Contribuer ou utiliser un commun numérique : quels points de vigilance juridique ?

‍

Le 29 octobre 2025, la Commission européenne a approuvé la création de l'EDIC Digital Commons (Digital Commons European Digital Infrastructure Consortium), nouveau cadre permettant à des États membres, dont la France, l'Allemagne, les Pays-Bas et l'Italie, de concevoir et gérer ensemble des infrastructures numériques transfrontalières fondées sur des communs numériques.

Ce consortium vise à soutenir des infrastructures ouvertes dans des domaines stratégiques (données, logiciels, cloud, interopérabilité des administrations, etc.) et s'inscrit au cœur de l'agenda européen de souveraineté numérique.

‍

Pour les structures de l'ESS, association, entreprises à impact, cette dynamique crée une opportunité de mutualiser des briques numériques au service du bien commun, tout en renforçant leur autonomie technologique. Mais utiliser ou contribuer à un commun numérique n'est jamais juridiquement neutre et suppose d'anticiper des enjeux de propriété intellectuelle, de données personnelles et de gouvernance dès la conception du projet.

Commun numérique et propriété intellectuelle : dissiper les malentendus

Un commun numérique est une ressource numérique partagée (code source, base de données, documentation, contenus éditoriaux, plateforme, etc.) développée, maintenue et gouvernée par une communauté selon des règles communes. Contrairement à une idée répandue, un commun numérique n'est pas une ressource "libre de droits" : il est au contraire structuré par des droits de propriété intellectuelle dont l'exercice est organisé collectivement (licences ouvertes, chartes de gouvernance, etc.).

‍

En droit français, plusieurs régimes de propriété intellectuelle peuvent s'appliquer à un commun numérique :

• Droit d'auteur : les codes sources, documentations, contenus textuels ou graphiques sont des œuvres de l'esprit protégées, l'auteur bénéficiant d'un droit de propriété incorporelle exclusif.
• Droit sui generis sur les bases de données : le producteur d'une base de données peut bénéficier d'une protection spécifique si un investissement substantiel a été réalisé pour la constitution, la vérification ou la présentation de la base (art. L341‑1 CPI).
• Droit des marques : le nom du projet, son logo et ses signes distinctifs peuvent être déposés à titre de marque (art. L711‑1 CPI), ce qui permet de contrôler leur usage et de prévenir des appropriations trompeuses.

La spécificité d'un commun numérique ne tient donc pas à l'absence de droits, mais au mode d'exercice de ces droits : les titulaires choisissent de les mettre à disposition via des licences ouvertes, qui fixent contractuellement les conditions d'accès, d'utilisation, de modification et de redistribution.

‍

Selon la structure du projet et les modalités de contribution, un commun numérique peut être juridiquement qualifié :

• d'œuvre de collaboration (plusieurs auteurs créant ensemble une œuvre où la contribution de chacun se fond dans un ensemble), ou
• dans certains cas, d'œuvre collective (œuvre créée à l'initiative d'une personne physique ou morale qui l'édite sous son nom et dans laquelle la contribution des différents auteurs se fond dans l'ensemble, art. L113‑2 CPI).

Cette qualification n'est pas théorique : elle conditionne la titularité des droits (auteurs individuels vs structure porteuse) et la façon dont les décisions d'exploitation sont prises (par exemple, par une association ou une fondation porteuse du commun).

‍

Point de vigilance

‍

Avant toute utilisation ou contribution, identifier précisément la ou les licences applicables, comprendre les obligations associées (attribution, partage à l'identique, mention des modifications, etc.) et les respecter strictement. Le non‑respect d'une licence open source ou d'une licence Creative Commons peut exposer à des actions en contrefaçon au titre du droit d'auteur et, dans certains cas, à une responsabilité contractuelle.

Licences open source et mécanismes de copyleft

Dans l'écosystème des communs numériques, les licences jouent un rôle central pour organiser la mise en commun tout en cadrant les réutilisations possibles. On distingue principalement :

• Des licences dites permissives (MIT, Apache 2.0, BSD, etc.) qui autorisent largement la réutilisation, y compris dans des projets propriétaires, sous réserve de respecter certaines obligations (attribution, notice de licence, parfois clauses de brevets).
• Des licences à effet de copyleft (par exemple la famille GPL, AGPL, ou CC BY‑SA pour les contenus) qui imposent que les œuvres dérivées ou certaines modalités d'intégration soient redistribuées sous les mêmes conditions de licence.

Le copyleft ne "contamine" pas mécaniquement tout ce qui se trouve au contact du commun ; son effet dépend du type de licence, du mode d'intégration (lien, agrégation, modification, SaaS, API, etc.) et du périmètre de ce qui est redistribué. Néanmoins, dans des projets collaboratifs ou dans l'intégration d'un commun au sein d'un service numérique plus large, ces mécanismes peuvent avoir un impact significatif sur la capacité à garder certains modules propriétaires, à honorer des engagements de confidentialité ou à contractualiser avec des partenaires publics ou privés.

‍

Point de vigilance

‍

L'enjeu n'est pas seulement de choisir une licence "ouverte", mais d'anticiper ses effets concrets :

‍

• Compatibilité avec le modèle économique et la mission d'impact : prestations de service, offres SaaS, doubles licences, mécénat de compétences, etc.
• Compatibilité avec les engagements contractuels (confidentialité, exclusivité, clauses de propriété intellectuelle dans les marchés publics ou subventions).
• Obligations de mise à disposition du code source ou des modifications, et capacité opérationnelle à les assumer (gouvernance, ressources, outillage).

‍

En pratique, il est recommandé de :

‍

• Auditer les dépendances logicielles et les licences associées (SBOM, revue de conformité).
• Privilégier, lorsque la situation l'exige, des licences permissives (MIT, Apache 2.0, BSD) pour les briques destinées à une large réutilisation, tout en assumant, le cas échéant, des licences à copyleft pour les composants que l'on souhaite garder dans le champ des communs.
• Structurer techniquement les architectures (modularisation, services, APIs) pour maîtriser l'effet de propagation des obligations de copyleft, sous réserve d'une analyse au cas par cas.

Chaîne de droits : qui peut légalement contribuer à un commun numérique ?

Contribuer à un commun numérique suppose d'être titulaire des droits nécessaires sur la contribution (code, documentation, contenus, données, etc.) ou d'avoir reçu une autorisation valable pour en disposer. Cette condition est souvent sous-estimée dans les structures engagées (associations, ESS, entreprises à impact), notamment lorsque les développements ont été réalisés par des salariés, des bénévoles, des prestataires ou dans le cadre de partenariats publics.

En droit français :

• Salariés et agents publics : pour les logiciels créés par des salariés ou des agents publics dans l'exercice de leurs fonctions ou d'après les instructions de leur employeur, les droits patrimoniaux d'auteur sont en principe automatiquement dévolus à l'employeur (art. L113‑9 CPI).
• Prestataires externes : sauf cession explicite et conforme au formalisme de l'art. L131‑3 CPI (mention de chaque droit cédé, périmètre défini en étendue, destination, lieu, durée), les droits demeurent en principe la propriété du prestataire.
• Bénévoles, partenaires, membres de la communauté : leurs contributions sont en principe protégées par le droit d'auteur et restent leur propriété, sauf si des mécanismes contractuels ou des licences (par exemple un Contributor License Agreement, une charte de contribution ou un DCO) en organisent la cession ou la licence au profit du projet.

‍

Point de vigilance

‍

À défaut de sécurisation contractuelle en amont, une contribution peut être juridiquement invalide ou contestée ultérieurement, ce qui fragilise le commun et les acteurs qui le réutilisent. Il est donc recommandé, pour les associations, ESS et entreprises à impact :

• De prévoir dans les contrats de travail et de prestation des clauses autorisant explicitement la contribution à des projets open source ou communs numériques et précisant le régime des droits.
• De mettre en place des politiques internes et chartes de contribution (y compris pour les bénévoles) afin de clarifier ce que la structure peut ou non contribuer.
• De recourir, si le projet l'exige, à des Contributor License Agreements (CLA) ou à des mécanismes d'adhésion à des conditions de contribution (par exemple DCO), afin de documenter les droits concédés au projet.

‍

Données personnelles et conformité RGPD

‍

Un commun numérique implique souvent le traitement de données personnelles : comptes utilisateurs, historiques de contributions, listes de diffusion, forums, outils collaboratifs, journaux d'activité, voire données métiers. Dans ces cas, le RGPD s'applique et les structures impliquées (association, ESS, fondation, entreprise à impact) doivent clarifier leur rôle (responsable de traitement, co-responsable, sous‑traitant) et leurs obligations.

‍

Point de vigilance

‍

Le développement d'instances européennes ou "souveraines", notamment dans le cadre de l'EDIC Digital Commons, est un atout pour limiter certains risques de transferts et renforcer la maîtrise des infrastructures, mais il ne dispense jamais d'une analyse RGPD projet par projet (finalités, base légale, minimisation, conservation, sécurité, droits des personnes).

Gouvernance et pérennité des projets collaboratifs

Un commun numérique ne repose pas uniquement sur un code ou une base de données, mais sur une communauté et une gouvernance qui assurent sa maintenance et son évolution dans le temps. Or, cette gouvernance peut être fragilisée par des conflits internes, le départ de mainteneurs clés, des forks non coordonnés, des changements de licence ou la disparition de la structure porteuse.

Pour une association, une coopérative, une fondation ou une entreprise à impact, intégrer un commun numérique dans une infrastructure essentielle ou un service offert à ses bénéficiaires suppose d'évaluer la maturité du projet, en particulier au regard :

• De l'activité de la communauté (fréquence des commits, réactivité aux issues, qualité de la documentation, cadence des versions).
• De la diversité des contributeurs et des organisations impliquées (éviter les projets entièrement dépendants d'un seul acteur).
• De l'existence d'une gouvernance documentée (statuts, comité de pilotage, charte de contribution, processus de décision, politique de sécurité).
• De la protection des marques et des noms de domaine, qui permet de limiter les risques de confusion et de préserver la réputation du commun et de ses usagers.

‍

Point de vigilance

‍

Pour les projets critiques (services à des publics vulnérables, outils de santé, communs numériques socio‑environnementaux), il est prudent d'anticiper un plan de continuité : capacité à forker le code, à reprendre la maintenance, à migrer vers une autre solution ou à internaliser une partie des briques essentielles en cas de défaillance de la communauté initiale.

Ouverture, valorisation et risques de "récupération"

L'ouverture d'un commun numérique permet à des acteurs tiers de l'utiliser et d'en tirer une valeur économique sans contribuer nécessairement en retour, phénomène bien documenté dans l'écosystème open source. Pour des structures à impact, cela peut être une stratégie assumée (maximiser les usages au service de l'intérêt général) ou une source de frustration si la valeur créée est largement captée par des acteurs qui ne partagent ni la gouvernance ni les objectifs d'impact.

‍

Point de vigilance

‍

Selon les objectifs poursuivis (impact social, environnemental, démocratique, modèle économique), différents leviers peuvent être combinés :

• Choix de la licence (permissive ou copyleft, combinée éventuellement à des clauses spécifiques dans le cadre de licences multiples).
• Protection des marques et des noms de domaine pour garder la maîtrise de l'usage du nom du commun et éviter des usages contraires à ses valeurs.
• Création d'une structure juridique dédiée (association, coopérative ou fondation) chargée de porter la gouvernance du commun, d'accueillir des financements et d'assurer une représentation des différentes parties prenantes.
• Mise en place de modèles de licences différenciées ou de chartes d'usage (par exemple, conditions spécifiques pour les grands acteurs commerciaux) sous réserve d'une analyse fine de leurs impacts juridiques et économiques.

‍‍

Synthèse : les questions à se poser avant d'utiliser ou de contribuer

Avant d'utiliser ou de contribuer à un commun numérique, une organisation à impact (association, ESS, fondation, entreprise à mission, etc.) peut, au minimum, se poser les questions suivantes :

‍

• Licence : quelle est la licence applicable au projet et quelles obligations concrètes emporte‑t‑elle (attribution, partage à l'identique, publication du code, notices) ?
• Chaîne de droits : suis‑je réellement titulaire des droits sur ce que je contribue (salariés, prestataires, bénévoles, partenaires, financeurs) et cela est‑il sécurisé contractuellement ?
• Modèle d'impact / économique : cette licence est‑elle compatible avec mon modèle (services, subventions, marchés publics, partenariats) et mon objectif d'impact (accessibilité, réplicabilité, éventuelle soutenabilité financière) ?
• Pérennité du projet : le commun est‑il suffisamment mûr et gouverné (communauté active, structure porteuse, politique de sécurité, plan de continuité possible) pour devenir une brique critique de mes services ?
• Données personnelles : des données personnelles sont‑elles traitées ? Si oui, qui est responsable, quelles sont les bases légales, les mesures de sécurité et les conditions de transfert éventuel hors UE ?
• Gestion des risques : ces risques (juridiques, techniques, organisationnels) sont‑ils identifiés, documentés en interne et partagés avec la gouvernance (CA, direction) pour arbitrage éclairé ?

‍

‍

‍

‍