Tensoria Réserver un créneau
Parlons de votre projet : 07 82 80 51 40
Automatisation Par Anas R.
Dernière mise à jour :

n8n en entreprise : RGPD, sécurité et hébergement souverain

Automatiser ses processus métier avec n8n, c'est gagner du temps et de l'efficacité. Mais une question revient systématiquement chez les dirigeants que nous accompagnons : où passent mes données quand un workflow s'exécute ?

Avec la montée en puissance de l'IA générative dans les flux d'automatisation, le sujet devient critique. Un workflow qui envoie des données clients à un LLM hébergé aux États-Unis, c'est potentiellement une violation du RGPD. Une plateforme SaaS américaine qui stocke vos credentials, c'est un risque de souveraineté.

La bonne nouvelle : n8n auto-hébergé permet de garder le contrôle total. Hébergé sur un serveur français, couplé à des modèles d'IA locaux, n8n devient un outil d'automatisation souveraine conforme au RGPD par conception.

Chez Tensoria, agence spécialisée n8n à Toulouse, nous déployons des workflows n8n pour des PME et ETI qui ont des contraintes fortes de confidentialité. Ce guide rassemble les enseignements concrets de ces projets : hébergement, sécurité, conformité, et les pièges à éviter. Si vous découvrez n8n, commencez par notre guide complet n8n + IA pour les PME.

Serveur n8n hébergé en France pour une automatisation souveraine conforme au RGPD
Héberger n8n sur un serveur français garantit que vos données d'automatisation restent sous votre contrôle.

En résumé (TL;DR)

  • n8n auto-hébergé est conforme au RGPD par conception : vos données ne quittent jamais votre infrastructure
  • ✓ Hébergez sur OVHcloud, Scaleway ou LWS pour garantir la localisation en France (à partir de 7 €/mois)
  • ✓ Sécurisez les flux IA avec anonymisation, proxy et modèles locaux (Mistral, LLaMA via Ollama)
  • ✓ L'AI Act impose transparence et supervision humaine pour les workflows intégrant de l'IA
  • ✓ Make et Zapier, 100 % cloud, ne permettent pas de choisir la localisation de vos données

Pourquoi la souveraineté des données se pose avec l'automatisation

Un workflow d'automatisation est, par nature, un pipeline de données. Il collecte des informations d'un côté (emails, formulaires, CRM), les transforme, et les envoie ailleurs (base de données, outil métier, API d'IA). À chaque étape, la question de la localisation et de la protection des données se pose.

Avec les plateformes SaaS comme Make ou Zapier, cette question a une réponse simple mais problématique : vos données transitent par les serveurs du prestataire, généralement hébergés aux États-Unis. Or, depuis l'arrêt Schrems II de la CJUE (2020), les transferts de données personnelles vers les États-Unis sont juridiquement fragilisés. Le CLOUD Act américain permet aux autorités d'accéder aux données hébergées par des entreprises américaines, même si les serveurs sont en Europe.

Pour une PME qui traite des données clients, des dossiers RH ou des informations financières, ce n'est pas un détail technique. C'est un risque juridique et réputationnel réel.

L'ajout de l'IA générative dans les workflows amplifie le problème. Quand un workflow envoie le contenu d'un email client à l'API OpenAI pour le classifier, ces données sont traitées sur des serveurs américains. Si cet email contient des données personnelles (nom, adresse, numéro de dossier), vous venez potentiellement de créer un transfert non conforme au RGPD.

n8n auto-hébergé vs n8n Cloud vs Make et Zapier

Du point de vue de la souveraineté des données, les quatre options ne se valent pas. Voici une comparaison factuelle.

Critère n8n auto-hébergé n8n Cloud Make / Zapier
Localisation des données Vous choisissez (France, EU) Azure EU (via n8n GmbH, Berlin) États-Unis / non configurable
Sous-traitant RGPD Aucun (vous êtes l'hébergeur) n8n GmbH + Azure Make Inc. / Zapier Inc. + AWS
Accès aux données par le prestataire Aucun Possible (support, debug) Possible (CLOUD Act)
Chiffrement des credentials Clé personnalisée (AES) AES-256 au repos Chiffrement propriétaire
Purge des données d'exécution Configurable (automatique) Paramètres limités Rétention imposée
Audit des accès Logs serveur complets Audit logs (plan Enterprise) Limité
Connexion LLM locaux Ollama, LM Studio, API locale Non (API externes uniquement) Non

Le constat est clair : seul n8n auto-hébergé permet un contrôle total sur la localisation, le chiffrement et la rétention des données. C'est l'option de référence pour les entreprises soumises à des contraintes réglementaires fortes ou manipulant des données sensibles.

Pour aller plus loin sur les différences fonctionnelles entre ces outils, consultez notre comparatif détaillé n8n vs Make vs Zapier.

Options d'hébergement souverain en France

Héberger n8n en France signifie choisir un fournisseur d'infrastructure dont les datacenters sont physiquement situés sur le territoire. Voici les trois options principales que nous recommandons.

OVHcloud : le choix naturel pour les PME

OVHcloud est le leader européen du cloud, fondé en France en 1999. L'entreprise exploite ses propres datacenters à Roubaix, Strasbourg et Gravelines. Elle propose des VPS avec n8n pré-installé, ce qui simplifie considérablement le déploiement.

  • Tarifs : VPS à partir de 6 €/mois (2 vCPU, 4 Go RAM), suffisant pour la majorité des PME
  • Certifications : ISO 27001, SOC 1, SOC 2 Type II, HDS (Hébergeur de Données de Santé)
  • Avantage : n8n pré-installé sur image VPS, déploiement en quelques minutes

Scaleway : l'alternative haut de gamme

Scaleway, filiale du groupe Iliad (Free), propose des instances cloud hébergées à Paris. Ses offres DEV1-M (3 vCPU, 4 Go RAM) à partir de 7 €/mois conviennent parfaitement à n8n.

  • Tarifs : instances à partir de 7 €/mois, facturation à l'heure possible
  • Certifications : ISO 27001, SOC 2, qualifié SecNumCloud (en cours)
  • Avantage : écosystème Kubernetes intégré pour les déploiements plus complexes

Infra client ou cloud privé

Pour les entreprises disposant d'une DSI, n8n peut être déployé directement sur l'infrastructure interne via Docker ou Docker Compose. Cette option offre le niveau de contrôle maximal mais nécessite des compétences d'administration système.

Recommandation terrain

Pour une PME sans DSI dédiée, un VPS OVHcloud avec n8n pré-installé est le meilleur rapport simplicité/souveraineté. Pour une ETI avec des contraintes de sécurité élevées (santé, finance, juridique), privilégiez un déploiement Docker sur infrastructure dédiée avec un prestataire spécialisé.

Sécuriser les flux IA dans vos workflows

Le principal point de fuite de données dans un workflow n8n moderne, ce sont les appels aux API d'IA. Quand votre workflow envoie le contenu d'un email au LLM pour le résumer ou le classifier, ces données quittent votre infrastructure. Voici comment maîtriser ce risque.

Anonymiser les données avant envoi au LLM

La première ligne de défense consiste à supprimer les informations personnelles identifiantes (PII) avant d'envoyer quoi que ce soit à un LLM externe. Dans n8n, un nœud Code ou Function peut remplacer les noms, emails, numéros de téléphone et identifiants par des placeholders avant l'appel API, puis réinjecter les vraies valeurs dans la réponse.

Exemple de flux : Email entrant > Extraction du texte > Anonymisation (nœud Code) > Appel LLM > Réinjection des données réelles > Action métier.

Utiliser un proxy ou une passerelle API

Une passerelle API interne (API gateway) peut filtrer automatiquement les données sensibles avant qu'elles n'atteignent le LLM. Cette approche est plus robuste que l'anonymisation par workflow car elle s'applique à tous les flux de manière centralisée.

Privilégier les modèles locaux

La solution la plus radicale : ne pas envoyer de données à l'extérieur. n8n se connecte nativement à Ollama, qui permet de faire tourner des modèles comme Mistral, LLaMA ou Gemma directement sur votre serveur.

  • Mistral 7B : excellent pour la classification, le résumé et l'extraction de données en français
  • LLaMA 3 : performant pour les tâches de raisonnement et de génération
  • Gemma 2 : léger, adapté aux serveurs modestes (8 Go de RAM suffisent)

Avec un LLM local, aucune donnée ne quitte votre serveur. C'est la garantie ultime de souveraineté. Le compromis : les performances sont inférieures à celles de GPT-4 ou Claude pour les tâches complexes. Mais pour 80 % des cas d'usage métier (classification, extraction, résumé), un modèle local suffit amplement.

Schéma de sécurisation des flux IA dans un workflow n8n avec anonymisation et modèle local
Un workflow n8n sécurisé combine anonymisation des données, passerelle API et modèles d'IA locaux.

RGPD et automatisation : obligations concrètes

Le RGPD ne mentionne pas spécifiquement les outils d'automatisation, mais ses principes s'appliquent pleinement dès qu'un workflow traite des données personnelles. Voici ce que cela implique concrètement pour un projet n8n.

Ce que dit le texte

  • Article 5 : les données doivent être traitées de manière licite, loyale et transparente. Chaque workflow qui manipule des données personnelles doit avoir une base légale (consentement, intérêt légitime, exécution d'un contrat).
  • Article 25 : protection des données dès la conception (privacy by design). Le choix d'un hébergement souverain et le chiffrement des credentials sont des mesures concrètes de mise en conformité.
  • Article 28 : tout sous-traitant qui traite des données personnelles pour votre compte doit être encadré par un contrat. Avec n8n auto-hébergé, vous éliminez ce sous-traitant. Avec n8n Cloud, n8n GmbH est votre sous-traitant et doit figurer dans votre registre.
  • Article 32 : obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement, contrôle d'accès, journalisation).
  • Article 33 : notification de violation de données sous 72 heures. Un workflow qui fuite des données personnelles vers un tiers non autorisé constitue une violation.

Ce que cela implique concrètement

Pour chaque workflow n8n traitant des données personnelles, vous devez :

  1. Documenter le traitement dans votre registre des traitements (article 30)
  2. Identifier la base légale : intérêt légitime, consentement ou exécution contractuelle
  3. Configurer la purge automatique des données d'exécution (n8n conserve par défaut les entrées/sorties de chaque exécution)
  4. Limiter la collecte au strict nécessaire (minimisation des données)
  5. Chiffrer les credentials avec une clé personnalisée (variable N8N_ENCRYPTION_KEY)
  6. Restreindre les accès aux workflows contenant des données sensibles

La CNIL a publié des fiches pratiques sur l'IA et le RGPD qui précisent les obligations spécifiques lorsque des systèmes d'IA traitent des données personnelles. En 2025, elle a finalisé ses recommandations sur l'intérêt légitime comme base légale pour l'entraînement de modèles d'IA, un cadre utile pour les workflows n8n intégrant des LLM.

AI Act et automatisation : ce qui change en 2026

Le règlement européen sur l'intelligence artificielle (AI Act) est entré en vigueur progressivement depuis 2024. Pour les entreprises qui automatisent avec de l'IA, deux échéances sont critiques.

Obligations déjà en vigueur (février 2025)

L'article 4 impose une obligation de literacy IA : tout le personnel utilisant des systèmes d'IA doit disposer d'un niveau suffisant de compréhension du fonctionnement, des limites et des risques de ces outils. Si vos équipes utilisent des workflows n8n intégrant des LLM, elles doivent être formées. Consultez notre guide sur la formation IA en entreprise pour structurer cette démarche.

Obligations à venir (août 2026)

L'article 50 impose des obligations de transparence applicables à tout déployeur de systèmes d'IA :

  • Informer les utilisateurs qu'ils interagissent avec une IA (chatbot, assistant automatisé)
  • Marquer le contenu généré par IA de manière détectable
  • Documenter les systèmes d'IA à haut risque (RH, scoring, accès aux services essentiels)
  • Garantir une supervision humaine pour les décisions ayant un impact significatif

Un workflow n8n qui utilise un LLM pour trier des candidatures, scorer des leads ou rédiger des réponses clients est directement concerné. La supervision humaine dans la boucle (human-in-the-loop) n'est plus une option, c'est une obligation légale.

Pour un panorama complet des obligations et du calendrier, consultez notre guide de conformité AI Act pour les PME.

Checklist de conformité pour un projet n8n en entreprise

Voici la checklist que nous utilisons chez Tensoria lors du déploiement de n8n pour nos clients. Elle couvre les aspects RGPD, AI Act et sécurité technique.

Infrastructure et hébergement

  • ☐ Serveur hébergé en France ou dans l'UE (OVHcloud, Scaleway, infra client)
  • ☐ Certificat SSL/TLS configuré (Let's Encrypt ou équivalent)
  • ☐ Accès SSH restreint par clé + IP whitelist
  • ☐ Sauvegardes automatiques chiffrées
  • ☐ Mises à jour de sécurité régulières (OS + n8n)

Configuration n8n

  • ☐ Clé de chiffrement personnalisée (N8N_ENCRYPTION_KEY)
  • ☐ Purge automatique des exécutions configurée (retention en jours)
  • ☐ Authentification activée (basique au minimum, SSO/SAML recommandé)
  • ☐ Webhooks protégés par authentification (header, token)
  • ☐ Gestionnaire de secrets externe (HashiCorp Vault, AWS Secrets Manager) si multi-environnement

Conformité RGPD

  • ☐ Registre des traitements mis à jour avec chaque workflow traitant des données personnelles
  • ☐ Base légale identifiée pour chaque traitement
  • ☐ Analyse d'impact (AIPD) réalisée si données sensibles ou profilage
  • ☐ Procédure de réponse aux demandes de droits (accès, suppression, portabilité)
  • ☐ Contrat de sous-traitance si utilisation de n8n Cloud ou d'API tierces

Conformité AI Act

  • ☐ Formation des utilisateurs aux systèmes d'IA utilisés (article 4, literacy IA)
  • ☐ Documentation des workflows intégrant de l'IA (modèle utilisé, finalité, données traitées)
  • ☐ Transparence assurée : les utilisateurs finaux savent qu'ils interagissent avec une IA
  • ☐ Supervision humaine intégrée pour les décisions à impact (validation avant envoi, revue périodique)
  • ☐ Évaluation du niveau de risque des workflows IA (annexe III de l'AI Act)

Sécurisation des flux IA

  • ☐ Anonymisation des données personnelles avant envoi aux LLM externes
  • ☐ Modèles locaux déployés pour les traitements les plus sensibles (Ollama + Mistral/LLaMA)
  • ☐ Logs d'appels API conservés pour traçabilité
  • ☐ Politique de rétention des données d'IA documentée

Point clé

Cette checklist n'est pas un exercice théorique. Chaque point correspond à un risque concret que nous avons rencontré sur le terrain. La purge automatique des exécutions, par exemple, est souvent oubliée : sans elle, n8n conserve indéfiniment les données d'entrée et de sortie de chaque workflow, y compris les données personnelles.

Retour terrain : ce que nous observons chez nos clients

Après plusieurs déploiements n8n en contexte PME/ETI, voici les enseignements qui reviennent systématiquement.

Le auto-hébergement n'est pas réservé aux grandes entreprises. Avec les VPS OVHcloud à 6 €/mois et n8n pré-installé, une PME de 10 personnes peut être opérationnelle en moins d'une journée. Le frein n'est pas technique, c'est la méconnaissance des options disponibles.

Les modèles locaux suffisent pour 80 % des cas d'usage. Classification d'emails, extraction de données depuis des PDF, résumé de documents : un Mistral 7B hébergé localement fait le travail sans envoyer une seule donnée à l'extérieur. Les cas où GPT-4 ou Claude sont réellement nécessaires (raisonnement complexe, génération longue de haute qualité) sont plus rares qu'on ne le pense. Nos 5 workflows n8n + IA concrets illustrent les cas où un modèle local suffit et ceux où un modèle cloud est justifié.

La conformité RGPD est un avantage commercial. Plusieurs de nos clients utilisent leur infrastructure n8n souveraine comme argument dans leurs appels d'offres. Pouvoir dire "nos automatisations tournent sur des serveurs français, sans transfert de données vers les États-Unis" fait la différence, notamment dans le secteur public et les marchés réglementés. Cette approche est particulièrement appréciée par les professions réglementées comme les cabinets comptables et les cabinets d'avocats, où le secret professionnel impose un contrôle strict des données.

L'erreur la plus fréquente : ne pas configurer la purge. Par défaut, n8n conserve les données de chaque exécution de workflow. Sur un workflow qui traite 500 emails par jour contenant des données clients, cela représente un stock croissant de données personnelles sans politique de rétention. La première action après l'installation : configurer la purge automatique.

Passer au concret

Vous voulez automatiser avec n8n sans compromettre la conformité ? Parlons de votre projet.

Réserver un Diagnostic Gratuit

Pour aller plus loin

Questions fréquentes

n8n en version auto-hébergée est conforme au RGPD par conception : vous hébergez l'outil sur votre propre infrastructure, aucune donnée ne transite par un tiers. Vous restez responsable de traitement et devez configurer le chiffrement, la purge automatique des exécutions et la gestion des droits d'accès. n8n Cloud, hébergé sur Azure, est également conforme mais implique un sous-traitant supplémentaire dans votre registre de traitements.
Les principales options françaises sont OVHcloud (VPS avec n8n pré-installé, certifié ISO 27001 et HDS), Scaleway (filiale Iliad, instances à partir de 7 €/mois) et LWS (datacenters Tier 3/4 en France). Ces hébergeurs garantissent que vos données restent sur le territoire français, hors de portée du CLOUD Act américain.
n8n auto-hébergé vous donne un contrôle total : choix du serveur, de la localisation, du chiffrement et des accès réseau. n8n Cloud offre un chiffrement AES-256 au repos sur Azure, du SSL/TLS, et des sauvegardes automatiques, mais vos données passent par l'infrastructure de n8n GmbH (Berlin). Pour les secteurs régulés (santé, finance, juridique), le auto-hébergement est généralement recommandé.
Trois approches complémentaires : 1) Anonymiser les données avant envoi au LLM en supprimant noms, emails et identifiants via un nœud de transformation. 2) Utiliser un proxy ou une passerelle API qui filtre les données sensibles. 3) Privilégier des modèles locaux (Mistral via Ollama, LLaMA) hébergés sur votre infrastructure, qui éliminent tout transfert de données vers l'extérieur.
Un VPS OVHcloud adapté à n8n coûte entre 6 et 25 €/mois selon les ressources (2 à 4 vCPU, 4 à 8 Go de RAM). Sur Scaleway, comptez à partir de 7 €/mois. Ajoutez éventuellement un nom de domaine (10 €/an) et un certificat SSL (gratuit via Let's Encrypt). Le coût total reste bien inférieur aux 50 à 200 €/mois des plateformes SaaS comme Make ou Zapier à usage équivalent.
Oui. Depuis février 2025, l'article 4 impose une obligation de literacy IA pour tout le personnel utilisant des systèmes d'IA. À partir d'août 2026, l'article 50 impose des obligations de transparence : informer les utilisateurs qu'ils interagissent avec une IA, documenter les systèmes à haut risque, et garantir une supervision humaine. Un workflow n8n qui utilise un LLM pour traiter des demandes clients est concerné.

Articles liés

Automatisation

N8n est-il adapté aux petites entreprises ? Réponse honnête en 2026

N8n convient-il à une TPE de 5 à 30 salariés ? Tableau de décision, 5 automatisations concrètes, comparatif n8n vs Make vs Zapier et recommandation self-hosted vs cloud. →

Lire l'article Automatisation

Workflow ou agent IA dans n8n : comment choisir ?

Fiabilité, coût tokens, latence, maintenance, debug : 5 critères concrets pour choisir entre workflow et agent IA dans n8n.

Lire l'article Automatisation

Auto-héberger n8n : guide RGPD et souveraineté 2026

Hébergement France, Docker, sécurité, sauvegardes, SSO et bonnes pratiques : le guide pour déployer n8n en entreprise.

Lire l'article
Anas Rabhi, data scientist spécialisé en IA générative
Anas Rabhi Data Scientist & Fondateur de Tensoria

Je suis data scientist spécialisé en IA générative. J'aide les entreprises à économiser du temps grâce à des solutions d'IA sur mesure, adaptées à leur métier. Automatisation de tâches répétitives, assistants internes, traitement intelligent de documents : je conçois des outils qui s'intègrent dans vos processus existants et produisent des résultats concrets.

Discuter de votre projet Découvrir nos services