n8n est-il conforme au RGPD ? L'auto-hébergement fait la différence

n8n peut fonctionner de façon conforme au RGPD, mais il ne l'est pas automatiquement. Ce qui distingue le cloud de l'auto-hébergement et là où les workflows perdent des données.

Dès que des données clients passent par vos workflows n8n, noms, adresses e-mail, montants de factures, parfois des candidatures, la question arrive sur votre bureau : n8n est-il conforme au RGPD ? La réponse courte : n8n peut être exploité de façon conforme au RGPD, mais il ne l'est pas de lui-même. Le RGPD évalue l'exploitation et les workflows, pas l'outil, c'est donc votre configuration qui décide, et non le logiciel à lui seul.

Il vaut d'ailleurs mieux clarifier cela avant que le premier workflow ne passe en production, pas après. Trois éléments sont décisifs : où tourne n8n, à quels services vos workflows se connectent et ce qu'il advient des données d'exécution. L'auto-hébergement sur un serveur en Allemagne est la voie la plus directe vers une pleine souveraineté des données, mais il ne résout pas toutes les questions.

Pourquoi « conforme au RGPD » n'est pas une propriété d'un logiciel

Le RGPD encadre des activités de traitement, pas des produits, c'est pourquoi aucun éditeur ne peut sérieusement affirmer que son logiciel est globalement conforme au RGPD. En tant qu'entreprise, vous restez responsable du traitement des données. Un workflow n8n qui envoie sans demander des données clients à un service américain enfreint le RGPD sur le même serveur où un workflow proprement construit tourne sans le moindre souci. La question n'est donc pas « n8n est-il conforme ? », mais « ma configuration n8n, workflows compris, est-elle conforme ? ». Ce n'est pas jouer sur les mots, c'est la raison pour laquelle la décision d'hébergement et la conception des workflows doivent être considérées séparément.

n8n Cloud : entreprise allemande, serveurs dans l'UE, fournisseur cloud américain

Selon la page de sécurité officielle de n8n (état de juillet 2026), n8n Cloud stocke les données clients sur l'infrastructure Microsoft Azure dans l'Union européenne, et la page tarifaire indique Francfort comme emplacement. Derrière le produit se trouve n8n GmbH, dont le siège est à Berlin, donc une entreprise allemande. n8n met à disposition un contrat de sous-traitance (DPA, en allemand AVV) à signer, y compris les clauses contractuelles types de l'UE et une liste publique des sous-traitants ultérieurs. C'est une base solide pour de nombreuses PME.

Le point que vous devez connaître : Azure appartient à Microsoft, un groupe américain. Même en cas de stockage à Francfort, un fournisseur américain reste ainsi dans la chaîne. Pour la plupart des données d'entreprise, cela est défendable avec un DPA et des clauses contractuelles types ; pour des données particulièrement sensibles, par exemple chez les professionnels tenus au secret ou dans le domaine de la santé, cela devient un point de discussion avec le délégué à la protection des données. Aucun logiciel ne vous décharge de cette évaluation, et cet article ne remplace pas un conseil juridique.

Auto-hébergement : vos données restent sur votre serveur

En auto-hébergement, n8n tourne sur un serveur que vous contrôlez, et les données à caractère personnel issues de vos workflows ne quittent pas votre infrastructure tant que les workflows ne se connectent pas à des services externes. La Community Edition est utilisable sans frais de licence et peut être exploitée via Docker sur un serveur chez un hébergeur allemand. Vous n'avez alors besoin d'un DPA qu'avec l'hébergeur, pas avec n8n lui-même, car n8n n'a pas accès à votre instance. C'est exactement cette configuration que nous construisons par défaut chez NordFlux : n8n sur un serveur en Allemagne, avec mises à jour, sauvegardes et surveillance, afin que l'exploitation ne repose pas sur vos seules épaules.

Soyons honnêtes : l'auto-hébergement transfère vers vous la responsabilité de la sécurité. Un serveur n8n non corrigé avec un accès ouvert représente un risque de protection des données plus grand que tout cloud exploité sérieusement. Quiconque n'a personne en interne pour l'entretien du serveur devrait confier l'exploitation à un prestataire ou choisir sciemment la variante cloud avec DPA.

En bref

Le fait que n8n fonctionne de façon conforme au RGPD n'est pas décidé par le logiciel, mais par votre configuration. L'auto-hébergement en Allemagne résout la question de l'hébergement. La question de savoir où vos workflows envoient des données ne se résout que par une conception propre des workflows.

Trois pièges de protection des données dans la conception des workflows

La plupart des problèmes de protection des données avec n8n ne surviennent pas lors de l'hébergement, mais dans les workflows eux-mêmes. Trois schémas reviennent sans cesse dans la pratique :

  • Nœuds d'IA : dès qu'un workflow envoie des données clients à un modèle d'IA comme OpenAI ou Anthropic, ce fournisseur traite les données. Vous avez alors besoin d'un DPA avec le fournisseur d'IA, de l'exclusion de l'entraînement du modèle et, dans la mesure du possible, d'une minimisation des données avant le nœud.
  • Nœuds tiers vers des services américains : Google Sheets, Slack ou Airtable comme cible d'un workflow signifient un transfert vers un pays tiers. Le serveur auto-hébergé sert à peu de chose si le workflow copie ensuite les données dans un tableur américain.
  • Journaux d'exécution : par défaut, n8n enregistre les données d'entrée et de sortie de chaque exécution de workflow. Sans durée de conservation limitée, s'y accumulent des données à caractère personnel auxquelles plus personne ne pense.

La connexion à l'IA en particulier mérite un examen attentif, car des jeux de données complets y circulent souvent alors que le modèle n'a besoin que de deux champs. La façon d'intégrer de manière générale des services d'IA dans le respect de la protection des données, du choix du fournisseur au DPA, est décrite en détail dans notre article sur l'IA conforme au RGPD en entreprise.

Exploiter n8n de façon conforme au RGPD : à quoi ressemble une configuration propre

Une configuration n8n robuste pour les PME repose sur quatre briques : un serveur chez un hébergeur allemand ou européen avec un DPA signé, un contrôle d'accès avec des comptes personnels et une authentification à deux facteurs, une règle de suppression pour les données d'exécution (n8n peut nettoyer automatiquement les anciennes données d'exécution) et une minimisation des données dans chaque workflow qui sollicite des services externes. Cela inclut d'ajouter les workflows au registre des activités de traitement, afin que votre délégué à la protection des données sache ce qui a été automatisé. Cela ressemble à de la paperasse, mais c'est réglé en un à deux jours ouvrés et il ne reste ensuite qu'à l'entretenir.

L'effort est doublement payant : une configuration documentée accélère toute extension ultérieure, car les questions de fond sont réglées et les nouveaux workflows n'ont plus qu'à être vérifiés au regard des règles existantes.

Questions fréquentes

Peut-on utiliser n8n Cloud de façon conforme au RGPD ?

Oui, pour de nombreux cas d'usage. n8n propose un DPA avec les clauses contractuelles types de l'UE, et selon n8n les données se trouvent sur des serveurs Azure dans l'UE. Il reste à évaluer le fait qu'avec Microsoft, un fournisseur américain met à disposition l'infrastructure. Pour des données sensibles, vous devriez clarifier ce point avec votre délégué à la protection des données.

Ai-je besoin d'un DPA avec n8n en auto-hébergement ?

Non. Avec une instance auto-hébergée, n8n ne traite aucune donnée pour vous, le logiciel tourne entièrement sur votre serveur. Vous avez en revanche besoin d'un DPA avec l'hébergeur sur le serveur duquel tourne l'instance, à moins que vous n'exploitiez votre propre serveur en interne.

Puis-je utiliser des nœuds d'IA comme OpenAI dans des workflows n8n ?

En principe oui, si le cadre est réuni : un DPA avec le fournisseur d'IA, l'exclusion des données de l'entraînement du modèle et la transmission des seuls champs dont le modèle a réellement besoin. Quiconque veut éviter les transferts vers des pays tiers peut se tourner vers des fournisseurs européens ou des modèles exploités localement.

Combien coûte n8n en auto-hébergement ?

La Community Edition est sans frais de licence, vous payez le serveur et l'exploitation, à savoir les mises à jour, les sauvegardes et la surveillance. Pour de petites configurations, un simple serveur cloud chez un hébergeur allemand suffit. Le calcul honnête inclut toutefois aussi le temps de travail consacré à l'entretien, en interne ou via un prestataire.

L'auto-hébergement rend-il n8n automatiquement conforme au RGPD ?

Non. L'auto-hébergement clarifie seulement où le logiciel tourne et qui a accès à l'instance. Le fait que le traitement soit conforme dépend en outre des services auxquels vos workflows se connectent, de la durée de conservation des données d'exécution et de l'existence d'une base légale pour le traitement.

À propos de NordFlux

NordFlux UG (haftungsbeschränkt)

NordFlux construit des employés numériques pour les organisations : des automatisations et des agents KI qui prennent en charge le travail répétitif. Vous gardez le contrôle.

En savoir plus sur nous
Analyse initiale gratuite

Vous voulez que n8n fonctionne proprement au regard de la protection des données ?

Lors de l'analyse initiale gratuite, nous examinons vos processus et vous disons honnêtement si n8n convient et à quoi ressemble une configuration avec souveraineté des données en Allemagne.

  • n8n sur un serveur en Allemagne, vous gardez le contrôle
  • Conception de workflows avec minimisation des données au lieu de fuite de données
  • Un interlocuteur fixe, pas de centre d'appels