Mutualisation numérique : construire un cadre juridique solide pour réussir

La mutualisation numérique entre collectivités territoriales n’est plus une simple option : face à la complexification des solutions, à la montée des contraintes budgétaires et à la nécessité de souveraineté, elle s’impose comme une stratégie de coopération essentielle. Pourtant, chaque mutualisation soulève des questions juridiques de fond : respect de la commande publique, gouvernance des données, droits d’accès, responsabilités... Les collectivités doivent agir dans un environnement encadré par de nombreux textes, tout en composant avec des attentes d’agilité et d’innovation. Définir un cadre juridique adapté, solide mais souple, est donc un préalable décisif pour éviter blocages et contentieux.

La mutualisation s’appuie sur un socle législatif varié, adapté à la nature des projets, au profil des partenaires et à la typologie des services partagés. Les principaux textes à maîtriser sont :

• Le Code général des collectivités territoriales (CGCT), notamment l’article L.5211-4-1 sur les transferts de compétences et la gouvernance mutualisée.
• Le Code de la commande publique, surtout pour les groupements de commandes (articles L2113-6 et suivants) : il précise les conditions, responsabilités et modalités contractuelles de l’achat mutualisé.
• Le RGPD (Règlement général sur la protection des données), pour le traitement, la sécurité et la circulation des données personnelles dans tout système partagé.
• La Loi pour une République numérique (2016), qui impose des exigences spécifiques en matière de logiciels libres, d’open data ou d’accès aux interfaces.
• Le cadre réglementaire des GIP (groupements d’intérêt public), associations et syndicats mixtes numériques, souvent utilisés pour servir de “véhicule” juridique à l’action mutualisée.

À ces bases s’ajoutent des règles sectorielles (santé, éducation, voirie...), les chartes de gouvernance et, parfois, des conventions d’expérimentation dérogatoires.

Un cadre juridique pertinent clarifie les rôles, répartit les pouvoirs de décision, précise la répartition des risques et définit les droits et responsabilités de chaque partie. Plusieurs formes sont envisageables :

• Groupement de commandes : Permet aux collectivités de s’unir pour acheter ensemble des matériels, logiciels ou services. La convention doit designer l’acheteur principal (collectivité “lead”), fixer la ventilation des investissements et structurer la gestion des litiges (source : Direction des achats de l’État).
• Groupement d’intérêt public (GIP) ou syndicat mixte : Structure autonome, dotée de la personnalité morale, pouvant porter des infrastructures mutualisées (réseau fibre, data center, plateforme de dématérialisation...). Attention : la rédaction des statuts et la définition des compétences déléguées sont des points cruciaux (source SYNTEC Numérique).
• Conventions de mise à disposition de ressources humaines ou techniques : Idéales pour partager un DSI, un chef de projet ou une infrastructure ; elles doivent préciser la durée, l’accès aux outils, la gestion de la confidentialité et la réversibilité.
• Pôles territoriaux ou SCIC : Moins fréquents dans le numérique, mais émergents, ces schémas impliquent la société civile et, pour les SCIC, ouvrent à la coproduction avec des acteurs privés (source : Avise).

Inspirées des grands principes de la gestion publique, ces structures nécessitent de trancher la question de la propriété des données, de la responsabilité en cas d’incident/bris de service, ou encore du partage des innovations issues du projet commun.

L’interopérabilité et l’accès aux données sont les piliers des outils mutualisés. Or, la loi impose des obligations strictes :

• La co-responsabilité RGPD : En cas de plateforme commune, chaque collectivité demeure responsable des traitements relatifs à ses usagers. Le cadre mutualisé doit donc intégrer un dispositif de co-responsabilité et une politique commune de gestion des failles (source : CNIL).
• L’ouverture des données (Open Data) : Depuis la Loi Lemaire, les collectivités de plus de 3 500 habitants ont l’obligation de publication en open data. Le cadre mutualisé doit permettre d’aligner les calendriers de publication, d’assurer la qualité, et de répartir la charge opérationnelle.
• Sécurité et réversibilité : Le patrimoine numérique créé doit rester accessible à tous les membres, y compris en cas de sortie d’une collectivité du groupement. Ceci implique des clauses précises de réversibilité et de portabilité (source : ANSSI).
• Partage des innovations et propriété intellectuelle : Si la mutualisation produit, par exemple, un logiciel internalisé, le régime de propriété du code (open source, libre, partagé sous licence propriétaire...) doit être acté dès le début.

Un point clé fréquemment sous-estimé : toute mutualisation numérique expose à des risques nouveaux de cybersécurité. Or, le législateur impose (Loi de programmation militaire, ANSSI) des obligations élevées en matière de protection, notamment sur la délocalisation de données ou l’usages de solutions cloud.

Au-delà des statuts et conventions-cadres, chaque mutualisation numérique requiert la rédaction de contrats ad hoc, alignés sur les besoins et risques réels. Les clauses suivantes sont jugées essentielles par les juristes spécialistes du secteur public :

1. Périmètre exact de la mutualisation : quels services, infrastructures, données, ressources sont partagés ? La définition doit être opérationnelle mais adaptable.
2. Modalités de décision : composition et fonctionnement des instances, quorum, droits de vote, règles de majorité qualifiée ou double.
3. Répartition budgétaire et financement : base de calcul (population, usage réel, investissement initial ou mutualisé dans la durée ?), gestion des restes à charge, modalités de sortie ou d’entrée d’une nouvelle collectivité.
4. Accès aux services et niveau de service (SLA) : engagement de continuité, assistance, délais de réponse, pénalités éventuelles.
5. Protection des données et gestion des incidents : plan de sécurité, prévention et gestion de crise, documentation RGPD partageable, articulation avec les DPO (Data Protection Officers).
6. Évolutivité et réversibilité du dispositif : modalités de modification, portabilité des données/outils, gouvernance transitoire en cas de dissociation.
7. Propriété intellectuelle sur les développements communs : prérogatives de chacun, droit d’usage, de reproduction et de commercialisation, licenciement éventuel sous modèle libre.

Des modèles de conventions et de statuts adaptés existent et sont mis à disposition par plusieurs institutions, dont le CIGREF, la FNCCR ou la Direction interministérielle du numérique. Cependant, chaque projet bénéficie d’une relecture adaptée aux enjeux locaux.

• Données SIG en Bretagne : Le GIP Geobretagne (piloté par la Région Bretagne) gère des bases de données géographiques mutualisées ; propriété, gouvernance des accès et publication en open data sont régies par une charte claire, signée par plus de 300 membres publics et parapublics (source : geobretagne.fr).
• Plaform mutualisée d’instruction des actes d’urbanisme, Grand Est : Plus de 2 000 communes utilisent une même plateforme supportée par un syndicat mixte numérique, basé sur une convention qui détaille droits d’accès, répartition des coûts et portabilité des données en cas de sortie (source : SIAV). L’expérience a révélé l’importance d’articuler gouvernance politique (élus) et technique (DSI territoriaux).
• Mutualisation d’une infrastructure Cloud (Haute-Garonne) : Un département et plusieurs EPCI ont contractualisé une offre de cloud souverain avec une répartition fine des clés d’accès chiffrées, un partage des expertises cybersécurité, et des clauses de sortie rigoureuses (source : TDF / FNCCR).

On retrouve partout un même dénominateur : la mise en place d’une gouvernance négociée, évolutive et une articulation juridique très anticipée.

• Clarté sur la chaîne de commandement : Des flous sur la gouvernance entraînent souvent une perte d’efficacité, voire des oppositions politiques ou contentieuses.
• Anticipation de la montée en charge : Des contrats trop rigides empêchent l’évolution naturelle des besoins et des usages.
• Appui sur des expertises juridiques spécialisées : Les cabinets d’avocats publics et d’administrateurs spécialisés doivent relire les clauses techniques, en particulier celles touchant à la gestion de données sensibles ou aux innovations logicielles.
• Formation et information : La meilleure sécurité juridique vient aussi de la montée en compétences des agents concernés. Des modules de formation dédiés existent, proposés par le CNFPT ou des acteurs spécialisés dans le numérique territorial.

Le législateur s’est saisi du numérique local, comme en témoignent la récente loi 3DS (2022) ou les propositions du rapport Bothorel sur l’open data. Plusieurs tendances se dessinent :

• Développement de modèles contractuels “prêts à l’emploi” et partagés à l’échelle régionale ou nationale.
• Pousser des GIP “de mission”, centrés sur des services numériques à impact, plutôt que de nouveaux syndicats mixtes institutionnalisés.
• Renforcement des exigences côté sécurité et gouvernance de la donnée, notamment avec les dispositifs européens sur la cybersécurité et l’IA (AI Act, NIS2).

Réussir une mutualisation numérique, c’est aujourd’hui autant une question d’ingénierie juridique que de stratégie technique. Les territoires qui réussissent combinent vision partagée, anticipation contractuelle et co-responsabilité constante. Les défis restent nombreux, mais le mouvement est lancé : bâtir des outils numériques locaux solides commence par investir dans des cadres juridiques exigeants, concertés et évolutifs.