Retour sur EOLE 2019 – Panel 1 : Dispositifs juridiques de financement des communs

1. Le financement des Communs numériques par les collectivités publiques – Olivier Jaspart, conseiller juridique Commune Livry Gargan

Plusieurs sortes de contrats administratifs sont à même de participer au financement des communs au sein des collectivités. Ainsi, certains canaux traditionnels, comme le marché public ou le marché de partenariat, peuvent être empruntés pour participer à la création ou à la pérennisation de communs numériques administratifs. Le marché de partenariat est particulièrement intéressant dans la mesure où il permet de créer une mission globale sans qu’il y ait lieu de répartir les rôles entre le maître d’ouvrage et le maître d’œuvre.

Cela étant, les marchés publics – y compris marchés de partenariat – doivent également s’accompagner de Cahiers des Clauses Administratives Générales (CCAG) susceptibles d’être adaptés à l’objectif de production d’un commun numérique.

Pour ce faire, les modèles de CCAG – Propriété Intellectuelle et les modèles de CCAG – TIC sont ceux qui répondent le mieux à ce type de commande. Plus particulièrement, les CCAG – Propriété intellectuelle sont à privilégier, car ils permettent de choisir quelle entité sera l’attributaire des droits de propriété intellectuelle. Une fois les droits acquis, la collectivité publique à l’origine du marché est ensuite libre de les mettre en commun à titre gracieux (par exemple sous licence Open Source en matière de logiciel).

Dans ce cadre, il est également recommandé d’investir dans une prestation de formation et de support, plutôt que dans l’acquisition de la solution logicielle elle-même. À titre d’exemple, la commune de Nancy a récemment mis en place un marché ordinaire à prix global et forfaitaire pour l’installation, l’hébergement, la maintenance et l’assistance (pour toute la durée du marché) de la solution de participation citoyenne et digitale DECIDIM.

Le financement peut ensuite prendre la forme de la participation voire du financement de l’entité qui en assure la maintenance : qu’il s’agisse par exemple d’une SCIC (Société Collaborative d’Intérêt Collectif) ou d’une association. Ces deux voies permettent en effet aux collectivités territoriales d’investir financièrement et matériellement dans un projet de commun administratif, tout en prenant part à une gouvernance partagée au sein du projet.

Enfin, le financement d’un commun administratif centré sur la donnée est possible par le partage de l’information publique, ou l’Open Data. En effet, le Code des relations entre le public et l’administration prévoit que toute personne a le droit de réutiliser les informations contenues dans les documents administratifs. L’État peut donc financer en totalité la mise en commun des informations publiques, ou imposer dans certains cas une redevance pour la réutilisation de ces informations. À l’heure actuelle, une problématique juridique récurrente concerne l’échange de jeux de données entre administrations, notamment en cas de redevances encore existantes.

Les points clés à retenir :

• Le marché de partenariat est un cadre administratif pertinent et adaptable au financement d’un commun numérique
• Le Cahier des Clauses Administratives Générales – Propriété Intellectuelle permet de s’assurer que la collectivité publique puisse mettre en commun la ressource acquise dans le cadre du marché public. Les articles clés des CCAG-PI peuvent être intégrés dans d’autres CCAG si besoin
• L’association ou la SCIC sont deux structures adaptées à la création, au financement et à l’évolution d’un commun numérique

2. Digital commons: from software to personal data, licensing and other legal Techniques – Marco Ciurcina, avocat Studiolegale.it

À partir de la définition du bien commun proposée par Elinor Ostrom (Prix nobel d’économie 2009, pour son développement de la théorie sur les communs), les projets phares et inspirant de communs numériques (Wikipédia, Libre Office, Open Street Map, etc.) peuvent être comparés à des Aqueducs. En opposition aux bouteilles d’eau qui « privatisent » une ressource naturelle — on peut parler de projets dits « propriétaires » — ces structures présentent un fort potentiel de mutualisation, de partage et d’interopérabilité. Toutefois, et la métaphore s’arrête ici, le simple fait d’ouvrir le code d’un projet ne fait pas automatiquement de lui un commun au sens propre. Ainsi les règles de partage du code, encadrées par les licences libres telles que la GNU GPL ou encore la Apache licence, sont essentielles à l’établissement et la pérennisation d’un commun numérique.

Pour autant, les licences libres sont généralement créées pour répondre à un besoin spécifique de commun, et sont ainsi façonnées par le contexte, le besoin de la communauté, et les lois applicables à un objet donné. Cela explique que certaines licences soient à la fois transverses, en incluant des spécificités au droit d’auteur ou au droit des brevets, mais peuvent ne pas convenir si elles sont appliquées à des objets autres que des logiciels. Par exemple, les enjeux de protection des données personnelles sont généralement absents au sein des licences libres.

Enfin les licences libres ont eu un rôle déterminant dans la réussite de projets de communs numériques : ces licences ont ainsi permis de susciter de la confiance entre les parties prenantes en éliminant les incertitudes, en réduisant les coûts de transaction et en permettant aux acteurs d’appréhender le risque juridique inhérent à la conduite d’un projet de commun.

Les points clés à retenir :

• « Ouvrir » le code d’un logiciel ne fait pas automatiquement de lui un commun numérique
• Les licences libres sont juridiquement transverses (droit d’auteur, droit des brevets, etc.) et peuvent ne pas convenir si elles sont appliquées à des objets autres que celui pour lequel elles ont été conçues (à cet égard, les données personnelles s’articulent encore mal avec les licences Open Data existantes)
• Les licences libres ont permis de susciter de la confiance et de favoriser la sécurité juridique autour des projets de création de communs

3. Concilier entrepreneuriat et intérêt général pour soutenir le développement des communs numériques : retour sur la création de la société coopérative d’intérêt collectif #APTIC – Pierre-Louis Rolle, Directeur adjoint Agence du Numérique & Gérald Elbaze, Directeur APTIC

Le projet APTIC a choisi de se structurer autour d’une Société Coopérative d’Intérêt Collectif (SCIC) afin de développer et maintenir son projet de commun : un pass d’inclusion numérique qui repose sur le modèle des titres-restaurants.

L’un des premiers obstacles liés à la création d’une SCIC est d’abord juridique, puisqu’une Coopérative d’intérêt collectif comme l’APTIC réunit des acteurs nécessairement hétérogènes : personnes physiques, morales de droit public, et morales de droit privé. Cette variété d’acteurs nécessite de jongler entre différents droits applicables, ce qui implique de former des conseillers (juridiques, économiques et fiscaux) à cette interdisciplinarité. Ce manque de compétences est un frein à la création de communs car il représente à l’heure actuelle un coût non négligeable avant même le lancement effectif du projet.

À ce défaut de compétences s’ajoute un manque de vision et d’information globale sur la pertinence de la création d’une SCIC, une des seules structures juridiques permettant actuellement l’épanouissement d’un commun numérique. Aujourd’hui de nombreuses Collectivités publiques manquent d’informations sur la nature, la valeur ajoutée, et les moyens à mettre en œuvre pour parvenir à construireces coopératives. La solution partagée par les deux intervenants serait donc de créer une vraie doctrine de référence à destination des acteurs publics et privés afin de dépasser cette problématique.

Au-delà du défaut d’information, un changement d’approche dans la manière dont l’État s’investit dans les projets de communs est nécessaire : la production de commun étant trop perçue comme une injonction de l’État, alors que ce dernier gagnerait à agir en qualité « d’investisseur avisé » dans un projet avec une gouvernance claire, et intégrer des aspects d’économie sociale et solidaire.

Les points clés :

• Les SCIC sont des structures encore assez méconnues, rendant ainsi complexe et coûteuse leur création
• Une « doctrine de référence » sur la création d’une SCIC permettrait aux collectivités publiques de prendre connaissance de cette forme juridique, et d’analyser sa pertinence au regard de leurs projets respectifs
• Le mode de financement des sociétés coopératives par l’État mériterait d’être davantage adapté aux spécificités des projets de communs

4. L’ouverture de la propriété par le jeu du droit des données personnelles – Jonathan Keller, Ingénieur de recherche Telecom ParisTech

Pris sur le fondement du Marché Intérieur numérique[1] et sous l’égide de l’article 8 de la Charte des droits fondamentaux de l’Union Européenne[2], le Règlement Général pour la Protection des Données (RGPD)[3] est venu bouleverser le droit des données à caractère personnel. Cette nouvelle norme améliore la répression des usages illicites des données personnelles par les responsables de traitement défaillant en offrant des outils adéquats aux autorités nationales de contrôle (ANC).

Mais le législateur européen a surtout réalisé le vœu pragmatique du Groupe de l’Article 29 en remplaçant le contrôle a priori par un contrôle de « conformité ». Ainsi, sous réserve d’un contrôle par une ANC, le responsable de traitement est réputé respecter la législation relative aux DCP. Ce dernier est tenu de documenter ses actes de conformité. Parmi ses actes, l’analyse d’impact sur la protection des données[4] dénote. En effet, cet AIPD (Analyse d’Impact à la Protection des Données) repose sur un processus de contrôle interne préalable au déploiement d’une technologie potentiellement attentatoire « aux droits et libertés »[5] de la personne concernée. Le modèle de la méthodologie fourni par le Comité Européen de la Protection des Données est souple – pour ne pas dire lacunaire – offrant ainsi des critères obligatoires dont la mise en forme est adaptable par les ANC et par les responsables de traitement[6].

Les méthodologies reprennent souvent le même chemin, c’est-à-dire la concertation et la sensibilisation des différents services internes à la question du processus et de la gestion des données personnelles. S’ensuit la définition de la vraisemblabilité et de la gravité du risque potentiellement occasionné par le traitement de ces données. Autant dire que les différentes approches se basent davantage sur une vision erronée du risque telle que généralement définie dans les analyses de risques de cybersécurité. Cette AIPD est faite arbitrairement par le responsable de traitement et rejoint les éléments probatoires de la conformité du responsable de traitement.

La question de l’AIPD est néanmoins critique dans le déploiement de la Smart City pour diverses questions juridiques. Tout d’abord, se pose évidemment l’étendue de l’obligation d’informations que le fournisseur de solutions juridiques doit transmettre à l’information. Cette question a également pour corollaire la communicabilité de ces informations et évidemment si le secret des affaires est susceptible de constituer un obstacle à ladite communicabilité. En effet, et l’actualité avec la question de « l’expérimentation » de la reconnaissance faciale relance cette question, le consentement de la personne concernée est problématique[7]. Or cette dernière jouit à la fois de cette qualité, mais également celle d’utilisatrice du système d’information générant cette donnée, et aussi parfois d’administré(e). Cette pluralité de qualité est donc susceptible d’entraîner la concurrence de droits différents offrant à ladite personne concernée, les moyens nécessaires de requérir l’accès à l’AIPD.

En pratique, l’opportunité de consortiums privés-publics régulant les responsabilités individuelles ou conjointes[8], mais également les limitations de l’utilisation/exploitation des données personnelles collectées, est en cours d’élaboration[9]. Les diverses pistes de recherches explorent tantôt la voie contractuelle par la propriété intellectuelle, et plus précisément celle de l’Open Source et de l’open data des données non personnelles, tantôt la gouvernance que tente d’instaurer le RGPD par une répartition des tâches en fonction du traitement des données personnelles. Dans tous les cas, la question de l’implication citoyenne[10] doit se poser pour que les pouvoirs politiques et industrielles ne disposent exclusivement du monopole de la définition des droits des personnes concernées, c’est-à-dire concrètement les citoyens, dans la ville connectée.

Les points clés :

• Le droit de la propriété intellectuelle est utilisé par certains acteurs de la smart city pour justifier un manque de transparence sur le droit des données personnelles.
• Définir avec davantage de précisions quelles sont les données pertinentes à analyser lors d’une analyse d’impact (dans le cadre du RGPD) apporterait des éléments de réponse concrets à cette problématique

---

Les autres restitutions de cette journée

À la suite de ce premier panel, découvrez également les autres interventions de cette journée axée Enjeux juridiques des communs numériques.

• Consulter le Panel 2 – Licences Open Source et communs numériques
• Consulter le Panel 3 – Organisation et gouvernance d’un commun numérique
• Consulter l’Open discussion – Libre concurrence et communs numériques

Références

• [1] Comprenant, entre autres, le Règlement 2018/1807 sur la libre circulation des données à caractère non personnel dans l’UE, la Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données, la Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique, le Règlement délégué (UE) 2018/389 de la Commission du 27 novembre 2017 complétant la directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication, la Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
• [2] Qui dispose : « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »
• [3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »).
• [4] Article 35 du RGPD, « AIPD » par la suite.
• [5] Voir dans ce sens le considérant 75 du RGPD qui prévoit une liste d’atteinte auxdits droits et libertés.
• [6] Qui pour ne pas déstabiliser les ANC dont ils dépendent ont tendance à reprendre la méthodologie nationale.
• [7] Outre les questions de la privatisation rampante du domaine public numérique interrogeant ainsi le droit à l’anonymat dans l’espace public.
• [8] Au sens du RGPD.
• [9] Voir dans ce sens le rapport de l’ICO sur le datasharing https://ico.org.uk/media/2615361/data-sharing-code-for-public-consultation.pdf mais également et surtout les aspects techniques proposés par A. KUNGhttp://www.greendigitalcharter.eu/wp-content/uploads/2017/04/Data-management-in-smart-cities-protecting-citizens-privacy-Trialog-Antonio-Kung.pdf
• [10] Voir dans ce sens notre contribution, « Gestion des risques liés aux données à caractère personnel : les enseignements tirés de la sûreté nucléaire », dans la lettre de la Chaire CVPIP n°16 janvier 2020 (à paraître)