Réglementation 13 juin 2026 ⏱️ 9 min de lecture

Wi-Fi partagé en coworking : votre responsabilité RGPD et LCEN expliquée

Fournir le Wi-Fi à 80 coworkers vous transforme en opérateur de communication électronique au regard de la loi. Logs, RGPD, fuites de données : tour d'horizon des obligations cachées.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

En fournissant un Wi-Fi à vos coworkers, vous entrez dans la catégorie 'opérateur de communication électronique' au sens de la LCEN, avec obligation de conservation des logs.
Le RGPD vous impose une cartographie précise des données traitées : badges, vidéos, listes d'occupants, factures, mails marketing.
Une fuite de données par votre Wi-Fi partagé peut engager votre responsabilité face aux coworkers et à la CNIL (sanctions jusqu'à 4% du CA).
Une assurance cyber dédiée + un DPO externalisé sont aujourd'hui des standards pour tout coworking de plus de 30 postes.

Le coworking, oublié des textes mais visé par toutes les obligations

Aucune ligne dans le Code des postes et communications électroniques ne mentionne le mot "coworking". Pourtant, dès que vous fournissez à vos membres une connexion internet, vous activez automatiquement trois régimes juridiques distincts qui s'empilent sans s'annuler : la LCEN (Loi pour la confiance dans l'économie numérique), le RGPD européen, et l'obligation générale de sécurité de l'article L. 33-1 du CPCE.

La majorité des exploitants l'ignorent jusqu'au jour où la CNIL frappe à la porte — ou pire, jusqu'à ce qu'un coworker découvre que le réseau a servi à diffuser ses données. Et ce jour-là, l'amende ou l'indemnisation tombe vite. Notre fiche métier espace de coworking détaille l'ensemble des risques associés à votre activité.

LCEN : la conservation des logs n'est plus optionnelle

L'article 6 de la LCEN, complété par le décret n° 2011-219 (modifié en 2021 après l'arrêt French Data Network du Conseil d'État), impose aux personnes "dont l'activité est d'offrir un accès à des services de communication au public en ligne" de conserver certaines données de connexion pendant un an.

Concrètement, ce qu'il faut garder

L'identifiant attribué à chaque coworker connecté (login, badge, numéro de réservation).
Les adresses IP sources et destinations, avec horodatage.
Les caractéristiques techniques de la connexion (type de terminal, durée).
En cas de réquisition judiciaire : le mot de passe haché, le numéro de carte bancaire et l'identité civile fournie à l'inscription.

Ne pas conserver ces données expose à 1 an de prison et 75 000€ d'amende pour le dirigeant. Et l'argument "je ne savais pas que j'étais opérateur" ne tient pas devant un juge : dès lors que vous offrez un accès payant ou gratuit à un public, vous êtes assimilé.

Wi-Fi ouvert ou Wi-Fi nominatif : la grande question stratégique

Deux architectures dominent dans les coworkings français :

Modèle 1 : Wi-Fi unique avec code partagé

Le code traîne sur un tableau noir. Tout le monde se connecte avec la même clé WPA2. Avantages : zéro friction pour les membres. Inconvénients : aucune traçabilité individuelle, impossible de répondre à une réquisition judiciaire, non-conformité LCEN totale.

Modèle 2 : portail captif avec authentification individuelle

Chaque coworker reçoit un identifiant nominatif au moment de l'abonnement. Le portail captif (Cisco Meraki, Ubiquiti UniFi, Tanaza) loggue chaque connexion. Avantages : conformité LCEN, traçabilité fine, possibilité de couper un accès à distance. Inconvénients : coût initial (1 500 à 5 000€ selon la taille du site), maintenance, obligations RGPD renforcées sur les données collectées.

Le modèle 2 est devenu le standard incontournable pour tout coworking professionnel. Le modèle 1 ne se justifie plus que pour des espaces de très petite taille (moins de 10 postes) accueillant exclusivement des résidents permanents identifiés par bail.

RGPD : la cartographie des données que vous ignorez collecter

Faites l'exercice : prenez une feuille et listez toutes les données personnelles que votre coworking manipule sur une journée type. La plupart des exploitants découvrent qu'ils en collectent 15 à 20 catégories sans jamais y avoir pensé :

Identité, email, téléphone, photo de badge des membres permanents.
Coordonnées bancaires (prélèvement SEPA, CB Stripe).
Logs de connexion Wi-Fi (LCEN).
Enregistrements vidéo (CCTV).
Logs de contrôle d'accès (badge nominatif → horaires d'entrée/sortie).
Réservations de salles de réunion (qui a vu qui à quelle heure).
Mails marketing, newsletter, statistiques d'ouverture.
Données des visiteurs ponctuels (jour-passes).
Plaintes, mails entrants, conversations Slack ou WhatsApp interne.

Chacune de ces catégories doit figurer dans votre registre des traitements RGPD (article 30), avec finalité, base légale, durée de conservation et destinataires. L'absence de registre est en soi une infraction sanctionnée par la CNIL.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Fuite par le Wi-Fi : trois scénarios qui font trembler les assureurs

Le risque cyber spécifique au coworking se concentre sur trois scénarios récurrents :

Scénario 1 : le coworker malveillant en interne

Un membre, ingénieur réseau, sniffe le trafic Wi-Fi de ses voisins de bureau. Il intercepte des identifiants, des projets confidentiels, voire des données clients. La victime se retourne contre l'exploitant pour défaut de sécurisation du réseau (segmentation, VLAN par poste).

Scénario 2 : la borne Wi-Fi compromise

Une mise à jour ratée, une faille zero-day non corrigée, et la borne devient un relai d'attaque. Les coworkers connectés voient leurs sessions interceptées. Le préjudice peut chiffrer en dizaines de milliers d'euros si des données clients ou stratégiques fuitent.

Scénario 3 : le ransomware sur le serveur de gestion

Le serveur qui héberge les abonnements, les badges, les CB stockées est chiffré par un rançonneur. Vous perdez l'accès à votre fichier client, vos coworkers ne peuvent plus entrer, vous devez notifier la CNIL et les personnes concernées sous 72 heures.

Dans les trois cas, une assurance cyber Insurio prend en charge l'expertise forensique, la notification CNIL, l'indemnisation des tiers et la perte d'exploitation.

Sanctions CNIL : la réalité chiffrée pour les coworkings

Le règlement permet à la CNIL d'infliger jusqu'à 4% du chiffre d'affaires annuel mondial. En pratique, les sanctions contre les coworkings restent rares mais structurantes :

Cas	Manquement	Sanction
Coworking parisien, 2022	Vidéosurveillance dans les bureaux privatifs, pas de panneau, conservation 90 jours	Avertissement public + 8 000€
Réseau coworking, 2023	Pas de registre des traitements, mailing sans opt-in	Mise en demeure publique + audit
Coworking lyonnais, 2024	Wi-Fi non loggué, pas de conformité LCEN	Rappel à l'ordre, mise en conformité sous 3 mois

La sanction financière directe n'est qu'une partie de l'addition. L'effet réputationnel d'une publication sur le site de la CNIL fait fuir les coworkers (recherchent leur tranquillité numérique) et les partenaires (grandes entreprises imposant un standard sécurité à leurs équipes nomades).

Le plan de mise en conformité en 30 jours

Si vous démarrez aujourd'hui, voici la séquence à dérouler :

Semaine 1 : audit des données collectées + cartographie des flux (Wi-Fi, badges, vidéos, paiement).
Semaine 2 : rédaction ou mise à jour du registre des traitements RGPD, des mentions d'information et de la politique de confidentialité publiée sur le site.
Semaine 3 : installation ou mise à niveau du portail captif Wi-Fi avec rétention 12 mois conforme LCEN.
Semaine 4 : signature d'un contrat DPO externalisé (200 à 500€/mois) + souscription d'une assurance cyber dédiée.

Compter un budget global de 4 000 à 8 000€ la première année (équipement + conseil) pour un coworking de 50 postes. À comparer aux 50 000€ minimum d'un incident moyen, et aux 75 000€ d'amende pénale en cas de défaut LCEN constaté lors d'une enquête.

Questions fréquentes

Si je ne facture pas le Wi-Fi séparément, suis-je quand même soumis à la LCEN ?

Oui. La LCEN s'applique dès lors que vous fournissez un accès à internet à un public, que cet accès soit gratuit, inclus dans l'abonnement ou facturé à part. Le caractère payant ou gratuit ne change pas l'obligation de conservation des logs pendant un an.

Dois-je désigner un DPO si je ne suis qu'un coworking de 30 postes ?

La désignation n'est obligatoire que pour les traitements à grande échelle de données sensibles. Pour un coworking moyen, ce n'est pas une obligation stricte, mais c'est vivement recommandé. Un DPO externalisé à 200-300€/mois sécurise considérablement votre posture face à la CNIL.

Mes coworkers signent une charte d'utilisation du Wi-Fi : est-ce suffisant ?

La charte d'utilisation est utile mais ne suffit pas. Elle traite des règles d'usage (pas de téléchargement illégal, pas de tentative d'intrusion) mais ne remplace pas le registre RGPD, la mention d'information sur la collecte de logs, ni la sécurisation technique du réseau.

Quelle durée de conservation pour les images de vidéosurveillance ?

La doctrine CNIL fixe la durée à 30 jours maximum, sauf procédure pénale en cours. Au-delà, vous devez purger automatiquement. Tout dépassement constaté lors d'un contrôle peut entraîner une mise en demeure publique, voire une sanction financière.

Une assurance cyber est-elle vraiment utile pour un petit coworking ?

Oui, plus que jamais. Le coût d'un incident moyen (rançongiciel + notification CNIL + indemnisation des coworkers) dépasse 50 000€. Une cyber dédiée à partir de 40-80€/mois prend en charge l'expertise, la défense, l'indemnisation des tiers et la perte d'exploitation. Le retour sur investissement est immédiat dès le premier sinistre.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Espace de coworking — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Espace de coworking →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.