Figma et RGPD : guide de conformité 2026
Figma est-il conforme au RGPD ? DPA, transfert de données aux États-Unis, entraînement IA activé par défaut et configuration recommandée.
- Figma est sous-traitant, vous êtes responsable de traitement
- Le vrai risque : les données personnelles cachées dans vos maquettes
- L’entraînement de l’IA : activé par défaut sur les comptes Professional
- Le transfert de données hors UE
- Gérer les accès : le point de sécurité qui vous appartient
- Registre, durées de conservation et information
- Ce qu’il faut retenir
- FAQ
« Figma, c’est juste un outil de design, il n’y a pas de données personnelles là-dedans. » C’est la phrase que j’entends le plus souvent, et c’est presque toujours faux. Vos maquettes contiennent des captures d’écran de comptes clients, des prototypes remplis de vrais noms, des exports d’écrans de production. Et depuis 2024, Figma entraîne par défaut son IA sur le contenu des comptes Professional. Voici ce qu’il faut vérifier — et régler.
Figma est sous-traitant, vous êtes responsable de traitement
Figma, Inc. est une société américaine, dont le siège est à San Francisco. Dans votre relation contractuelle, elle agit comme sous-traitant au sens de l’article 28 du RGPD : elle héberge et traite pour votre compte les données que vous et vos collaborateurs déposez dans la plateforme. C’est vous — l’entreprise qui décide quoi mettre dans les fichiers et qui y donne accès — qui êtes le responsable de traitement au sens de l’Art. 4(7). Figma le confirme d’ailleurs explicitement dans sa documentation : le client est data controller, Figma est data processor.
Conséquence pratique : Figma met à disposition un Data Processing Addendum (DPA), accessible à l’adresse figma.com/dpa. Ce DPA intègre par référence le module 2 des clauses contractuelles types (CCT) de la Commission européenne dans leur version du 4 juin 2021. Tant que ce cadre contractuel n’est pas en place, vous ne disposez d’aucune base valable pour la sous-traitance exigée par l’Art. 28(3). C’est la première vérification à faire — surtout si vous utilisez un compte d’équipe monté « à l’arrache » avec des adresses professionnelles.
Mais signer le DPA ne vous rend pas conforme. Il règle un point contractuel. L’essentiel se joue dans ce que vous mettez dans vos fichiers, qui y accède, et dans deux réglages précis que je détaille plus bas.
Le vrai risque : les données personnelles cachées dans vos maquettes
C’est le point aveugle de la plupart des équipes produit et design. Un fichier Figma paraît anodin, mais il concentre souvent des données personnelles réelles :
- des captures d’écran d’interfaces contenant de vrais noms, e-mails, numéros de client ;
- des exports de bases ou de tableaux de bord pour « faire réaliste » dans une maquette ;
- des prototypes de parcours d’inscription pré-remplis avec des données de production ;
- dans FigJam, des ateliers où l’on colle des retours utilisateurs nominatifs, des verbatims, parfois des données RH.
Chacun de ces usages relève du principe de minimisation (Art. 5(1)©) : vous ne devez traiter que les données strictement nécessaires à la finalité. Concevoir une interface n’exige pas d’y injecter les vraies données de vos clients. La règle que je recommande à mes clients est simple : dans Figma, on ne travaille qu’avec des données fictives. Faux noms, adresses jetables, montants inventés. Cela supprime l’essentiel du risque à la source.
Attention particulière aux données sensibles de l’Art. 9 (santé, opinions, orientation, données biométriques) qui se glissent facilement dans une maquette d’application santé ou RH. Leur présence, même « pour l’exemple », fait basculer le fichier dans un régime bien plus strict.
L’entraînement de l’IA : activé par défaut sur les comptes Professional
C’est l’évolution majeure, et le piège le plus fréquent en 2026. Depuis le déploiement général des fonctions Figma AI (généralisées le 24 juillet 2025), Figma peut utiliser le contenu de vos fichiers pour entraîner ses modèles. Le réglage clé s’appelle content training, et son comportement par défaut dépend de votre formule :
- Comptes Starter et Professional : l’entraînement IA est activé par défaut. C’est à l’administrateur de l’équipe de le désactiver.
- Comptes Organization et Enterprise : l’entraînement est désactivé par défaut.
Autrement dit, si vous êtes une PME ou une agence sur un plan Professional — le cas le plus courant — le contenu de vos fichiers alimente potentiellement l’IA de Figma tant que vous n’avez rien touché. Or vous n’êtes, dans la plupart des cas, pas légitime à décider seul que les données figurant dans ces fichiers (celles de vos clients, de vos utilisateurs) servent à entraîner un modèle tiers. Cela pose une question de finalité et de base légale (Art. 6) distincte de celle de votre usage initial, et de transparence vis-à-vis des personnes.
Action concrète, à faire aujourd’hui : dans les paramètres de l’équipe ou de l’organisation, ouvrez la section AI / content training et désactivez l’entraînement. C’est le même réflexe que celui que je recommandais pour ChatGPT : par défaut, on coupe l’apprentissage sur ses propres données, on ne le réactive qu’en connaissance de cause. Les enjeux généraux du croisement IA et données personnelles sont détaillés dans notre dossier intelligence artificielle et RGPD.
Le transfert de données hors UE
Figma étant éditée par une société américaine et s’appuyant sur une infrastructure cloud aux États-Unis, le transfert de données hors UE est au cœur de l’analyse (chapitre V du RGPD).
Deux mécanismes se cumulent aujourd’hui. D’une part, Figma, Inc. s’est auto-certifiée au titre de l’EU-U.S. Data Privacy Framework (ainsi que de l’extension britannique et du cadre suisse) auprès du Département du commerce américain ; la décision d’adéquation de la Commission européenne du 10 juillet 2023 couvre ces transferts. D’autre part, le DPA intègre les CCT (module 2, version 2021) comme filet de sécurité. Le transfert dispose donc d’un cadre juridique valable à ce jour.
Deux nuances que je signale systématiquement. D’abord, l’adéquation DPF reste contestée et pourrait être fragilisée par un futur arrêt de la CJUE, comme l’ont été le Safe Harbor puis le Privacy Shield (jurisprudence Schrems) ; les CCT du DPA restent votre repli. Ensuite, une société américaine demeure soumise au CLOUD Act indépendamment de la localisation des serveurs. Pour des projets manipulant des données sensibles ou à grande échelle, une analyse d’impact des transferts (TIA) est recommandée. Notez que des options de résidence des données existent sur les plans Enterprise ; à défaut, considérez que vos fichiers sont traités aux États-Unis.
Gérer les accès : le point de sécurité qui vous appartient
La sécurité relève de l’article 32 selon un principe de responsabilité partagée. Figma sécurise sa plateforme ; votre part consiste à maîtriser qui accède à quoi. Et dans un outil aussi collaboratif que Figma, c’est là que se produisent les incidents.
Le partage par lien public est le premier facteur de fuite : un fichier réglé sur « toute personne disposant du lien » et indexé, c’est vos maquettes — et les données qu’elles contiennent — accessibles à n’importe qui. Vérifiez systématiquement le périmètre de partage de vos fichiers sensibles. Gérez les accès selon le principe du moindre privilège, retirez sans délai les collaborateurs externes (freelances, agences) à la fin d’une mission, et activez l’authentification à deux facteurs, voire le SSO sur les plans qui le permettent.
Une exposition non maîtrisée peut constituer une violation de données à notifier à la CNIL sous 72 heures au titre de l’article 33. Encadrez ces usages par une charte informatique qui rappelle la règle des données fictives et les consignes de partage.
Registre, durées de conservation et information
Comme pour Notion ou Canva, l’usage de Figma doit apparaître dans votre registre des activités de traitement (Art. 30) : au titre d’un outil de sous-traitance hébergeant potentiellement des données personnelles, avec mention du transfert hors UE et, le cas échéant, des ateliers FigJam nominatifs.
Côté durées de conservation (Art. 5(1)(e)), faites le ménage : archivez ou supprimez les fichiers de projets terminés qui contiennent des données réelles, videz les FigJam d’ateliers passés, et supprimez les comptes des collaborateurs partis. Un espace Figma vieux de cinq ans est une accumulation de données oubliées — exactement ce qu’un contrôle CNIL met en évidence.
Enfin, si les fichiers concernent des personnes identifiables (utilisateurs testés, participants à des ateliers), votre information au titre de l’Art. 13 doit couvrir cet usage.
Ce qu’il faut retenir
- Figma est sous-traitant (Art. 28), vous êtes responsable de traitement. Mettez en place le DPA (figma.com/dpa, CCT module 2 de 2021) — condition nécessaire, mais pas suffisante.
- Le vrai risque, ce sont vos fichiers : maquettes, captures et prototypes remplis de données réelles. Règle d’or : dans Figma, on ne travaille qu’avec des données fictives (minimisation, Art. 5(1)©).
- L’entraînement IA est activé par défaut sur les comptes Starter et Professional : désactivez le content training dans les paramètres de l’équipe (il est désactivé par défaut en Organization/Enterprise).
- Le transfert hors UE est réel : Figma, Inc. est certifiée Data Privacy Framework (adéquation du 10 juillet 2023), avec les CCT en filet ; considérez vos données comme traitées aux États-Unis.
- Votre part de sécurité : maîtrise du partage par lien, moindre privilège, retrait des externes, MFA/SSO ; registre à jour et purge des vieux fichiers.
FAQ
Figma est-il conforme au RGPD ?
Figma fournit les outils contractuels et techniques de la conformité : DPA intégrant les clauses contractuelles types, certification Data Privacy Framework, contrôle des accès, réglage d’entraînement IA. Mais la conformité dépend surtout de votre usage : nature des données déposées dans les fichiers, périmètre de partage, désactivation de l’entraînement IA et durées de conservation. Aucun outil n’est « conforme » dans l’absolu — c’est le responsable de traitement qui l’est ou non.
Figma utilise-t-il mes fichiers pour entraîner son IA ?
Cela dépend de votre formule. Sur les comptes Starter et Professional, l’entraînement sur le contenu (content training) est activé par défaut et doit être désactivé par l’administrateur de l’équipe. Sur les comptes Organization et Enterprise, il est désactivé par défaut. Vérifiez ce réglage dans les paramètres d’équipe ou d’organisation, section AI.
Les données de Figma sont-elles hébergées en Europe ?
Par défaut, non : Figma, Inc. est une société américaine dont l’infrastructure est aux États-Unis. Les transferts sont encadrés par le Data Privacy Framework et, en repli, par les clauses contractuelles types du DPA. Des options de résidence des données peuvent exister sur les plans Enterprise ; à défaut, considérez que vos fichiers sont traités aux États-Unis.
Peut-on mettre de vraies données clients dans une maquette Figma ?
C’est fortement déconseillé. Concevoir une interface n’exige pas de vraies données : le principe de minimisation (Art. 5(1)©) impose de s’en tenir au strict nécessaire. Utilisez systématiquement des données fictives, et proscrivez toute donnée sensible (Art. 9) dans les maquettes et les ateliers FigJam.
Vous souhaitez sécuriser vos outils un par un ? Recevez nos analyses conformité chaque semaine — décryptages RGPD, jurisprudence CNIL et guides pratiques, par Thiébaut Devergranne, docteur en droit et fondateur de donneespersonnelles.fr.