Make vs n8n vs Zapier : lequel ne fuira pas vos données clients ?
Comparatif RGPD 2026 - Cloud Act, hébergement EU, souveraineté des données pour PME françaises
Retour d'expérience 2LKATIME
2LKATIME déploie des workflows d'automatisation n8n pour ses clients PME depuis 2024. Cet article s'appuie sur des missions concrètes, des DPA analysés et des audits RGPD réalisés sur les trois outils. Ce n'est pas un comparatif sponsorisé - c'est le bilan honnête de ce qu'on observe en production.
En 2026, plus de 73 % des PME françaises utilisent au moins un outil d'automatisation - Zapier, Make ou n8n. Ce qu'elles ignorent souvent : chaque fois qu'un workflow s'exécute, les données de leurs clients (emails, noms, données CRM, tickets support) transitent par des serveurs qui ne sont pas forcément sous leur contrôle. Et depuis le Cloud Act américain de 2018, "hébergé en Europe" ne signifie plus "protégé des regards américains".
Cet article compare Zapier, Make et n8n sous l'angle que les commerciaux de ces outils évitent soigneusement : la souveraineté réelle de vos données. Qui peut accéder à vos données ? Sous quelle législation ? Quelle est la seule option qui garantit zéro fuite possible ? On répond sans langue de bois, avec les textes de loi et les DPA en main.
1. Le Cloud Act : la menace invisible que vos outils d'automatisation ne mentionnent pas
Le Clarifying Lawful Overseas Use of Data Act (Cloud Act), entré en vigueur en mars 2018 aux États-Unis, établit un principe simple et brutal : toute entreprise soumise au droit américain - quelle que soit la localisation physique de ses serveurs - doit communiquer les données stockées aux autorités américaines sur simple demande, sans passer par une procédure d'entraide judiciaire internationale.
Concrètement : si votre outil d'automatisation est une entreprise de droit américain, les données de vos clients qui transitent ou sont stockées dans cet outil peuvent être légalement récupérées par le FBI, la NSA ou le DOJ - même si leurs serveurs sont à Amsterdam ou Francfort. Le RGPD et le Cloud Act sont en contradiction directe, et jusqu'ici la Commission européenne n'a pas tranché.
2018
Année d'entrée en vigueur du Cloud Act
20M€
Amende max EU AI Act / RGPD en cas de violation
73%
PME françaises utilisant un outil d'automatisation
Aug. 2026
Plein régime sanctions EU AI Act
Important : Le Cloud Act ne concerne pas que le stockage - il concerne aussi le transit. Si votre workflow Zapier envoie un email avec les données d'un client, ces données sont passées par des serveurs américains. C'est suffisant pour être dans le scope.
2. Zapier - Puissant, populaire, et problématique pour le RGPD
Zapier est fondé en 2011 à San Francisco, Californie. Entreprise américaine, soumise au Cloud Act. Ses serveurs principaux tournent sur AWS us-east-1 (Virginie du Nord). Zapier propose bien un hébergement EU pour certains plans Enterprise, mais la maison-mère reste américaine - ce qui rend le Cloud Act applicable indépendamment de la localisation des serveurs.
Zapier propose un DPA (Data Processing Agreement) signable pour les plans payants. Ce DPA est conforme au cadre SCCs (Standard Contractual Clauses) de l'UE. Mais - et c'est le point clé - un DPA ne protège pas contre le Cloud Act. Il oblige Zapier à vous avertir d'une demande des autorités américaines, sauf si une ordonnance de confidentialité l'en empêche (ce qui est fréquent dans les affaires sensibles).
✅ Points forts Zapier
- - 6 000+ intégrations natives (le plus large catalogue)
- - Interface no-code très accessible
- - DPA disponible (plans payants)
- - SLA et support Enterprise
- - Idéal pour équipes non-techniques
❌ Risques RGPD Zapier
- - Soumis au Cloud Act américain
- - Serveurs US par défaut (AWS us-east-1)
- - Données clients transitent par infra US
- - Pas d'option self-hosted
- - Conflit direct RGPD / Cloud Act non résolu
Quand Zapier reste acceptable : si vos workflows ne traitent que des données non-personnelles (notifications internes, alertes techniques, agrégation de métriques anonymes), le risque est limité. En revanche, dès que vous faites transiter des noms, emails, données CRM ou données RH, Zapier expose votre entreprise à un risque RGPD réel.
Zapier = RISQUE ÉLEVÉ pour toute PME traitant des données personnelles dans ses automatisations. Le Cloud Act l'emporte sur le DPA.
3. Make (ex-Integromat) - Le compromis européen, mais pas sans limites
Make a été fondé à Prague (République Tchèque) en 2012 sous le nom Integromat, avant d'être racheté par Celonis (entreprise allemande) en 2022. Make est une entreprise de droit européen - elle n'est pas soumise au Cloud Act américain. C'est son avantage principal sur Zapier.
Make propose un hébergement en Europe (datacenter Amsterdam) pour tous les plans payants depuis 2023. Le DPA est signable et aligné RGPD, avec des SCCs intégrées. La politique de confidentialité est substantiellement plus transparente que celle de Zapier. Pour une PME française qui veut rester dans le droit européen, Make est un meilleur choix que Zapier - mais ce n'est pas encore la souveraineté complète.
La limite de Make : même avec un hébergement EU, Make reste un SaaS propriétaire. Vos données transitent par leurs serveurs. Vous n'avez pas accès aux logs complets, pas de contrôle sur les mises à jour de sécurité, et dépendez de leur politique. Si Make est racheté par une entreprise américaine demain, le Cloud Act devient applicable rétroactivement.
✅ Points forts Make
- - Entreprise européenne (droit tchèque)
- - Hébergement EU disponible (Amsterdam)
- - Non soumis au Cloud Act
- - DPA RGPD solide
- - 1 500+ intégrations, interface visuelle avancée
- - Prix compétitif (dès 9€/mois)
⚠️ Limites Make
- - SaaS propriétaire : données sur leur infra
- - Pas d'option self-hosted
- - Rachat possible par acteur US (risque futur)
- - Logs et audits limités côté client
- - Souveraineté partielle seulement
Make = RISQUE MODÉRÉ. Meilleur que Zapier sur le plan légal (entreprise EU), mais pas de souveraineté réelle. Acceptable pour données peu sensibles.
4. n8n self-hosted - La seule option avec souveraineté totale
n8n a été créé en 2019 à Berlin (Allemagne) par Jan Oberhauser. C'est un projet open-source sous licence fair-code (Sustainable Use License) - le code source est public, auditable, et vous pouvez le déployer sur votre propre infrastructure. En mode self-hosted, aucune donnée ne quitte votre serveur. Zéro. Pas de transit, pas de stockage tiers, pas de dépendance à une politique de confidentialité externe.
Déployé sur un VPS français (OVHcloud à Roubaix, Scaleway à Paris), n8n offre une conformité RGPD structurelle - pas contractuelle. Vous ne dépendez d'aucun DPA, d'aucune politique de confidentialité, d'aucune décision de rachat. Vos données restent dans votre datacenter français, sous votre contrôle exclusif. C'est la définition de la souveraineté numérique.
🔒 Zéro transit de données
En self-hosted, les données de vos workflows (emails clients, données CRM, tickets support) ne quittent jamais votre serveur. Les connexions aux APIs externes (Slack, HubSpot, Notion...) sont initiées depuis votre VPS, mais aucun intermédiaire n'a accès au contenu.
🇫🇷 Hébergement souverain disponible
OVHcloud (Roubaix/Gravelines, certifié HDS, ISO 27001) et Scaleway (Paris, conforme SecNumCloud) proposent des VPS à partir de 5-6€/mois. Ces hébergeurs sont des entreprises françaises, hors Cloud Act, avec DPA RGPD complet. Un VPS 2 vCPU / 4 Go RAM suffit pour une PME de 50 personnes.
🔍 Code source auditable
Contrairement à Zapier et Make, le code de n8n est public sur GitHub (50 000+ étoiles). Vous pouvez auditer exactement ce que fait l'outil, quelles données il lit, comment il les traite. Aucune surprise possible - c'est une garantie impossible à obtenir avec un SaaS propriétaire.
💰 Coût réel : 5-6€/mois vs 49€/mois
n8n self-hosted est gratuit. Vous payez seulement l'hébergement : un VPS Scaleway PLAY2-PICO à 5,39€/mois ou OVH Starter à 6,00€/mois. Comparé aux 49€/mois du plan Pro Zapier ou 16€/mois de Make, l'économie est significative - et la souveraineté est en bonus. Pour votre déploiement n8n à Paris, 2LKATIME propose une configuration clé en main.
L'unique bémol : n8n self-hosted demande une configuration initiale (Docker, reverse proxy nginx, certificat SSL). Pour une PME sans équipe technique, comptez 2 heures de setup ou faites appel à un prestataire. 2LKATIME propose des déploiements n8n sur infrastructure souveraine - contact en 30 minutes.
n8n self-hosted = SOUVERAINETÉ TOTALE. Seule option garantissant zéro transit de données hors de votre infrastructure. Recommandé pour toute PME traitant des données personnelles.
5. Tableau comparatif complet - RGPD, coût, fonctionnalités
Voici le récapitulatif structuré des trois outils sur les critères qui comptent pour une PME française en 2026 :
| Critère | Zapier | Make | n8n self-hosted |
|---|---|---|---|
| Soumis au Cloud Act US | ❌ Oui | ✅ Non | ✅ Non |
| Hébergement en France/EU | ⚠️ Enterprise seulement | ✅ Amsterdam | ✅ Votre infra FR |
| Option self-hosted | ❌ Non | ❌ Non | ✅ Oui (gratuit) |
| Souveraineté des données | ❌ Nulle | ⚠️ Partielle | ✅ Totale |
| DPA RGPD disponible | ⚠️ Plans payants | ✅ Oui | ✅ N/A (self-hosted) |
| Code source auditable | ❌ Non | ❌ Non | ✅ Open-source |
| Prix PME (mensuel) | $49/mois (Pro) | €16/mois (Pro) | ~6€/mois (VPS seul) |
| Nombre d'intégrations | 6 000+ | 1 500+ | 400+ natifs |
| Complexité setup initial | Très faible | Faible | Moyenne (2h) |
| Recommandé pour données perso | ❌ Non | ⚠️ Avec précautions | ✅ Oui |
La conclusion est nette : si votre PME traite des données personnelles (ce que font 95% des CRM, outils RH, formulaires de contact), n8n self-hosted est la seule option compatible avec une stratégie RGPD sérieuse. Make est acceptable si vos données sont peu sensibles et que vous acceptez la dépendance SaaS. Zapier présente un risque légal réel que beaucoup de DPO ne valideraient pas.
Pour aller plus loin sur la sécurité de vos accès et de vos données, lisez notre article Authentification sécurisée PME : les 8 règles MFA en 2026. Et si vous avez des agences ou des équipes à Lyon ou Bordeaux, nos tarifs d'accompagnement n8n sont disponibles sur les pages dédiées.
FAQ - Automatisation RGPD et souveraineté des données
Qu'est-ce que le Cloud Act et pourquoi concerne-t-il mon entreprise ?
Le Cloud Act (2018) est une loi américaine qui oblige toutes les entreprises de droit américain à fournir les données stockées aux autorités US, même si ces données sont hébergées en Europe. Si vous utilisez Zapier (entreprise US), vos données clients et prospects peuvent être soumises à ce droit d'accès extra-territorial, indépendamment du RGPD.
Make (ex-Integromat) est-il vraiment conforme au RGPD ?
Make est une entreprise tchèque (UE) donc non soumise au Cloud Act américain. Elle propose un DPA signable et un hébergement en Europe (Amsterdam). Cependant, Make reste un service SaaS propriétaire : vos données transitent par leurs serveurs. La conformité RGPD est possible mais partielle - vous dépendez de leur politique de sécurité et de leurs pratiques internes.
n8n est-il difficile à installer pour une PME sans équipe technique ?
n8n self-hosted nécessite un VPS Linux (Ubuntu/Debian) avec Docker. Pour une PME sans DSI, il faut compter 1 à 2 heures de configuration initiale ou faire appel à un prestataire. 2LKATIME propose des déploiements n8n clé en main sur infrastructure souveraine française (OVHcloud, Scaleway) - contactez-nous via le bouton en bas de page.
Puis-je migrer mes automatisations Zapier ou Make vers n8n ?
Oui. n8n dispose de plus de 400 intégrations natives et couvre la quasi-totalité des cas d'usage de Zapier et Make. La migration n'est pas automatique (pas d'import direct des workflows), mais la logique est similaire. Pour des automatisations simples, comptez 30 min à 1h par workflow. Pour des workflows complexes multi-étapes, 2 à 3 heures.
Quel hébergeur français recommandez-vous pour n8n self-hosted ?
Pour une PME française, nous recommandons OVHcloud (VPS Starter à 6€/mois, datacenter Roubaix/Gravelines, certifié HDS/ISO 27001) ou Scaleway (PLAY2-PICO à 5,39€/mois, Paris, conforme SecNumCloud). Ces deux hébergeurs sont français, hors Cloud Act, et disposent de DPA adaptés au RGPD. LWS est une alternative économique à environ 3€/mois pour un usage léger.
Vous voulez passer à n8n souverain sans vous battre avec Docker ?
2LKATIME déploie n8n sur infrastructure française certifiée - OVHcloud ou Scaleway - avec configuration SSL, reverse proxy nginx et monitoring inclus. Vos workflows migrent, vos données restent en France. Audit RGPD offert lors du premier rendez-vous.