Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 3 juin 2026
Accueil/RGPD/Airtable et RGPD : guide de conformité 2026
RGPD

Airtable et RGPD : guide de conformité 2026

Airtable est-il conforme au RGPD ? Analyse du DPA, transferts hors UE, AI Airtable, contrôles d'accès et configuration recommandée pour DPO et PME.

Par Thiébaut DevergrannePublie le 3 juin 2026Mis a jour le 3 juin 20269 min de lecture
Sommaire
  1. Qualification juridique : Airtable sous-traitant
  2. Analyse du DPA Airtable
  3. Localisation des données et transferts hors UE
  4. Airtable AI : la nouveauté qui change l’analyse
  5. Configuration recommandée pour la conformité RGPD
  6. Cas particuliers
  7. FAQ : Airtable et RGPD

Airtable s’est imposé comme l’outil de référence des équipes opérationnelles voulant structurer leurs données sans solliciter la DSI : bases CRM légères, suivi de projets, gestion éditoriale, candidatures RH, inventaires, suivi commercial. Pour le responsable de traitement et le DPO, Airtable soulève des questions RGPD particulières liées précisément à sa facilité d’usage : la plateforme se déploie souvent sans validation IT, les équipes y rangent toutes sortes de données personnelles (candidats, prospects, clients, salariés), et les contrôles d’accès reposent en grande partie sur la discipline des utilisateurs.

Dans ma pratique de conseil auprès de DPO d’entreprises tech et marketing françaises, Airtable soulève quatre questions structurantes : la qualification juridique d’Airtable et son architecture contractuelle, la localisation des données et les transferts hors UE (Airtable est une entreprise américaine), les implications d’Airtable AI sur les bases légales et l’AIPD, et le risque opérationnel d’usage non maîtrisé par les équipes métier (shadow IT).

Pour une vue d’ensemble des outils de productivité, voir nos analyses de Notion, Asana, Monday.com.

Qualification juridique : Airtable sous-traitant

Le statut au sens de l’article 28 RGPD

Formagrid, Inc. (DBA Airtable, États-Unis) — via son entité contractante européenne pour les abonnements appropriés — agit en qualité de sous-traitant au sens de l’article 28 du RGPD pour l’ensemble des services Airtable. Votre organisation détermine les finalités (gestion de projet, CRM léger, suivi opérationnel, recrutement) et les moyens essentiels (qui dispose d’un compte, quelles bases sont créées, quelles données sont saisies, quels collaborateurs externes sont invités). Airtable fournit l’infrastructure et traite les données selon les instructions documentées du client.

La qualification est sans ambiguïté pour les fonctionnalités de base : bases de données, vues, automations, formulaires, interfaces.

Le risque de shadow IT

C’est le sujet le plus structurant pour Airtable. La plateforme se prête particulièrement bien au déploiement par les équipes métier sans validation centrale :

  • Une équipe RH crée une base candidats
  • Une équipe commerciale crée une base prospects
  • Une équipe support crée une base réclamations
  • Une équipe finance crée une base notes de frais avec données salariées

Sans gouvernance, ces bases accumulent des données personnelles sans inscription au registre, sans base légale documentée, sans durée de conservation, sans contrôle d’accès maîtrisé. Le DPO peut découvrir l’existence de plusieurs dizaines de bases lors du premier audit interne.

Recommandation prioritaire : instaurer une politique d’usage Airtable validée par le DPO avant tout déploiement large, avec inventaire centralisé des bases contenant des données personnelles.

Analyse du DPA Airtable

Le DPA Airtable est intégré aux conditions de service et peut être contre-signé pour les abonnements Team, Business et Enterprise. Évaluation au regard de l’article 28 RGPD :

Exigence Art. 28 RGPD Couverture dans le DPA Airtable Évaluation
Traitement uniquement sur instruction documentée (28.3.a) Oui, périmètre fixé par le contrat Conforme
Confidentialité du personnel (28.3.b) Engagements internes, NDA salariés Conforme
Mesures de sécurité Art. 32 (28.3.c) SOC 2 Type II, ISO 27001, ISO 27018, chiffrement TLS et au repos Conforme
Autorisation sous-sous-traitance (28.3.d) Liste publiée, notification des évolutions Conforme avec vigilance
Aide à l’exercice des droits (28.3.e) API d’exports, suppression utilisateur Conforme
Aide aux Art. 32-36 (28.3.f) Notification de violation sous 72h Conforme
Suppression en fin de prestation (28.3.g) Export possible, suppression dans le délai contractuel Conforme
Audit du sous-traitant (28.3.h) Rapports SOC, audits encadrés Enterprise Conforme avec réserve

Le plan Enterprise Scale propose des fonctionnalités renforcées : SAML SSO obligatoire, audit logs détaillés, contrôles de partage externes restrictifs, gestion centralisée des invités. Pour une organisation de plus de 50 utilisateurs ou traitant des données sensibles via Airtable, c’est le seuil structurant.

Localisation des données et transferts hors UE

Airtable héberge les données client sur infrastructure AWS aux États-Unis par défaut. À ma connaissance, en 2026, Airtable ne propose pas d’option de résidence européenne native (à vérifier au moment du déploiement, l’offre évoluant).

Les transferts vers les États-Unis reposent sur :

  1. Data Privacy Framework (DPF) — Airtable est certifié
  2. Clauses contractuelles types (CCT 2021/914) — incluses dans le DPA Airtable

Pour les organisations particulièrement sensibles à la souveraineté (administrations, secteurs régulés), l’absence de résidence EU est un point d’attention qui peut conduire à privilégier des alternatives européennes pour les usages les plus sensibles.

Airtable AI : la nouveauté qui change l’analyse

Airtable AI, déployé progressivement depuis 2023-2024, propose des fonctionnalités d’IA générative : résumés de contenu, catégorisation automatique, génération de texte, traduction. Selon les engagements publiés par Airtable :

  • Les données client ne sont pas utilisées pour entraîner les modèles
  • Le traitement IA s’effectue sous DPA avec les fournisseurs LLM (OpenAI, Anthropic selon les fonctionnalités)
  • Les sorties sont propres au tenant client

Sur le plan RGPD, Airtable reste sous-traitant pour ces usages. Trois actions côté DPO :

  1. Documenter Airtable AI dans le registre comme finalité distincte si activé
  2. Conduire une AIPD si Airtable AI est utilisé sur des données sensibles ou à grande échelle
  3. Mettre à jour les mentions d’information pour signaler l’usage d’IA

Les recommandations CNIL sur l’IA s’appliquent.

Configuration recommandée pour la conformité RGPD

1. Gouvernance et inventaire

  • Politique d’usage Airtable validée par DPO + DSI + direction
  • Validation préalable par le DPO pour toute base contenant des données personnelles structurées
  • Inventaire centralisé des bases avec données personnelles dans le registre
  • Référent Airtable par équipe (RH, commercial, marketing, etc.)

2. Contrôles d’accès

  • SSO obligatoire (SAML disponible sur Business et Enterprise)
  • MFA imposée pour tous les utilisateurs
  • Permissions granulaires par base : créateur, éditeur, commentateur, lecteur
  • Restriction du partage externe : politique claire sur les invitations et liens publics
  • Audit régulier des permissions et accès partagés (les liens partagés peuvent rester actifs longtemps)

3. Politiques de rétention

Par défaut, Airtable conserve les données sans limite. À configurer par base :

  • Bases candidats : suppression à 2 ans après dernier contact (référentiel CNIL recrutement)
  • Bases prospects : suppression à 3 ans après dernier contact
  • Bases clients actifs : durée de la relation + 5 ans (prescription commerciale)
  • Bases sensibles : durée justifiée par la finalité, le plus court raisonnable

L’effacement effectif relève de la responsabilité opérationnelle (Airtable propose des suppressions manuelles ou automatisées via Scripting Block et API).

4. Champs personnalisés et minimisation

Auditer les champs créés dans chaque base. Pour chaque champ contenant des données personnelles :

  • La finalité justifie-t-elle la collecte ?
  • Le champ est-il minimisé ?
  • La durée de conservation est-elle documentée ?
  • L’accès est-il restreint aux personnes ayant un besoin justifié ?

5. Sous-sous-traitance via extensions et API

L’écosystème Airtable inclut des extensions, des intégrations Zapier/Make, des API custom. Chaque connexion expose des données à des sous-sous-traitants. À documenter :

  • Liste des extensions installées par base
  • Liste des intégrations actives (Zapier, Make, n8n, intégrations natives)
  • Base légale et garanties pour chaque flux sortant
  • Suppression des intégrations inactives ou non maîtrisées

6. Données sensibles

Airtable n’est pas conçu pour le traitement systématique de données sensibles Art. 9 RGPD. Pour les structures qui en traitent :

  • Politique stricte : interdire la création de bases contenant des données sensibles
  • Encryption supplémentaire des champs sensibles (Field-level encryption via solution tierce si nécessaire)
  • Alternative dédiée pour les usages sensibles : système métier interne ou SaaS spécialisé HDS pour la santé

Cas particuliers

Airtable pour le recrutement RH

L’usage d’Airtable comme base candidats est très répandu. Points d’attention :

  • Inscription au registre comme traitement RH
  • Durée de conservation alignée sur le référentiel CNIL recrutement (2 ans après dernier contact, avec accord du candidat)
  • Information des candidats dans le formulaire de candidature (sous-traitant Airtable mentionné)
  • Suppression effective au terme de la durée

Airtable comme CRM léger

L’usage CRM relève des règles de prospection commerciale (prospection RGPD). Bases légales différenciées B2B/B2C, durées de conservation conformes (3 ans après dernier contact prospects), droits des personnes opérationnels.

Airtable pour le suivi des collaborateurs

L’usage pour le suivi RH (formations, congés, notes de frais) relève du contrôle d’activité salarié. Information du CSE recommandée, charte informatique mise à jour, accès strictement limité aux RH et management direct.

FAQ : Airtable et RGPD

Airtable est-il conforme au RGPD ?

L’architecture contractuelle d’Airtable (DPA, certifications, mécanismes de transferts) est conforme à l’article 28 RGPD. La conformité d’ensemble dépend largement de la gouvernance interne — Airtable étant un outil prêté à des usages décentralisés, le risque principal réside dans le shadow IT et l’absence d’inventaire.

Les données saisies dans Airtable sont-elles utilisées pour entraîner Airtable AI ?

Non — engagement contractuel d’Airtable. Les fonctionnalités IA opèrent sans réutilisation des données client pour l’entraînement.

Airtable propose-t-il une résidence européenne ?

À ma connaissance, en 2026, l’hébergement reste majoritairement aux États-Unis. Vérifier les évolutions de l’offre au moment du déploiement, Airtable ayant pu introduire des options EU pour les plans Enterprise.

Comment gérer une demande d’effacement sur Airtable ?

La suppression des enregistrements peut être effectuée manuellement par l’utilisateur autorisé ou via l’API. Pour les demandes touchant des données réparties sur plusieurs bases, la procédure interne doit identifier tous les emplacements et documenter les suppressions effectuées. Voir notre modèle de réponse aux demandes d’accès pour structurer la procédure.

Faut-il une AIPD pour utiliser Airtable dans une PME ?

Pas systématiquement. Une AIPD devient obligatoire si Airtable héberge des bases traitant des données sensibles à grande échelle, du profilage, ou des décisions automatisées affectant les personnes. Pour une PME standard utilisant Airtable comme CRM ou suivi de projet, une simple inscription au registre suffit.

Comment limiter le risque de shadow IT Airtable ?

Trois leviers cumulatifs : politique d’usage formalisée et communiquée, validation préalable du DPO pour les bases contenant des données personnelles, audit interne annuel des bases existantes. La sensibilisation des équipes utilisatrices au RGPD est complémentaire — un éditeur RH ou commercial mal formé créera des bases à risque sans intention malveillante.

Pour structurer l’inventaire Airtable et automatiser la documentation des sous-traitants au registre, un logiciel RGPD permet de centraliser le suivi et de générer la documentation conforme.

Articles lies

RGPD

Article 72 RGPD : la procédure du CEPD décryptée

3 juin 2026 · 8 min
RGPD

Article 73 RGPD : la présidence du CEPD décryptée

3 juin 2026 · 7 min
RGPD

GitHub Copilot et RGPD : guide DPO 2026

3 juin 2026 · 11 min