L’aménagement de bureaux en open space est-il conforme au RGPD et à la LPD ?

Depuis plusieurs années, la tendance est à l’aménagement de bureaux en open space, à savoir un espace de travail où les bureaux ne sont pas séparés par des cloisons, ce qui est censé fluidifier la communication dans les entreprises tout en rapprochant les collaborateurs.

Un tel aménagement au sein d’une société qui traite de données personnelles est-il compatible avec la protection des données, en particulier la Loi fédérale sur la protection des données (LPD) et le Règlement général de l’UE sur la protection des données (RGPD ou GDPR) ?

L’on rappelle en effet que ce dernier peut être applicable même à des sociétés suisses (sur cette problématique : https://wg-avocats.ch/blog/donnees-personnelles).

Selon notre analyse, l’aménagement de bureaux en open space et la protection des données ne sont pas antagonistes, malgré ce que l’on pourrait penser. Un tel aménagement n’est pas prohibé per se, mais il est nécessaire de respecter les principes cardinaux en protection des données, notamment le principe de proportionnalité, qui est consacré aux art. 4 LPD et 5 RGPD.

Concrètement, cela signifie que la société doit prendre un certain nombre de mesures techniques et organisationnelles pour protéger les données personnelles qu’elle traite, ce tant à l’égard de tiers que de ses propres collaborateurs.

Pour ce faire, elle doit déterminer en premier lieu quelles sont les données traitées, leur caractère (données personnelles, sensibles, etc.) et quels sont les départements/collaborateurs qui doivent y avoir accès pour atteindre la finalité du traitement.

L’on peut citer à titre d’exemple les mesures suivantes :

• Protéger l’accès à l’open space, ce qu’elle pourrait faire en installant un système de badges personnels à l’entrée de celui-ci ;
• Limiter l’accès de visiteurs aux zones de l’open space dans lesquelles des données personnelles ne sont pas traitées et donner pour instruction aux employés de ne pas laisser un visiteur sans surveillance, voire interdire tout simplement l’accès des visiteurs à l’open space ;
• Créer en suffisance, au sein de cet espace, des zones de « confidentialité », qui sont sécurisées (p.ex. qui peuvent être fermées à clef) et dans lesquelles les collaborateurs peuvent se retirer le cas échéant ;
• Aménager des zones de travail destinées uniquement aux départements traitant des données personnelles (par exemple le département des ressources humaines, service juridique, etc.) et qui ne sont accessibles qu’à ces derniers grâce à un badge personnel ;
• Sensibiliser ses collaborateurs à la protection et la sécurité des données.

En cas de non-conformité aux dispositions légales applicables, les sanctions ne sont pas négligeables, puisqu’elles peuvent s’élever jusqu’à CHF 10’000.- sous la LPD actuelle (art. 34 ss LPD) (à ce sujet : https://wg-avocats.ch/blog/revision-loi-federal-protection-donnees/) et, dans l’hypothèse où le RGPD s’applique, jusqu’à EUR 20 millions ou 4% du chiffres d’affaires annuel mondial total de l’exercice précédent (art. 83 RGPD).

WILHELM Avocats SA – 18 mars 2019