Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

n8n et RGPD : guide de conformité 2026

n8n est-il conforme au RGPD ? Analyse du DPA, self-hosting et souveraineté, flux de données entre SaaS, gestion des credentials et configuration DPO.

n8n s’est imposé comme l’un des outils d’automatisation de flux de travail les plus adoptés dans les équipes techniques et métier françaises. Édité par une société allemande (n8n GmbH, basée à Berlin), l’outil permet d’orchestrer des workflows entre des dizaines de services : synchroniser un CRM avec une base de données, déclencher des e-mails à partir d’un formulaire, enrichir des fiches prospects, router des tickets support, ou connecter un modèle d’IA à des documents internes. Sa particularité structurante pour la conformité RGPD : n8n est disponible en version auto-hébergée (self-hosted), ce qui change radicalement la répartition des rôles au sens du règlement.

Dans ma pratique de conseil auprès de DPO et de DSI, n8n soulève des questions différentes des SaaS classiques. Parce qu’il fait transiter des données personnelles entre plusieurs systèmes, parce qu’il stocke des identifiants d’accès (credentials) à des services tiers, et parce que le choix entre version cloud et version auto-hébergée détermine qui est sous-traitant, n8n mérite une analyse spécifique. Ce guide propose une lecture opérationnelle pour le responsable de traitement et le DPO souhaitant déployer n8n dans une démarche maîtrisée.

Pour une vue d’ensemble des enjeux liés aux outils cloud, voir également nos analyses de Google Workspace, de OneDrive et de Mistral AI, qui posent des problématiques comparables avec des réponses contractuelles distinctes.

Qualification juridique : un statut à géométrie variable

Le choix de déploiement détermine les rôles

Contrairement à un SaaS classique, n8n n’a pas une qualification juridique unique. Tout dépend de la voie de déploiement retenue.

n8n Cloud (l’offre hébergée par l’éditeur) : n8n GmbH agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre organisation détermine les finalités (automatisation d’un processus métier, synchronisation de données clients, enrichissement de bases) et les moyens essentiels (quels workflows sont créés, quelles données transitent, quels services sont connectés). n8n GmbH fournit l’infrastructure d’exécution et traite les données selon vos instructions.

n8n auto-hébergé (self-hosted, sur votre propre serveur, un VPS, un cluster Kubernetes ou une infrastructure on-premise) : dans cette configuration, n8n GmbH n’est plus sous-traitant. Le logiciel, distribué sous licence, s’exécute sur votre infrastructure. La donnée ne quitte pas votre périmètre technique du fait de n8n. Vous restez pleinement responsable de traitement, et vos éventuels sous-traitants sont l’hébergeur du serveur (OVH, Scaleway, un cloud interne) et les services tiers connectés aux workflows.

L’angle souveraineté

Cette dualité fait de n8n un cas intéressant du point de vue de la souveraineté numérique. L’auto-hébergement sur une infrastructure française ou européenne permet de garder la maîtrise complète du plan d’exécution des données, sans intermédiaire contractuel d’adéquation ni exposition à des législations extraterritoriales. Pour les organisations sensibles à ce sujet — collectivités, secteur public, structures de santé, cabinets soumis au secret professionnel — l’auto-hébergement de n8n est structurellement la voie la plus simple à intégrer dans une analyse de risque.

n8n GmbH étant par ailleurs une société allemande, la version cloud est soumise directement au droit européen et au RGPD, sans problématique de transfert hors UE pour les usages standards — sous réserve des services tiers effectivement connectés dans les workflows, qui constituent le vrai point d’attention (voir plus loin).

Périmètre des données traitées

La difficulté propre à un outil d’automatisation est qu’il ne traite pas une catégorie de données définie a priori : il traite ce que vos workflows lui font traiter. Le périmètre dépend entièrement de la conception des flux.

En pratique, un déploiement n8n manipule fréquemment :

  • Données d’identification et de contact : noms, e-mails, téléphones, identifiants clients synchronisés entre CRM, formulaires et bases
  • Données transactionnelles : commandes, factures, historiques d’achat routés vers des systèmes comptables ou marketing
  • Données RH : dans les workflows d’onboarding, de gestion des congés ou de notifications internes
  • Contenus de messages : tickets support, e-mails entrants traités automatiquement
  • Identifiants techniques d’accès (credentials) : c’est la spécificité de n8n — l’outil stocke les clés API, tokens OAuth et mots de passe nécessaires pour se connecter aux services tiers

Ce dernier point mérite une attention particulière. Les credentials stockés par n8n donnent accès, souvent en écriture, à des systèmes contenant des données personnelles. Leur compromission équivaudrait à une violation de données potentiellement massive. La sécurité du chiffrement de ces credentials (n8n chiffre les credentials au repos avec une clé de chiffrement dédiée) et la gestion des droits d’accès à l’instance sont donc des mesures de sécurité de premier plan au sens de l’article 32.

Le principe de minimisation doit guider la conception : ne faire transiter dans les workflows que les champs strictement nécessaires à la finalité, et éviter de router des données sensibles sans base légale et mesures adaptées.

Analyse du DPA n8n (offre cloud)

Pour l’offre n8n Cloud, l’éditeur met à disposition un accord de traitement des données (Data Processing Agreement) intégré à ses conditions. Évaluation au regard des exigences de l’article 28 du RGPD, selon la documentation consultée en juillet 2026 :

Exigence Art. 28 RGPD Couverture dans le DPA n8n Évaluation
Traitement sur instruction documentée (28.3.a) Périmètre fixé par les conditions et l’usage de la plateforme Conforme
Confidentialité du personnel (28.3.b) Engagements de confidentialité des employés Conforme
Mesures de sécurité Art. 32 (28.3.c) Chiffrement des credentials, isolation, hébergement UE Conforme, à vérifier au moment du déploiement
Autorisation de sous-traitance ultérieure (28.3.d) Liste des sous-traitants (hébergeur cloud notamment) publiée Conforme
Aide à l’exercice des droits (28.3.e) Fonctions d’export et de suppression Conforme
Aide aux Art. 32-36 (28.3.f) Engagement de coopération et notification de violation Conforme
Suppression en fin de prestation (28.3.g) Suppression des données post-résiliation dans le délai contractuel Conforme
Audit du sous-traitant (28.3.h) Certifications et rapports mis à disposition Conforme avec réserve

Le point de vigilance central pour n8n Cloud n’est pas tant le DPA de l’éditeur que la chaîne de sous-traitance créée par les workflows eux-mêmes. Chaque service tiers connecté (un CRM américain, une API d’enrichissement, un fournisseur d’e-mailing) devient un sous-traitant ou un destinataire distinct, avec sa propre localisation et ses propres garanties. L’analyse RGPD d’un déploiement n8n est donc autant une analyse des flux qu’une analyse du contrat n8n.

Localisation et transferts

Pour n8n Cloud, l’infrastructure d’hébergement retenue par l’éditeur détermine la localisation des données de production. Il convient de vérifier, au moment du déploiement, la région d’hébergement disponible et de privilégier une région européenne lorsque l’offre le permet.

Pour n8n auto-hébergé, la localisation est entièrement sous votre contrôle : elle correspond à celle de l’infrastructure que vous choisissez. C’est l’un des avantages majeurs de cette voie.

Le vrai enjeu de transfert se situe dans les services tiers connectés aux workflows. Si un workflow envoie des données personnelles vers un outil dont l’entité contractante ou l’hébergement est situé aux États-Unis, un mécanisme de transfert est requis : adhésion du destinataire au Data Privacy Framework (DPF) lorsqu’elle est valable, ou clauses contractuelles types (CCT, décision 2021/914) accompagnées d’une analyse d’impact des transferts. Chaque connecteur doit être qualifié individuellement dans votre cartographie des flux.

Fonctionnalités IA et AIPD

n8n propose des nœuds d’intégration avec des modèles d’IA (nœuds LLM, agents, connexions à des API comme celles d’OpenAI, Mistral, Anthropic ou à des modèles auto-hébergés). Dès lors qu’un workflow route des données personnelles vers un modèle d’IA générative, deux niveaux d’analyse s’ajoutent.

D’abord, le modèle d’IA connecté devient un sous-traitant ou destinataire à qualifier, avec ses propres engagements — notamment sur la réutilisation des données pour l’entraînement. Privilégier un fournisseur qui s’engage contractuellement à ne pas entraîner ses modèles sur les données transmises.

Ensuite, une analyse d’impact (AIPD) devient obligatoire au sens de l’article 35 lorsque l’automatisation IA :

  • produit des décisions automatisées affectant les personnes (scoring, tri de candidatures, routage de dossiers avec effet juridique)
  • traite des données sensibles au sens de l’article 9 à une échelle significative
  • réalise du profilage systématique

Les recommandations de la CNIL sur l’IA constituent la référence méthodologique pour documenter les risques propres à ces workflows : hallucinations réinjectées dans des systèmes de production, absence de supervision humaine, propagation d’erreurs en cascade dans les automatisations enchaînées.

Configuration recommandée

Gouvernance du déploiement

  • Choisir la voie de déploiement en fonction des exigences de souveraineté : auto-hébergement européen pour les données sensibles ou stratégiques, cloud pour la simplicité opérationnelle sur des données à faible risque
  • Cartographier chaque workflow dans le registre des traitements : finalité, catégories de données, services connectés, base légale, durée de conservation
  • Qualifier chaque connecteur tiers comme sous-traitant ou destinataire, avec sa localisation et ses garanties de transfert

Sécurité technique

  • Restreindre l’accès à l’instance n8n par authentification forte et gestion fine des rôles (n8n propose des contrôles d’accès sur les offres avancées)
  • Protéger la clé de chiffrement des credentials : la sauvegarder de manière sécurisée, la faire tourner en cas de suspicion de compromission
  • Journaliser les exécutions pour permettre l’audit et la détection d’incidents
  • Appliquer la minimisation dans la conception : ne router que les champs nécessaires, filtrer les données sensibles en amont

Documentation

  • Charte d’usage des automatisations : qui peut créer des workflows, quelles données peuvent transiter, procédure de validation
  • AIPD pour les workflows intégrant de l’IA ou du profilage
  • Procédure de violation anticipant le scénario de compromission des credentials

Cas particuliers

Workflows connectant des services hors UE

C’est le scénario le plus fréquent et le plus mal maîtrisé. Un workflow qui synchronise un CRM américain, appelle une API d’enrichissement basée hors UE, ou envoie des e-mails via un prestataire américain crée autant de transferts à encadrer. La cartographie des flux doit lister ces destinations et documenter le mécanisme de transfert applicable à chacune.

Données de santé

Pour un workflow traitant des données de santé, l’auto-hébergement sur une infrastructure qualifiée Hébergeur de Données de Santé (HDS) offre la voie la plus claire. Le routage de données de santé vers des services tiers non HDS doit être proscrit.

Secteur public et collectivités

Pour les administrations, l’auto-hébergement de n8n sur un cloud souverain français maximise la conformité aux orientations de la doctrine « cloud au centre » de l’État, tout en offrant les mêmes capacités d’automatisation que les alternatives cloud.

PME utilisant n8n Cloud

Pour une PME sur l’offre cloud avec des workflows à faible sensibilité (notifications internes, synchronisations de données non sensibles), le déploiement reste léger : DPA signé, région d’hébergement vérifiée, connecteurs qualifiés, inscription au registre. L’AIPD n’est pas systématiquement requise.

FAQ : n8n et RGPD

n8n auto-hébergé est-il plus conforme que n8n Cloud ?

Sur la dimension de souveraineté et de maîtrise des données, l’auto-hébergement supprime la qualification de n8n GmbH comme sous-traitant et garde la donnée dans votre périmètre. C’est structurellement plus simple à documenter. En revanche, il transfère à votre organisation la responsabilité complète de la sécurité, des mises à jour et de la disponibilité. Le choix dépend de votre maturité technique et de la sensibilité des données traitées.

Les credentials stockés dans n8n sont-ils un risque RGPD ?

Ils ne sont pas des données personnelles en tant que telles, mais ils constituent un point de sécurité critique : ils donnent accès à des systèmes contenant des données personnelles. Leur compromission serait qualifiable de violation de données. n8n les chiffre au repos ; la protection de la clé de chiffrement et la restriction d’accès à l’instance sont des mesures de sécurité prioritaires au sens de l’article 32.

Faut-il une AIPD pour utiliser n8n ?

Pas pour les automatisations standards sans données sensibles ni décision automatisée. L’AIPD devient obligatoire dès qu’un workflow produit des décisions affectant les personnes, traite des données sensibles à grande échelle, ou réalise du profilage — notamment lorsqu’un nœud d’IA est intégré au flux.

Comment gérer les transferts hors UE avec n8n ?

Le transfert ne vient généralement pas de n8n lui-même mais des services tiers connectés dans les workflows. Chaque connecteur doit être qualifié : entité contractante, localisation, adhésion au DPF ou CCT 2021/914 avec analyse d’impact des transferts. La cartographie des flux est l’outil central de cette analyse.

Comment intégrer n8n à mon registre des traitements ?

Documenter chaque finalité d’automatisation comme un traitement : catégories de données, services connectés (avec leurs qualifications), base légale, durée de conservation, mesures de sécurité. Pour un déploiement auto-hébergé, n8n n’apparaît pas comme sous-traitant ; pour l’offre cloud, n8n GmbH y figure. Voir notre exemple de registre RGPD rempli.

Que se passe-t-il en cas de violation de données via n8n ?

Le scénario le plus probable est la compromission d’un accès à l’instance ou des credentials stockés. Il faut évaluer l’étendue des données exposées, notifier la CNIL sous 72 heures si le risque le justifie, et le cas échéant informer les personnes concernées. Pour l’offre cloud, n8n GmbH coopère selon son DPA ; pour l’auto-hébergement, la responsabilité de détection et de notification vous incombe entièrement. Voir notre guide sur la notification de violation.

Pour cartographier l’ensemble des flux d’automatisation, qualifier les sous-traitants connectés et maintenir le registre à jour, un logiciel RGPD permet de centraliser la documentation des outils et de suivre les chaînes de sous-traitance générées par les workflows.