cela, alimenté uniquement par la façon dont Muse Group a gâché ses interactions avec la communauté Audacity depuis qu’il a pris les rênes il y a à peine trois mois.

S’il s’agit vraiment du début d’un hard fork pour le légendaire éditeur audio open source, il ne fait aucun doute à qui incombe la responsabilité. En fin de compte, cependant, si la nouvelle équipe de Tenacity reprend le flambeau d’Audacity et s’enfuit avec, dans un an, nous pourrions nous demander de quoi il s’agissait.