Les Intercommunalités de France, France urbaine et Les Interconnectés on fait paraitre leur Clausier Data et IA 2026 (https://www.interconnectes.com/documents/b1d20d8b-ea3e-f111-8ef3-000d3a4af15b/clausier-data-et-ia-2026-).
Ce qu'en fit le perroquet.
Notice analytique automatisée
Métadonnées
* Titre : Clausier Data et IA 2026
* Personnes morales émettrices : Commission Numérique conjointe à Intercommunalités de France, France urbaine et Les Interconnectés (en partenariat avec le collectif Data Publica).
* Auteurs physiques principaux : Jacques Priol (Président de CIVITEO), Schéhérazade Abboub (Avocate associée, Alerion Avocats), Céline Colucci (Déléguée générale, Les Interconnectés), Songuy-Ange Casassus, Khadija Kazouz et Matthieu Brient.
* Destinateurs / Cibles : Acheteurs publics, directions métiers des collectivités territoriales (de toutes tailles), ainsi que les offreurs de services numériques (éditeurs, intégrateurs, prestataires).
* Date de publication : Avril 2026.
* Licence : Creative Commons Attribution - Pas d'Utilisation Commerciale (CC BY-NC 4.0).
Profil des auteurs
* Les Interconnectés / France urbaine / Intercommunalités de France : Associations nationales de collectivités territoriales centrées sur les politiques publiques numériques et la commande publique responsable.
* CIVITEO (représenté par J. Priol) : Cabinet de conseil spécialisé en stratégie de la donnée et intelligence artificielle, pionnier de la data territoriale en France.
* Alerion Avocats (représenté par S. Abboub) : Cabinet d'avocats d'affaires disposant d'une expertise pointue en droit public, propriété intellectuelle et droit du numérique.
Aperçu
Ce rapport se présente sous la forme d'un guide pratique et d'un recueil de clauses juridiques ("clausier") prêt à l'emploi. Il vise à combler l'écart existant entre les récents cadres réglementaires européens (notamment l'AI Act et le Data Act adoptés en 2024) et la pratique contractuelle quotidienne des administrations locales. Le document propose des outils opérationnels pour activer la commande publique comme un levier de souveraineté, de transparence, de responsabilité environnementale (sobriété numérique) et d'éthique face à l'irruption massive de l'intelligence artificielle générative dans les services publics.
Idées majeures
1. La commande publique comme levier de gouvernance : Les clauses contractuelles permettent de passer d'une simple déclaration d'intention éthique (chartes) à un contrôle juridique effectif et opposable aux tiers.
2. Affirmation de la propriété publique des données : Les données issues des missions de service public (marchés ou concessions) sont juridiquement qualifiées de « données publiques » ou « biens de retour », interdisant aux prestataires privés de se les approprier ou de les retenir en fin de contrat.
3. Refus de l'IA subie et non souveraine : Les collectivités doivent impérativement encadrer et soumettre à un agrément préalable tout recours à l'IA par leurs prestataires afin de prévenir les fuites de données, les biais algorithmiques et les dépendances technologiques.
4. L'émergence de la frugalité numérique : L'impact environnemental de la data et de l'IA (consommation électrique, refroidissement des serveurs) impose de contractualiser des principes de sobriété (minimisation des volumes et durées de stockage).
Structure du document
* Édito & Préambule (Pages 3-4)
* Le mot des auteurs (Page 5)
* Partie 1 : D'un droit public de la donnée à l'émergence d'un droit de l'IA publique ? (Pages 6-11) : Historique, cadre réglementaire européen et démarches pionnières des collectivités.
* Partie 2 : Clausier Data (Pages 12-25) : Clauses types sur la souveraineté, la propriété, l'hébergement, la sobriété, la sécurité, la transparence et la propriété intellectuelle.
* Partie 3 : Clausier IA (Pages 26-36) : Clauses sur l'IA souveraine, le contrôle humain, les obligations RGPD spécifiques, les biais et l'impact environnemental.
* Annexes (Pages 37-47) : Modèles d'annexes de sous-traitance RGPD et de sécurité des systèmes d'information (cybersécurité).
Résumé détaillé
Partie 1 : Évolution réglementaire et appropriation territoriale
Le régime juridique de la donnée publique s'est construit en France et en Europe sur une double injonction : l'ouverture (Open Data) et la protection. Le point de départ historique réside dans l'entrée en vigueur conjointe en 2018 du RGPD et des dispositions de la loi Lemaire (2016), imposant l'open data par défaut aux collectivités de plus de 3 500 habitants. Très tôt, des métropoles pionnières (Rennes en 2010, Nantes avec sa charte de la donnée en 2019) ont anticipé ces obligations. Les premiers projets de smart city (à l'instar d'On Dijon en 2015) ont également introduit l'innovation juridique en insérant des chapitres dédiés à la gouvernance des données au sein des marchés publics.
À partir de 2020, l'Union européenne a accéléré la cadence en bâtissant une véritable stratégie des données. Deux règlements majeurs sont venus poser de nouvelles règles du jeu :
* Le Data Governance Act (2023), qui introduit la notion d'altruisme des données au profit de l'intérêt général.
* Le Data Act, qui permet sous certaines conditions aux pouvoirs publics de réquisitionner des données d'entreprises privées en cas d'urgence publique.
L'irruption de ChatGPT fin 2022 et la diffusion massive de l'IA générative ont bousculé ce cadre en cours de stabilisation. En 2026, plus de 3 collectivités sur 4 de plus de 3 500 habitants utilisent quotidiennement l'IA. Face aux risques de discrimination algorithmique, de perte de contrôle et de dépendance aux technologies propriétaires non européennes, les collectivités s'emparent de l'AI Act (2024) pour fixer des lignes rouges. Des projets de mutualisation politique comme TIE Break (Trajectoire d'indépendance européenne numérique), lancé en avril 2025 par 40 collectivités, luttent activement contre la dépendance économique vis-à-vis des géants de la Silicon Valley en cartographiant les solutions souveraines et open source.
Partie 2 : Le Clausier Data (Analyse technique des clauses)
Cette section détaille les clauses contractuelles applicables aux marchés publics et aux concessions pour garantir la maîtrise des données par la personne publique :
* Statut et propriété (Clauses 1.1 et 1.2) : Se basant sur l'article L. 300-2 du CRPA, le clausier rappelle que toute donnée produite dans le cadre d'une mission de service public est une donnée publique. Pour les concessions, le texte s'appuie sur la théorie des biens de retour : les données nécessaires au fonctionnement du service public appartiennent à la collectivité dès l'origine et doivent lui être restituées gratuitement et sous un format ouvert au terme du contrat. Les clauses imposent la destruction certifiée et horodatée des copies par le prestataire sous 24 heures avant la fin du contrat.
* Hébergement et Souveraineté (Clause 1.3) : Afin de se prémunir contre les lois extraterritoriales d'États tiers, le clausier impose un hébergement dans l'Union européenne. Il fait écho à une proposition de loi de décembre 2025 visant à renforcer la sécurisation Cloud (SREN / critères SecNumCloud) pour les données sensibles des collectivités de plus de 30 000 habitants.
* Sobriété numérique (Clause 2.2) : En application de la loi REEN (obligatoire pour les communes de plus de 50 000 habitants depuis le 1er janvier 2025), la clause générale oblige le contractant à respecter un principe de minimisation de l'empreinte environnementale (écoconception des services, limitation de la captation de l'attention, reporting annuel des impacts).
* Licences de réutilisation (Clause 3.1) : Le guide encadre le recours aux licences légales gratuites (Licence Ouverte d'Etalab, ODbL) ou soumises à homologation d'Etalab (CC-BY-SA 4.0, BAN, IGN) pour s'assurer que les formats livrés soient pleinement interopérables et exploitables par des tiers.
* Réversibilité et Propriété Intellectuelle (Clauses 4.1 et 4.2) : Pour contrer l'effet "silotage" et l'incapacité de récupérer les données en fin de contrat, le clausier durcit les obligations du CCAG-TIC. Il propose trois options de négociation pour la propriété intellectuelle des résultats : la cession exclusive à la collectivité, la cession non exclusive (partage), ou l'octroi d'une licence d'usage gratuite mais assortie de droits de sous-licenciation au profit de tiers.
Partie 3 : Le Clausier Intelligence Artificielle
L'intégration de fonctionnalités d'IA dans les logiciels métiers s'effectuant souvent de manière subreptice via des mises à jour, le clausier pose le principe du refus de l'IA subie.
* Interdiction et Agrément (Clause 1.1) : Tout usage d'un outil d'IA générative non souverain (entraînant un transfert de données hors UE ou un risque de fuite d'informations sensibles) est strictement interdit sous peine de résiliation pour faute et de poursuites pénales. Le recours à une IA souveraine est conditionné à un agrément écrit préalable sous 15 jours (l'absence de réponse valant refus), exigeant du prestataire la transparence totale sur les données d'entraînement, le modèle et les infrastructures de calcul.
* Contrôle humain et Explicabilité (Clauses 2.1 à 2.7) : Conformément à l'AI Act, les systèmes d'IA doivent obligatoirement permettre un audit humain permanent. Le prestataire doit fournir la documentation technique du modèle (selon l'article 11 de l'AI Act) ainsi qu'un résumé lisible du processus d'entraînement pour éliminer les biais.
* IA et RGPD (Clauses 3.1 à 3.4) : La clause rappelle que la collectivité demeure le responsable de traitement principal, le prestataire agissant comme sous-traitant (Article 28 du RGPD). Sont contractuellement transcrits les principes CNIL de minimisation des données d'entraînement, l'interdiction de transférer les données à des tiers sans accord, et l'obligation d'informer le public sur la durée de conservation et ses droits de recours.
* Clauses éthiques et environnementales spécifiques (Clauses 5.1 à 5.4) :
* Expérimentation : Encadrement des phases de test par un protocole dérogatoire strict et temporaire.
* IA Frugale : Obligation de respecter le Référentiel général pour l'IA frugale de l'AFNOR et de fournir une évaluation de l'impact carbone/eau via des outils de mesure de type Green Algorithms.
* Recours alternatif : Obligation pour le délégataire de service public de maintenir une voie de recours et d'instruction purement humaine (sans IA) pour les décisions affectant les usagers.
* Non-discrimination : Engagement de responsabilité du prestataire sur l'absence de biais liés au profil socio-économique, au genre, à l'origine ou à la religion.
Retours d'expérience du terrain (Synthèse des cas d'étude)
* La Rochelle (David Berthiaud) : La DSI impose une annexe "numérique responsable" dans tous ses marchés, représentant un poids minimal de 10 % dans la notation globale des offres.
* Paris-Saclay (Alice Berkate) : L'application concrète de la clause de sobriété des données a permis de limiter drastiquement les volumes collectés, générant des économies financières directes et immédiates sur les coûts d'hébergement de l'agglomération.
* Lacq-Orthez (Muriel Harguindéguy) : L'intégration des clauses depuis 3 ans dans les marchés métiers (déchets, urbanisme) permet de briser les silos applicatifs en garantissant l'interopérabilité native des flux avec les outils du Système d'Information Géographique (SIG) de la collectivité.
* Bordeaux Métropole (Jon Hauet) : Adoption en décembre 2025 d'un cadre fixant des "lignes rouges" éthiques pour l'achat de solutions logicielles intégrant nativement ou de manière future de l'IA.
Synthèse des préconisations et clauses obligatoires
Le document distingue les cadres juridiques impératifs (obligations réglementaires) des clauses de "bonnes pratiques" contractuelles négociables :
* Gouvernance Data
* Mesures obligatoires / Clauses Socles : Qualification des données de service public en "Données publiques" (CRPA). Restitution gratuite et libre sous format ouvert en fin de contrat.
* Mesures recommandées / Options négociables : Application de la théorie des "Biens de retour" aux données hors contrat de concession. Destruction des copies sous 24h certifiée par attestation horodatée.
* Souveraineté / Cloud
* Mesures obligatoires / Clauses Socles : Stockage et hébergement impératifs au sein de l'Union européenne.
* Mesures recommandées / Options négociables : Exigence de certification SecNumCloud / critères SREN pour les infrastructures d'informatique en nuage.
* IA & Algorithmes
* Mesures obligatoires / Clauses Socles : Interdiction absolue des usages portant atteinte aux droits fondamentaux (AI Act). Auditabilité humaine des modèles à haut risque.
* Mesures recommandées / Options négociables : Clause d'agrément préalable sous 15 jours pour tout ajout d'outil d'IA en cours d'exécution. Maintien d'une voie d'examen 100% humaine pour l'usager.
* Sobriété / Éco-conception
* Mesures obligatoires / Clauses Socles : Stratégie de sobriété numérique opposable (loi REEN pour communes > 50k hab.).
* Mesures recommandées / Options négociables : Évaluation annuelle de l'empreinte carbone du service via le calculateur Green Algorithms. Respect du Référentiel AFNOR pour l'IA frugale.
Références clés
* Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act).
* Loi n° 2021-1485 visant à réduire l'empreinte environnementale du numérique en France (Loi REEN).
* Loi n° 2016-1321 pour une République numérique (Loi Lemaire).
* Article L. 300-2 du Code des relations entre le public et l'administration (CRPA).
* Référentiel général pour l'IA frugale (AFNOR / Écologie).