Retour au blog
RGPDconformitéIA

RGPD et automatisation IA : guide pratique pour les PME

DPA, résidence des données, registre des traitements : le guide concret pour les entreprises du BTP et de l'immobilier qui veulent automatiser avec l'IA tout en restant conformes au RGPD.

5 mai 20254 min de lecturepar Maxime Peyrichou

Réponse rapide : oui, automatiser sa PME avec l'IA est compatible RGPD, à condition d'utiliser une plateforme hébergée en UE (n8n self-hosted en France ou n8n Cloud à Frankfurt), des API IA professionnelles avec garantie contractuelle sur la non-réutilisation des données (Claude, Mistral), un DPA signé avec chaque sous-traitant, et un registre des traitements à jour. Vous automatisez vos relances clients avec un agent IA. Un prospect remplit un formulaire sur votre site, l'IA analyse sa demande, génère un devis personnalisé et l'envoie par email. Pratique. Mais êtes-vous conforme au RGPD ? La réponse est probablement non, et voici pourquoi.

Ce que le RGPD exige concrètement

Le RGPD ne vous interdit pas d'automatiser. Il vous impose un cadre. Pour une PME qui utilise l'automatisation et l'IA, trois obligations sont incontournables :

1. Le registre des traitements

Chaque workflow qui manipule des données personnelles doit être documenté. Quelles données sont collectées, pourquoi, combien de temps elles sont conservées, et qui y a accès. Ce n'est pas une formalité : c'est la première chose que la CNIL demandera en cas de contrôle.

2. Le DPA (Data Processing Agreement)

Quand vous utilisez une plateforme d'automatisation, elle traite des données pour votre compte. Le RGPD exige un contrat écrit — le DPA — entre vous et chaque sous-traitant. Ce contrat définit ce que le prestataire peut faire avec vos données, ses obligations de sécurité et sa responsabilité en cas de fuite.

Vérifiez que votre plateforme propose un DPA. Si elle n'en a pas, c'est un signal d'alarme.

3. La résidence des données

C'est le point le plus critique pour les PME françaises. Le RGPD impose que les transferts de données hors UE soient encadrés par des garanties spécifiques. Or, la majorité des plateformes d'automatisation (Zapier, Make, Tray.io) hébergent leurs données aux États-Unis.

Le problème spécifique de l'IA

Quand vous intégrez un modèle d'IA (GPT-4, Claude, Mistral) dans vos workflows, la question de l'utilisation des données pour l'entraînement se pose. Vérifiez les conditions d'utilisation de chaque fournisseur d'IA. Les API professionnelles (Claude, Mistral, OpenAI API) ne réutilisent pas vos données pour l'entraînement, contrairement aux versions grand public gratuites.

Solutions concrètes :

  • Utilisez les API professionnelles : elles offrent des garanties contractuelles sur la non-réutilisation de vos données.
  • Anonymisez avant d'envoyer : supprimez les noms, emails et numéros de téléphone avant de passer les données à l'IA.
  • Utilisez des modèles européens : Mistral, développé en France, offre une alternative intéressante pour la souveraineté, mais la conformité RGPD dépend aussi du contrat et du DPA signé avec le fournisseur.

Comment rester conforme avec n8n

n8n facilite la conformité RGPD de plusieurs manières :

Hébergement EU natif : n8n Cloud propose un hébergement sur des serveurs européens (Allemagne). Vos données restent dans l'UE.

Auto-hébergement : vous pouvez installer n8n sur votre propre serveur en France. Vous contrôlez totalement la résidence des données.

Pas de rétention cachée : n8n ne conserve pas indéfiniment les données qui transitent dans vos workflows. Les logs d'exécution sont paramétrables et peuvent être purgés automatiquement.

DPA disponible : n8n fournit un DPA conforme aux exigences RGPD pour ses clients Cloud.

Checklist de conformité rapide

Avant de déployer un workflow qui traite des données personnelles :

  • Le traitement est documenté dans votre registre
  • Un DPA est signé avec chaque plateforme utilisée
  • Les données restent dans l'UE (ou des garanties adéquates existent)
  • L'IA ne conserve pas les données pour l'entraînement
  • Une durée de rétention est définie et appliquée
  • Les personnes concernées sont informées du traitement automatisé

La conformité RGPD n'est pas un frein à l'automatisation. C'est un cadre qui, bien appliqué, renforce la confiance de vos clients et protège votre entreprise.

Note : cet article ne constitue pas un conseil juridique. Pour les questions spécifiques à votre situation, consultez un avocat spécialisé en protection des données.

Guide gratuit

Les 7 process les plus rentables à automatiser en PME BTP

PDF de 14 pages avec calculateur de ROI. Lecture en 12 minutes.

Questions fréquentes

L'automatisation IA est-elle compatible avec le RGPD ?

Oui, à condition de respecter trois obligations : tenir un registre des traitements documentant chaque workflow qui manipule des données personnelles, signer un DPA (Data Processing Agreement) avec chaque sous-traitant, et garantir la résidence des données dans l'UE. Avec n8n hébergé en France ou en Allemagne et des API IA professionnelles, ces trois obligations sont remplies.

Mes données sont-elles protégées si j'utilise l'IA pour automatiser ?

Avec les API professionnelles (Claude API d'Anthropic, Mistral API, OpenAI API en mode entreprise), vos données ne sont JAMAIS utilisées pour entraîner les modèles. C'est une garantie contractuelle. En revanche, les versions grand public gratuites (ChatGPT free, Gemini free) peuvent réutiliser vos données — à éviter pour des données professionnelles.

Comment garantir que mes données restent en France ou en UE ?

Trois leviers : 1) utiliser n8n self-hosted sur OVH ou Scaleway (souveraineté française complète), 2) utiliser n8n Cloud (hébergé en Allemagne, UE), 3) sélectionner des API IA européennes (Mistral, basé à Paris) ou des API avec hébergement européen contractualisé (Claude via Anthropic Europe). Éviter Zapier (hébergement US, soumis au CLOUD Act).

Faut-il un DPO pour automatiser sa PME avec l'IA ?

Pas obligatoire pour une PME standard, sauf si vous traitez à grande échelle des données sensibles (santé, biométrie, données pénales) ou si vous faites du suivi systématique de personnes. Pour une PME du BTP qui automatise son suivi GPA ou ses relances artisans, un DPO n'est pas obligatoire mais une simple personne référente RGPD interne suffit, idéalement formée.

Que faire si la CNIL contrôle mes automatisations IA ?

Présenter votre registre des traitements, vos DPA signés avec n8n, vos API IA et hébergeur, votre politique de durée de conservation, et la liste des destinataires. Si tout est documenté et que les données restent dans l'UE, le contrôle se passe sans problème. Le risque CNIL principal est l'absence de documentation, pas l'utilisation d'IA en soi.

Vous voulez automatiser vos processus ?

Discutons de vos besoins lors d'un audit découverte gratuit. Je suis basé à Bordeaux et j'interviens en Nouvelle-Aquitaine et partout en France.

Demander mon audit découverte