"Si nous voulons des logiciels libres, nous devons les payer" - Interview CryptPad

Des suites bureautiques alternatives, il en existe plusieurs. Mais au-delà du modèle open source, la promesse d'un environnement collaboratif entièrement chiffré reste très rare. C'est sur ce point que l'entreprise française CryptPad entend se différencier.

Depuis sa création en 2014, CryptPad a construit sa réputation sur une promesse simple : collaborer sans sacrifier sa vie privée. Aujourd'hui, avec 300 000 utilisateurs mensuels et une reconnaissance mondiale, la plateforme open source française doit relever un nouveau défi : passer d'un projet de recherche financé par les subventions publiques à une entreprise viable.

Ludovic Dubost, fondateur et PDG de la maison mère XWiki, nous explique pourquoi le chiffrement de bout en bout n'est pas un gadget marketing, mais la seule vraie réponse aux dérives des Big Techs. Il assume aussi les limites de CryptPad face à Microsoft ou Google, tout en refusant de tomber dans le piège de l'IA générative. Surtout, il estime par ailleurs que la pérennité des logiciels libres en Europe a un coût.

Après 11 ans d'existence, CryptPad est passé d'un simple éditeur de texte chiffré à une suite bureautique complète. Quelle sera la prochaine étape majeure dans les 3 à 5 prochaines années ?

Ludovic Dubost : Nous avons lancé CryptPad avec une idée simple : la collaboration ne devrait pas se faire au détriment de la vie privée. Onze ans plus tard, c'est une suite bureautique complète, mais cette idée fondatrice n'a pas changé. Au cours des prochaines années, notre objectif est de faire de CryptPad la couche de chiffrement pour la collaboration dans tout l'écosystème open source.

L'un de nos chantiers clés en ce moment est d'augmenter la scalabilité de notre serveur pour permettre à notre instance phare de servir des millions d'utilisateurs, alors qu'aujourd'hui elle en compte 300 000 par mois. Nous voulons également continuer à améliorer toutes nos applications du point de vue de l'interface et de l'expérience utilisateur, et en rénover certaines. Nous avons des projets pour remanier l'éditeur WYSIWYG en y intégrant une version plus moderne basée sur BlockNote.js.

Sur le plan du chiffrement, il y a aussi du travail. Nous avons beaucoup d'idées à l'horizon que nous avons commencé à intégrer dans notre projet Blueprints. Les contraintes supplémentaires du chiffrement signifient que nous devons planifier notre feuille de route avec soin. Nous avons récemment ajouté de l'agilité à notre système en permettant au module de cryptographie qui alimente CryptPad d'être remplacé via un plugin. Cela nous a permis d'utiliser la bibliothèque Sodium, plus efficace, sur notre instance phare. Nous avons également commencé à nous intéresser à la cryptographie post-quantique. Enfin, nous aimerions aussi offrir plus de modularité et d'API pour une meilleure interaction avec CryptPad.

L'ONU a récemment choisi CryptPad Forms à la place de Microsoft Forms pour collecter des signatures. J'imagine que cela n'est pas passé inaperçu ! Cela influencera-t-il votre stratégie de développement et vos ambitions internationales ?

L.D : Oui, c'était un signal très encourageant. Quand une organisation comme l'ONU choisit CryptPad plutôt que Microsoft Forms, cela montre que la protection des données et l'éthique deviennent de vrais facteurs de décision dans les organisations.

Pour nous, il ne s'agit pas tant de collecter les gros logos. Cela signifie plutôt de redoubler d'efforts sur la fiabilité, la conformité et l'ergonomie à grande échelle. Si les institutions mondiales peuvent utiliser CryptPad en toute sécurité, n'importe qui le peut. Donc oui, cela influence nos ambitions, car cela nous pousse à atteindre davantage d'organisations qui ont besoin d'outils de collaboration dignes de confiance, non seulement d'un point de vue technique, mais aussi éthique.

Nous sommes aussi très fiers de notre base d'utilisateurs. CryptPad compte plus de 1 800 installations dans le monde, et notre instance phare CryptPad.fr a atteint 2,8 millions d'ouvertures de pads le mois dernier. C'est quand nous voyons de nombreux utilisateurs individuels utiliser CryptPad au quotidien que nous sommes vraiment motivés.

Quelle est votre position sur l'intégration de l'IA générative dans CryptPad, et comment réconcilieriez-vous cette technologie avec votre engagement en faveur du chiffrement de bout en bout ?

L.D : La plupart des implémentations d'IA dans les suites bureautiques s'appuient sur des opérations qui se produisent sur le serveur, ce qui semble donc difficile à réconcilier avec notre promesse fondamentale du chiffrement de bout en bout. Nous sommes une petite équipe (9 personnes) et il y a déjà beaucoup de travail pour améliorer, maintenir et exploiter le produit. Pour le moment, l'IA n'est pas notre priorité. Cela ne semble pas non plus être une priorité pour nos utilisateurs, car aucun d'entre eux n'a demandé ces fonctionnalités.

Il y a eu un petit intérêt de la part des développeurs pour explorer des modèles locaux uniquement qui pourraient fonctionner dans les contraintes de CryptPad, c'est-à-dire être téléchargés sur l'appareil de l'utilisateur dans le cadre du client. Bien que nous ne nous impliquerons pas nous-mêmes dans ce travail, nous ne sommes pas contre et pourrions imaginer un avenir où cette option existe en tant que plugin, par exemple.

Comme l'IA comporte aussi des défis, nous aimerions la voir utilisée pour les fonctionnalités les plus utiles, comme les traductions ou la synthèse, et non pour générer de longs documents inintéressants ! Nous aimerions éviter les fonctionnalités qui surveillent constamment ce que les gens tapent, consommant de l'énergie, pendant que les gens ignorent les résultats.

Vous avez présenté l'API CryptPad au Paris JUG en septembre 2025, permettant l'intégration avec Nextcloud, Parsec et d'autres applications. Quels sont vos objectifs pour transformer CryptPad en plateforme d'édition collaborative au sein de l'écosystème open source ?

L.D : Nous construisons CryptPad en tant que plateforme, pas en tant que produit fermé. L'API permet aux autres outils open source d'intégrer directement la collaboration chiffrée. En développant cette première API, nous laissons aux autres applications la possibilité d'adopter l'éditeur de CryptPad. Cela permettrait à une application qui stocke ou aimerait stocker un document chiffré d'utiliser notre service pour l'éditer de manière collaborative. Bien que déchiffrer/chiffrer un fichier soit assez simple, construire des éditeurs temps réel qui gardent les données chiffrées est une tâche difficile. Nous espérons que cela pourra démocratiser le chiffrement de bout en bout des documents et ouvrir de nouveaux usages de CryptPad.

Face aux géants comme Microsoft et Google, qui dominent le marché des suites bureautiques collaboratives, mais aussi face à des alternatives comme ONLYOFFICE ou Nextcloud, quel est votre principal facteur de différenciation ? Le chiffrement de bout en bout suffit-il à convaincre le marché ?

L.D : Les alternatives à Microsoft et Google nécessitent des suites complètes d'outils, surtout en entreprise. Nous le savons chez XWiki SAS, car nous proposons aussi un excellent outil Wiki et nous faisons partie des projets openDesk et Suites Collaboratives France 2030 financé par BPI France. Actuellement, les entreprises ne vont pas tout basculer vers le chiffrement de bout en bout, mais nous espérons qu'elles le feront pour les données sensibles. Nous comptons plutôt sur des collaborations utilisant nos API pour ces utilisateurs.

Côté grand public, les utilisateurs cherchent aussi des moyens de quitter les BigTechs. Sur ce marché, la plupart des outils sont gratuits avec du suivi publicitaire. Pour nous, CryptPad est davantage positionné sur ce marché. Les gens peuvent utiliser CryptPad avec ses excellentes fonctionnalités d'édition, sans publicités, sans suivi, sans assistants IA qui s'entraînent sur vos documents. Nous incluons un certain niveau d'utilisation gratuite jusqu'à 1 Go de données pour pouvoir concurrencer des plateformes concurrentes comme celle de Google. Notre principale différenciation est le chiffrement de bout en bout avec le modèle de confiance, la vie privée par conception, la gouvernance européenne, et un modèle commercial qui ne dépend pas de l'exploitation des données. Les BigTechs ne font pas tout ça parce qu'en fin de compte, ils veulent tout savoir sur vous.

Pour nous financer, nous avons des donations et des abonnements payants. Ces derniers financent le projet et ajoutent des choses pratiques comme le stockage, le support, les SLA et certaines options de déploiement pour les organisations. C'est le point clé : vous gardez le contrôle, que vous auto-hébergiez, utilisiez notre cloud, et même si ne nous payiez jamais un centime.

CryptPad intègre ONLYOFFICE pour ses éditeurs de documents. Cela crée une certaine dépendance. Comment gérez-vous cela, surtout quand les bugs d'intégration retardent vos releases, comme ce fut le cas avec OnlyOffice 8 ? Et quelles leçons en avez-vous tiré ?

L.D : C'est vrai, dépendre de logiciels externes apporte de la complexité. Mais c'est le prix de faire partie de l'open source, nous collaborons, nous intégrons, nous adaptons. Nous déployons régulièrement des mises à jour en fonction du code en amont. Cela prend du temps, car nos modules OnlyOffice constituent un fork significatif de la base de code OnlyOffice. Seules les parties côté client sont utilisées et nous avons des intégrations pour nous assurer que tout fonctionne avec le chiffrement de bout en bout. Par exemple, nous avons des modules d'importation à partir des formats Office vers CryptPad en utilisant le code OnlyOffice compilé en WebAssembly.

Quand la mise à niveau d'ONLYOFFICE 8 a retardé notre release, cela nous a rappelé la nécessité de rendre notre système plus modulaire. Nous travaillons à isoler les dépendances, pour qu'un composant puisse être mis à jour ou remplacé sans bloquer tout le reste.

Votre rapport de financement de janvier 2025 est un peu décevant sur la croissance des revenus clients, particulièrement avec le retard du projet ZenDis/openDesk en Allemagne. Quels ajustements stratégiques avez-vous mis en place pour développer votre clientèle B2B et entreprise ?

L.D : Nous avons toujours été transparents sur l'argent, et maintenant davantage encore, les donations et revenus d'abonnements sont expliqués clairement dans le produit et sur nos publications de budget public, pour que les gens voient exactement comment ils soutiennent CryptPad. Servir les clients professionnels prend du temps, car le chiffrement de bout en bout est un marché de niche qui a aussi des exigences spécifiques.

Nous avons aussi lancé CryptPad Cloud, qui permet de fournir des serveurs CryptPad gérés aux clients, qu'il s'agisse de petites organisations comme les ONG ou de plus grands clients. Ils peuvent également inclure l'authentification unique (SSO) et des niveaux de support plus élevés que ce que nous offrons sur CryptPad.fr, et leurs données sont séparées de la plateforme partagée. Nous sommes disponibles pour tout client entreprise voulant intégrer CryptPad dans sa plateforme.

Avec plus de 200 000 utilisateurs mensuels et seulement 1 000 abonnés payants, comment envisagez-vous d'augmenter votre taux de conversion ? Avez-vous identifié les principaux obstacles à l'adoption payante ?

L.D : En décembre, nous avions 250 000 utilisateurs mensuels et 1500 abonnés payants sur notre instance CryptPad.fr. Nous avons fini l'année avec une croissance de 50% ce qui est assez significatif. Nous croyons qu'il est important de ne pas convertir les utilisateurs par la pression ou en retenant des fonctionnalités pour les tiers payants. D'une manière générale, les utilisateurs ne connaissent toujours pas l'existence d'outils comme CryptPad et ils ne savent pas forcément qu'ils peuvent quitter les BigTechs. Nous avons besoin de la communauté mondiale pour faire connaître CryptPad, et cela inclut nos utilisateurs gratuits.

Pour générer des revenus, au-delà du dépassement du seuil de 1 Go de données, qui est assez élevé, nous voulons que les utilisateurs choisissent de soutenir CryptPad parce qu'ils y croient, grâce aux donations et aux abonnements. Nous plaidons pour un meilleur soutien des logiciels libres, de CryptPad en particulier, et nous rendons les options de soutien visibles et simples. Cette année, nous avons ajouté des badges opt-in : les comptes d'administrateurs et de modération sont clairement identifiés, et les abonnés sur CryptPad.fr peuvent afficher un petit badge de soutien s'ils le souhaitent.

En parallèle, nous travaillons à améliorer le processus de donation et aussi les explications sur la façon dont les abonnements et les donations financent notre infrastructure et notre travail open source. L'objectif est de sensibiliser : quand vous vous abonnez, vous aidez à garder vivante une alternative sécurisée, sans publicités, et chiffrée de bout en bout pour tous. Nous pouvons actuellement le faire parce que nous avons du financement provenant des projets NGI européens et de projets français de BPI, et cela nous permet de prendre le temps de développer à la fois la base d'utilisateurs gratuits et la base d'utilisateurs payants. Nous devrons cependant travailler sur la scalabilité de nos serveurs, car nous aurons besoin de millions d'utilisateurs pour obtenir des dizaines de milliers d'abonnés.

Votre modèle repose approximativement à 85% sur les financements de projets de recherche (NGI, NLNet, France 2030) et à seulement 14% sur les abonnements et donations. Comment envisagez-vous d'inverser cette dépendance pour assurer la pérennité du projet sans compromettre son ADN open source ?

L.D : Les subventions nous ont aidés à construire CryptPad. Elles ne paieront pas son fonctionnement indéfiniment. Le chemin à suivre est clair : plus de revenus récurrents, moins de projets ponctuels. C'est la stratégie que nous avons suivie avec XWiki. Il y a actuellement deux manières dont nous pouvons procéder pour inverser l'équilibre.

Nous avons CryptPad Cloud et d'autres revenus professionnels possibles qui sont une source supplémentaire. openDesk, le partenariat avec Parsec peuvent devenir une source de revenus. Cependant, le marché professionnel est délicat car il apporte aussi des coûts. Donc, quand nous avons plus de revenus, cela signifie généralement aussi plus de responsabilités. Nous comptons donc dessus pour représenter au maximum entre 10 et 20%.

Nous sommes déjà plutôt proches des 20% de revenus provenant de notre côté consommateur, les abonnements sur CryptPad.fr et les donations. Donc, pour remplacer les 80% de financement public que nous recevons signifierait multiplier par 5 nos revenus consommateurs, et passer de 1 500 à 10 000 abonnés.

Vous affirmez que "l'argent public doit financer du code public". En même temps, j'ai l'impression que les financements publics privilégient souvent l'innovation plutôt que la maintenance. Comment convaincre les institutions de financer la stabilité et l'amélioration continue plutôt que de nouvelles fonctionnalités ?

L.D : C'est très juste et c'est un problème courant dans l'industrie des logiciels libres quand il s'agit de financement. C'est un problème que nous avons rencontré avec les investisseurs, lesquels nous poussent vers plus de fonctionnalités et d'innovation, mais pas autant vers l'amélioration et la maintenance du logiciel. Il y a quelques améliorations avec des fonds comme le Sovereign Tech Fund en Allemagne. Des systèmes de donation ont aussi été mis en place pour cela, mais c'est toujours limité pour de nombreux projets.

Il y a des initiatives comme Copie Publique, dont nous faisons partie, et qui plaident aussi pour les donations. Ce qui aide aussi, c'est devenir "client". Si l'Europe et les Européens veulent plus de contrôle sur leurs logiciels, nous devons alors commencer à payer pour obtenir des logiciels open source locaux. Cela signifie qu'en tant qu'organisation et en tant qu'individus, nous devons payer pour de meilleurs logiciels qui répondent à ces critères. Nous devons nous assurer qu'une partie de notre budget va à cela, même si ce logiciel n'est pas parfait.

Fondamentalement, si nous voulons des logiciels libres, nous devons les payer. Nous devons une réorientation des mentalités et peut-être un changement des règles pour les financements publics au niveau européen pour que cela se produise.

CryptPad est sous licence AGPLv3, garantissant que toute modification reste publique. Avez-vous déjà rencontré des acteurs qui auraient tenté de contourner cette licence ? Comment protégez-vous concrètement votre modèle contre une potentielle concurrence déloyale ?

L.D : Il y a clairement un manque de compréhension autour des licences open source et de ce que vous pouvez faire ou non. Cela fonctionne d'ailleurs dans les deux sens. Les gens ne savent pas forcément qu'il est possible de combiner un serveur sous licence AGPL à des logiciels propriétaires (comme vous pouvez avoir des logiciels propriétaires fonctionnant aux côtés d'open source sur les ordinateurs Linux).

Je crois qu'un projet ne verra ce problème que lorsqu'il sera un immense succès. En attendant, les gens qui ne se conformeraient pas correctement à la licence n'utiliseraient pas votre logiciel s'ils le savaient. À ce stade, nous n'y sommes pas.

Au final, nos objectifs avec les logiciels sous licence AGPL sont les suivants :

• Maintenir à l'écart une personne qui ne voudrait pas partager.
• Si un client nous demande une modification, il nous faut une raison légale pour l'ajouter à la base de code de CryptPad.
• Rester honnêtes en ne détenant pas tous les droits d'auteur et donc les mêmes droits que les autres.

Vous présentez le modèle du serveur "honnête mais curieux" où les utilisateurs doivent finalement faire confiance à un serveur tiers. Envisagez-vous de renforcer davantage votre architecture pour réduire cet élément de méfiance ?

L.D : Oui, nous nous appuyons toujours sur ce modèle. Le serveur ne peut pas lire vos données, mais vous devez quand même faire confiance au logiciel qui est envoyé à l'utilisateur. Nous aimerions faire plus, mais c'est beaucoup de travail et comporte certaines contraintes. Si vous voulez que CryptPad fonctionne dans n'importe quel navigateur, alors une certaine technologie est nécessaire pour vérifier l'intégrité du logiciel depuis le navigateur. Cela peut aussi être fait en utilisant une application de bureau.

Cependant, même avec cela, un certain niveau de confiance sera nécessaire. Quelqu'un devra valider et certifier le code à chaque release. Actuellement, à notre niveau d'utilisation et de financement, c'est difficile de mettre en place un organisme indépendant pour faire cela. Je n'ai pas encore vu de logiciel qui ne soit pas basé sur l'auto-signature de l'auteur, et donc, dans les faits, la plupart des auteurs de logiciels pourraient casser le logiciel.

La confiance et la réputation restent très importantes et les utilisateurs devraient travailler avec des acteurs qui ont une certaine réputation. Le logiciel ajoute une couche supplémentaire pour aider ces acteurs à protéger les données de leurs propres employés et des pirates.

Pour les utilisateurs, la question est : devriez-vous faire confiance aux gros acteurs qui promettent leur propre confiance et sécurité mais pistent activement les données et, dans certains cas, ont même violé la loi, comme Meta, ou plutôt aux plus petits acteurs qui promettent qu'ils ne changeront pas le code qui fait le chiffrement de bout en bout pour protéger les données de leurs propres yeux et de ceux des pirates ?

Au-delà de Nextcloud, dans le cadre du projet openDesk, quels autres écosystèmes open source européens ciblez-vous pour développer des synergies stratégiques ?

L.D : Au-delà d'openDesk, XWiki travaille avec des acteurs des projets Suites Collaboratives France 2030 : Jamespot, Interstis, Wimi pour construire des synergies. Cela inclut aussi Parsec, qui fournit une solution de chiffrement de bout en bout. Nous sommes ouverts à davantage de collaborations où nous pourrions intégrer à la fois CryptPad et XWiki.

Nous aurions aimé que la DINUM déploie CryptPad et nous aide à l'améliorer au lieu de développer sa propre solution Docs, mais malheureusement nous n'avons pas pu les convaincre. De notre côté, nous avons ouvert une instance connectée à ProConnect pour les utilisateurs de l'administration française. Nous verrons si cela peut intéresser les utilisateurs publics.