OpenClaw est-il conforme au RGPD ?

Le démon auto-hébergé lui-même peut être conforme au RGPD. Le risque de transfert de données vient des appels API LLM vers des fournisseurs américains (OpenAI, Anthropic). L'utilisation d'Ollama (modèles locaux) élimine ce risque. Vos données ne quittent jamais votre serveur Hetzner.

Pourquoi Hetzner spécifiquement ?

Hetzner opère des datacenters en Allemagne (Nuremberg, Falkenstein) et en Finlande (Helsinki) — tous dans la juridiction UE. Ils sont certifiés ISO 27001, conformes au RGPD, et significativement moins chers qu'AWS ou Azure pour une puissance de calcul équivalente.

Et si j'ai besoin d'utiliser Claude ou GPT-4 plutôt qu'Ollama ?

Vous pouvez utiliser des LLM cloud, mais vous devez mettre en place la minimisation des données, avoir des DPA (accords de traitement des données) avec Anthropic/OpenAI, et informer vos utilisateurs. Consultez un spécialiste RGPD pour votre situation spécifique.

Combien coûte une configuration OpenClaw conforme au RGPD ?

Serveur Hetzner CX21 : ~6€/mois. CX31 (pour Ollama) : ~16€/mois. OpenClaw lui-même est gratuit. Coût total d'infrastructure : 6 à 16€/mois plus le temps d'implémentation.

OpenClaw & RGPD : Auto-Hébergement en Europe sur Hetzner

Les entreprises luxembourgeoises font face à certaines des réglementations RGPD les plus strictes de l’UE. Avant de déployer OpenClaw dans un contexte professionnel, comprendre les flux de données et construire une architecture conforme n’est pas optionnel — c’est une obligation légale. Ce guide fournit la configuration complète et testée pour un déploiement OpenClaw conforme au RGPD sur Hetzner Cloud.

Comprendre l’Architecture des Données d’OpenClaw

OpenClaw traite les données en deux endroits distincts. Comprendre cette séparation est le fondement de la planification de conformité RGPD.

Composant 1 : Le Démon OpenClaw (Votre Serveur)

C’est le processus Node.js tournant sur votre machine ou VPS. Il gère :

La réception des messages de votre application de messagerie
La gestion des skills et outils
Le stockage de l’historique des conversations et de la configuration
L’exécution des opérations locales (accès fichiers, contrôle navigateur, commandes shell)

Statut RGPD : Entièrement sous votre contrôle. Pas d’implication tierce. Toutes les données restent sur votre matériel.

Composant 2 : Appels API LLM (Cloud Tiers)

Chaque fois qu’OpenClaw a besoin que l’IA « réfléchisse », il envoie votre message (et contexte) à une API LLM :

Anthropic (Claude) : Serveurs américains
OpenAI (GPT-4) : Serveurs américains
DeepSeek : Serveurs basés en Chine
Ollama : Votre propre serveur — aucun appel API externe

Statut RGPD des LLM cloud : C’est le risque de conformité. L’envoi de données contenant des informations personnelles vers un serveur non-UE nécessite une base légale en vertu du Chapitre V du RGPD. Pour la plupart des usages pratiques, la solution la plus propre est Ollama — vos données ne quittent jamais votre infrastructure.

Pourquoi Hetzner Cloud

Hetzner est le fournisseur cloud européen préféré pour les déploiements OpenClaw pour trois raisons :

Datacenters UE uniquement : Allemagne (Nuremberg, Falkenstein) et Finlande (Helsinki) — aucune implication américaine
Prix : CX21 (2 vCPU, 4 Go RAM) à ~6€/mois — l’équivalent AWS est ~30€/mois
Conformité RGPD : Certifié ISO 27001, entreprise basée en UE, DPA disponible

Hetzner est recommandé par la documentation de déploiement OpenClaw elle-même. La communauté l’appelle « le choix RGPD ».

Configuration du Serveur : Étape par Étape

Étape 1 : Créer Votre Serveur Hetzner

Créez un compte Hetzner Cloud
Créez un nouveau projet
Ajoutez un nouveau serveur avec ces paramètres :
- Localisation : Nuremberg ou Helsinki (UE)
- OS : Ubuntu 22.04 LTS
- Type : CX21 (2 vCPU, 4 Go) pour LLM cloud ; CX31 (4 vCPU, 8 Go) si vous utilisez Ollama
- Clé SSH : Ajoutez votre clé publique (générez avec ssh-keygen -t ed25519 si nécessaire)
Notez l’adresse IP publique de votre serveur

Étape 2 : Sécurité Initiale du Serveur

Connectez-vous en SSH à votre serveur et effectuez ces étapes de durcissement :

# Se connecter au serveur
ssh root@VOTRE_IP_SERVEUR

# Tout mettre à jour
apt update && apt upgrade -y

# Créer un utilisateur non-root
adduser admin-openclaw
usermod -aG sudo admin-openclaw

# Copier la clé SSH vers le nouvel utilisateur
cp -r ~/.ssh /home/admin-openclaw/.ssh
chown -R admin-openclaw:admin-openclaw /home/admin-openclaw/.ssh

# Désactiver la connexion SSH root et l'authentification par mot de passe
nano /etc/ssh/sshd_config
# Définir : PermitRootLogin no
# Définir : PasswordAuthentication no
# Définir : PubkeyAuthentication yes
systemctl restart sshd

# Passer à l'utilisateur non-root pour la suite
su - admin-openclaw

Étape 3 : Configurer le Pare-feu (UFW)

sudo apt install ufw -y

# Par défaut : refuser tout entrant, autoriser tout sortant
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Autoriser SSH uniquement
sudo ufw allow 22/tcp

# Activer le pare-feu
sudo ufw enable
sudo ufw status

Critique : N’ouvrez PAS de port spécifique OpenClaw sur internet public. OpenClaw doit être accessible uniquement via le tunnel sécurisé configuré à l’étape 7.

Étape 4 : Installer fail2ban

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Vérifier
sudo fail2ban-client status

fail2ban bloque automatiquement les IP qui échouent plusieurs fois à la connexion SSH — protection essentielle contre les attaques par force brute.

Étape 5 : Installer Node.js 22

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.7/install.sh | bash
source ~/.bashrc
nvm install 22
nvm use 22
nvm alias default 22
node --version

Étape 6 : Installer Ollama (LLM Conforme RGPD)

Utiliser Ollama garde tout le traitement IA sur votre serveur Hetzner — aucune donnée ne quitte l’UE.

curl -fsSL https://ollama.ai/install.sh | sh

# Télécharger un modèle capable (selon la RAM du serveur)
# CX21 (4 Go RAM) : utilisez des modèles plus petits
ollama pull mistral         # 7B, ~4 Go — convient au CX21
ollama pull gemma:2b        # 2B, ~1,5 Go — très rapide

# CX31 (8 Go RAM) : recommandé pour de meilleures performances
ollama pull llama3          # 8B, ~5 Go — excellent équilibre
ollama pull deepseek-r1:7b  # 7B, raisonnement solide

# Tester Ollama
ollama run mistral "Bonjour, quelle est la date d'aujourd'hui ?"

# Activer Ollama comme service
sudo systemctl enable ollama
sudo systemctl start ollama

Étape 7 : Configurer un Accès Sécurisé avec Tailscale

Au lieu d’exposer OpenClaw sur internet, utilisez Tailscale (VPN basé sur WireGuard) pour y accéder depuis vos appareils via un tunnel chiffré.

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Notez votre IP Tailscale (format 100.x.x.x)
tailscale ip -4

Installez Tailscale sur votre téléphone et laptop. Une fois connecté, vous accéderez à OpenClaw via l’IP Tailscale — jamais l’IP internet publique.

Étape 8 : Installer et Configurer OpenClaw

npm install -g openclaw@latest
openclaw onboard --install-daemon

Pendant l’onboarding :

Fournisseur LLM : Sélectionnez Ollama
URL Ollama : http://localhost:11434 (par défaut)
Modèle : Sélectionnez le modèle téléchargé (ex. llama3)
Messagerie : Connectez votre WhatsApp ou Telegram

Étape 9 : Configurer les Paramètres de Sécurité OpenClaw

Éditez ~/.openclaw/config.json :

{
  "llm": {
    "provider": "ollama",
    "baseUrl": "http://localhost:11434",
    "model": "llama3",
    "maxTokens": 4096
  },
  "security": {
    "requireConfirmation": true,
    "allowedPaths": ["/home/admin-openclaw/workspace"],
    "blockedCommands": ["rm -rf", "format", "dd", "mkfs", "shutdown", "reboot"],
    "maxConcurrentTasks": 3,
    "rateLimit": {
      "messagesPerHour": 100
    }
  },
  "privacy": {
    "logRetentionDays": 30,
    "anonymizeInLogs": true
  }
}

Étape 10 : Mises à Jour Automatiques

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

# Tâche cron pour les mises à jour OpenClaw (hebdomadaire, lundi à 3h)
(crontab -l 2>/dev/null; echo "0 3 * * 1 npm update -g openclaw && systemctl restart openclaw") | crontab -

Cartographie RGPD des Données OpenClaw

Avant la mise en production, complétez cet exercice de cartographie :

Type de données	Où traité	Base légale	Rétention	Risque
Vos messages	Serveur Hetzner (UE)	Intérêt légitime	30 jours	Faible
Contenu emails	Serveur Hetzner (UE)	Exécution contrat	Traitement uniquement	Faible
Noms clients	Serveur Hetzner (UE)	Intérêt légitime	30 jours	Faible
Prompts LLM	Ollama sur Hetzner	N/A (local)	Non stocké	Aucun

Si vous passez à un LLM cloud (OpenAI/Claude), la ligne prompts LLM change en « serveur US » et la colonne risque passe à « Élevé — nécessite DPA et revue de base légale ».

Checklist de Sécurité Mensuelle

Exécuter npm update -g openclaw et vérifier la version
Exécuter sudo apt update && sudo apt upgrade -y
Vérifier les logs OpenClaw pour anomalies : journalctl -u openclaw --since "30 days ago"
Vérifier les IP bloquées par fail2ban : sudo fail2ban-client status sshd
Passer en revue les skills installées — supprimer celles non utilisées
Vérifier l’intégrité des sauvegardes

Le Bilan pour les Entreprises Luxembourgeoises

Un OpenClaw correctement configuré sur Hetzner avec Ollama est :

Entièrement conforme au RGPD — toutes les données restent dans l’UE
Sécurisé — pare-feu, fail2ban, clés SSH, pas d’exposition publique
Abordable — 16€/mois d’infrastructure totale
Maintenu — mises à jour de sécurité automatiques

Ce n’est pas une configuration de week-end — cela prend 2 à 4 heures pour configurer correctement. Mais une fois opérationnel, vous avez une sécurité de niveau entreprise au coût d’une PME.

dcode fournit cette configuration complète comme service géré pour les entreprises luxembourgeoises. Nous gérons le provisionnement Hetzner, le durcissement sécurité, la configuration OpenClaw et la maintenance continue. Obtenez une consultation gratuite.