La Python Software Foundation enregistre un afflux de donateurs après avoir refusé une subvention fédérale,Et si le refus de PSF annonçait la fin des subventions conditionnées dans le monde open source ?
La Python Software Foundation (PSF), pilier du développement du langage open source le plus populaire au monde, a récemment décliné une subvention fédérale américaine d’un montant conséquent, jugée contraire à ses principes d’inclusion et de diversité. Cette décision a non seulement suscité l’admiration d’une large partie de la communauté tech, mais a aussi provoqué un afflux massif de dons spontanés en soutien à la fondation. Derrière ce geste, se joue une bataille plus vaste entre l’indépendance des communautés open source et la montée des politiques conservatrices dans les institutions publiques américaines.
Depuis plusieurs années, la PSF cherche à renforcer la sécurité de PyPI, le dépôt officiel des paquets Python. Avec plus de 500 000 packages et des milliards de téléchargements mensuels, PyPI est devenu une cible privilégiée pour les attaques de type supply-chain (insertion de code malveillant dans des dépendances).
La PSF élabore donc un projet ambitieux : automatiser la vérification des paquets, détecter les anomalies avant publication et réduire la dépendance à la surveillance manuelle. Pour financer cette modernisation, la fondation répond à un appel à projets de la National Science Foundation (NSF) américaine, une agence publique réputée pour soutenir des initiatives scientifiques et technologiques à fort impact.
Chronologie des évènements
La proposition de financement : 1,5 million $ pour PyPI
Au printemps 2025, la PSF soumet à la NSF une proposition budgétée à 1,5 million de dollars, centrée sur la résilience de PyPI et la sécurité de la chaîne logicielle Python.
Les premières discussions sont positives : le projet est techniquement solide, aligné avec les priorités fédérales en matière de cybersécurité. Des ingénieurs de la PSF et des mainteneurs de PyPI commencent même à planifier les premières étapes du programme, en imaginant des outils d’analyse automatisée et des audits continus.
Mais un détail administratif attire bientôt l’attention : le contrat de financement contient une clause limitant les activités de diversité, équité et inclusion (DEI) au sein de l’organisation bénéficiaire.
La découverte de la clause anti-DEI
La clause stipule que les fonds ne peuvent pas être utilisés ou mélangés avec des programmes promouvant la diversité, l’équité ou l’inclusion, et qu’aucune action institutionnelle ne doit « explicitement soutenir ou favoriser » ce type de programme. Autrement dit, accepter la subvention reviendrait pour la PSF à renoncer à une partie de ses activités DEI, ou à isoler strictement celles-ci des projets financés par la NSF.
Or, la diversité fait partie intégrante de la mission de la fondation, inscrite dans ses statuts : favoriser un écosystème ouvert à tous, indépendamment du genre, de la culture ou du niveau d’expertise.
À partir de là, le conseil d’administration de la PSF se réunit à plusieurs reprises pour évaluer les implications.
Certains membres plaident pour une approche pragmatique : accepter le financement tout en garantissant que les activités DEI continuent via d’autres ressources. D’autres estiment qu’un tel compromis enverrait un message contradictoire à la communauté.
Des discussions sont également engagées avec la NSF pour tenter d’obtenir une clarification ou une levée partielle de la restriction. Les échanges restent cordiaux, mais la clause n’est pas modifiée.
Le retrait officiel de la proposition
En octobre 2025, la PSF publie une déclaration officielle : elle retire sa proposition de financement. Dans son communiqué, la fondation déclare être « profondément déçue » mais fidèle à ses principes. Elle précise que la décision n’est pas dirigée contre la NSF, mais qu’elle refuse toute condition « incompatible avec les valeurs d’ouverture et de diversité qui définissent la communauté Python ».
Pourquoi la PSF a-t-elle rejeté la subvention ?
Au cœur de la décision se trouve la clause imposée : accepter ce financement signifiait que l’organisation devait s’abstenir de mener certains programmes de DEI. Pour une entité comme la PSF, dont la gouvernance, la communauté et les valeurs incluent la promotion de l’inclusion et de la diversité, accepter cette condition aurait été un compromis éthique ou stratégique majeur.
La PSF a expliqué qu’elle était « déçue d’être dans cette position », mais que « nous avons estimé que notre projet proposé offrirait d’innombrables progrès pour la communauté Python et open-source, protégeant des millions d’utilisateurs de PyPI » — tout en estimant que refuser les conditions était préférable.
Autrement dit, la décision n’est pas motivée uniquement par le montant ou par le projet technique, mais par l’alignement entre mission et conditions externes de financement.
Voici un extrait du billet de Loren Crary :
Nous avons été honorés lorsque, après plusieurs mois de travail, notre proposition a été recommandée pour un financement, d'autant plus que seuls 36 % des nouveaux candidats à une subvention de la NSF sont retenus dès leur première tentative. Nous avons toutefois commencé à nous inquiéter lorsque nous avons pris connaissance des conditions que nous devions accepter pour obtenir cette subvention. Ces conditions comprenaient notamment l'affirmation que « nous ne menons et ne mènerons, pendant la durée de cette aide financière, aucun programme visant à promouvoir ou à encourager la DEI (diversité, équité et inclusion) ou une idéologie discriminatoire en matière d'équité, en violation des lois fédérales anti-discrimination ».
Cette restriction s'appliquerait non seulement aux activités de sécurité directement financées par la subvention, mais aussi à toutes les activités de la PSF dans son ensemble. En outre, la violation de cette condition donnait à la NSF le droit de « récupérer » les fonds précédemment approuvés et transférés. Cela créerait une situation dans laquelle l'argent que nous avions déjà dépensé pourrait être récupéré, ce qui constituerait un risque financier énorme et illimité.
Un geste perçu comme un acte de résistance
La décision a immédiatement provoqué une onde de choc dans l’écosystème open source. Alors que certaines fondations technologiques se montrent prudentes lorsqu’il s’agit de s’opposer aux politiques fédérales, la PSF a choisi une position claire et publique. « J’étais parmi les membres du conseil d’administration qui ont voté contre ce financement – une décision unanime, mais difficile », a écrit Simon Willison sur son blog. « Je suis fier de siéger à un conseil capable de prendre des décisions aussi difficiles. »
Guido van Rossum, le créateur original de Python, a même publié un message de soutien sur X, anciennement Twitter. « Si vous n’êtes pas au courant, bravo à la PSF pour avoir défendu ses valeurs (qui sont aussi les miennes). »
Cette posture de résistance face à une ingérence politique a été saluée par de nombreuses figures du monde du libre, qui y voient une réaffirmation du rôle moral des communautés open source. Pour elles, refuser l’argent d’un gouvernement au nom des principes d’inclusion, c’est préserver l’esprit même de l’open source : la liberté de construire ensemble sans exclusion.
Un élan de solidarité inédit
Le jour de l'annonce, la PSF a reçu environ 300 nouveaux dons, a déclaré Crary, et les dons ont continué d'affluer. Mardi 28 octobre, un utilisateur de Reddit s'est même plaint d'une erreur de délai d'attente lors de sa première tentative de don. Crary a répondu que, apparemment, « notre page de dons a été un peu saturée ».
Crary, qui était également co-responsable du projet initialement retiré, a aussi remercié la communauté pour ses messages de soutien sur le forum officiel de Python, écrivant : « Nous sommes très reconnaissants du soutien de la communauté, qui a afflué et qui, honnêtement, nous a un peu impressionnés. »
Tout au long de la semaine, Crary a répondu à plusieurs personnes qui annonçaient faire un don à la PSF en signe de soutien. « Je ne peux pas vous dire à quel point cela nous a touchés de voir la communauté se mobiliser à nos côtés aujourd'hui, après avoir traversé cette période difficile », a-t-elle déclaré.
Vendredi, moins de deux semaines après l'annonce, l'organisation a enregistré des résultats encourageants, a déclaré Deb Nicholson, directrice générale de PSF. « Nous avons récolté plus de 157 000 dollars », dont 295 nouveaux membres bienfaiteurs qui s'acquittent d'une cotisation annuelle de 99 dollars. Et ce n'est qu'un début. « Nous savons que certains donateurs sollicitent un programme de dons jumelés de leur employeur et que des membres de la communauté ont lancé leur propre campagne de dons jumelés, ce qui contribuera également à faire augmenter ces chiffres. »
« Cela ne comble pas tout à fait le manque de 1,5 million de dollars, mais c'est un soutien incroyable pour nous, tant financièrement que par l'immense élan de solidarité que nous ressentons de la part de la communauté. »
« Nous ne nous attendions absolument pas à un tel afflux de générosité », a ajouté Crary plus tard, « et c'est vraiment formidable pour nous. »
Rapidement, la décision a fait le tour du web. La conversation s'est poursuivie sur plusieurs plateformes de médias sociaux. La publication LinkedIn de la PSF concernant cette décision commençait par ce résumé : « La PSF a décidé de privilégier sa communauté et ses valeurs communes de diversité, d'équité et d'inclusion plutôt que de rechercher 1,5 million de dollars de nouveaux revenus.»
« Au final, la décision a été facile à prendre », ont-ils écrit, expliquant avoir fait passer leurs valeurs (et leur communauté) avant tout.
En quelques jours, plus de 2 000 personnes ont réagi positivement sur LinkedIn, avec 361 partages et 88 commentaires.
Mais le projet pourra-t-il se poursuivre conformément à l’objectif de la subvention ?
Larson avait un autre message : « Je suis fier du travail accompli par notre petite équipe, même si le résultat n’est pas celui que nous avions imaginé lorsque Loren et moi avons lancé ce projet il y a presque un an.
« Depuis l’annonce de notre décision, tout ce que nous avons vu n’a fait que confirmer mon intuition : la communauté Python est formidable. J’en suis ravi.»
Mais le projet pourra-t-il se poursuivre conformément à l’objectif de la subvention ? Avec un budget annuel d’environ 5 millions de dollars, selon un article de blog récent, la subvention de 1,5 million de dollars aurait représenté une augmentation de financement de 30 % (répartie sur deux ans) – « de loin la plus importante subvention que nous ayons jamais reçue ».
En tant que développeur en sécurité résident du groupe, Larson espérait utiliser la subvention pour améliorer la détection des tentatives d'attaques sur la chaîne d'approvisionnement du registre officiel PyPI des paquets Python. L'article du blog de la PSF indique que le projet consistait à développer des outils pour automatiser l'examen des paquets, « en remplacement du processus actuel d'examen uniquement réactif ».
Larson a confié la semaine dernière que la subvention demandée « couvrait le financement de plusieurs postes contractuels sur une période de deux ans ». Malheureusement, a-t-il regretté, « le processus automatisé d'examen des paquets, tel que proposé dans le cadre de la subvention, ne peut être mis en œuvre dans les circonstances actuelles ».
La communauté open source au sens large aurait également bénéficié de ce travail, comme le souligne leur article de blog, car « les résultats de ce travail pourraient être transposables à tous les registres de paquets logiciels open source, tels que NPM et Crates.io, améliorant ainsi la sécurité de nombreux écosystèmes open source ».
Mais Larson a indiqué que poursuivre sans cette subvention réduirait considérablement les possibilités de « travail supplémentaire nécessaire à la création d'artefacts adaptables à plusieurs écosystèmes logiciels, comme la documentation décrivant la conception, le fonctionnement, les résultats et les performances ». Et : « Nous devrons désormais concilier le développement et la maintenance de l'index des packages Python (PyPI) et de CPython avec les seuls effectifs de sécurité actuels. Cela limite fortement les possibilités de nouveaux projets d'envergure. »
Ce même projet de sécurité pourrait-il être mené à bien si de nouveaux financements étaient débloqués ? La PSF n’a pas totalement renoncé
« La PSF est constamment à la recherche de nouvelles opportunités de financement pour des projets bénéfiques à la communauté Python », a indiqué Nicholson la semaine dernière, ajoutant avec conviction : « Nous avons reçu des suggestions pertinentes suite à notre annonce et nous allons les examiner.»
De plus, même en l’état actuel des choses, la PSF se considère comme « toujours en train de développer ou de mettre en œuvre les technologies les plus récentes pour protéger les responsables et les utilisateurs des projets PyPI contre les menaces actuelles », et elle entend poursuivre cet engagement. Par exemple, elle souligne que PyPI met aujourd’hui en œuvre la publication de confiance (une alternative ciblée aux jetons d’API de vérification des éditeurs), les attestations de provenance numérique et les efforts continus de blocage des logiciels malveillants du Projet Quarantine.
La PSF envisage également d’accroître ses autres sources de financement à l’avenir. « Nous étudions les subventions européennes, les sources de revenus liées à l'utilisation par les entreprises et le développement de notre programme de dons individuels », a confié Nicholson. « En fin de compte, nous avons absolument besoin que ces nouvelles sources de revenus se développent pour pouvoir continuer à servir notre mission et la communauté Python comme nous l'avons toujours fait : l'utilisation de Python et de PyPI a progressé de manière constante, d'autant plus que Python est essentiel à l'essor récent du secteur de l'IA, tandis que notre financement est resté quasiment stable. »
Mais cette nouvelle manifestation de soutien de la communauté est particulièrement encourageante, intervenant dans un contexte d'inflation, de pressions économiques sur le secteur technologique et de « baisse des parrainages », comme le souligne le blog de la PSF (sans parler de l'incertitude et des conflits ambiants). Soulignant que la PSF « a plus que jamais besoin de soutien financier », l'organisation a exhorté ses lecteurs à manifester leur soutien en achetant des adhésions à la PSF, en faisant un don ou en encourageant leur entreprise à devenir sponsor.
Sources : Simon Willison, PSF, LinkedIn
Et vous ?
La PSF a-t-elle eu raison de privilégier la cohérence éthique au détriment d’un gain technique immédiat ? Pourquoi ?
Peut-on parler d’un précédent qui risque d’influencer la manière dont les fondations open source négocient avec les institutions publiques ?
Est-il légitime qu’un organisme public impose des conditions politiques ou idéologiques à des financements destinés à la recherche et à l’éducation ?
Faut-il que les communautés open source se dotent de mécanismes d’autonomie financière pour éviter ce type de dilemme à l’avenir ?
Vous avez lu gratuitement 1 755 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.