Airtable et RGPD en 2026 : base de données no-code conforme

Airtable est devenu l'outil no-code de référence pour gérer des contacts, un CRM léger, un suivi de candidatures ou une base clients. Pratique, mais c'est aussi un endroit où s'accumulent beaucoup de données personnelles, hébergées aux États-Unis. Voici comment l'utiliser en conformité RGPD.

Les enjeux RGPD d'Airtable

1. Airtable est votre sous-traitant

Dès que vous stockez des données de personnes (clients, prospects, candidats, membres) dans une base Airtable, vous restez responsable de traitement et Airtable (Formagrid, Inc., États-Unis) agit comme sous-traitant au sens de l'article 28. Vous devez disposer d'un DPA.

Airtable propose un Data Processing Addendum accessible depuis ses pages légales. Conservez-en une copie. Pour vos obligations, voir notre guide sous-traitant et DPA.

2. Transfert de données hors UE

Airtable est une société américaine. Son usage implique un transfert hors UE, encadré par le Data Privacy Framework et des clauses contractuelles types. Mentionnez ce transfert dans votre politique de confidentialité. Voir notre guide des transferts hors UE.

3. Le risque n°1 : les partages publics

Airtable rend très facile le partage d'une base via un lien. Une base partagée en lecture publique contenant des emails, des noms ou des données sensibles est une violation de données potentielle. Auditez régulièrement vos liens de partage : passez-les en accès restreint, désactivez les liens non utilisés. Une fuite de ce type doit être notifiée à la CNIL sous 72h.

Configurer Airtable pour être conforme

Étape 1 — Minimiser et structurer

Ne stockez que les champs nécessaires. Évitez les colonnes « notes » fourre-tout qui finissent par contenir des données sensibles non maîtrisées. Séparez les bases sensibles des bases anodines pour mieux contrôler les accès.

Étape 2 — Maîtriser les accès

• Limitez les collaborateurs au strict nécessaire (principe du moindre privilège).
• Utilisez les permissions par base plutôt qu'un accès workspace global.
• Révoquez immédiatement les accès des anciens collaborateurs.

Étape 3 — Définir des durées de conservation

Airtable ne purge rien. Programmez un nettoyage régulier (automatisation ou revue manuelle trimestrielle) : suppression des prospects froids, des candidatures anciennes (cf. recrutement et CV), des données clients hors relation commerciale. Documentez les durées dans votre registre des traitements et notre guide des durées de conservation.

Étape 4 — Attention aux formulaires Airtable

Les Airtable Forms embarqués ou liés sur votre site collectent des données directement. Ajoutez une mention d'information et une case de consentement si nécessaire (cf. formulaire de contact conforme).

Étape 5 — Mentionner Airtable dans la politique de confidentialité

"Certaines de nos données (contacts, suivi clients) sont gérées via Airtable (Formagrid, Inc., États-Unis, certifié au Data Privacy Framework), agissant en tant que sous-traitant. Base légale : intérêt légitime / exécution du contrat."

Modèle complet : politique de confidentialité 2026.

Cas particuliers

• Intégrations et automatisations (Zapier, Make) : chaque connecteur crée un nouveau flux et souvent un nouveau sous-traitant à documenter.
• Extensions et scripts : vérifiez qu'ils n'exfiltrent pas de données vers des services tiers non déclarés.
• Données sensibles (santé, opinions) : Airtable n'est pas conçu pour ça → évitez ou chiffrez en amont.

Checklist conformité Airtable

• [ ] DPA Airtable conservé
• [ ] Airtable mentionné dans la politique de confidentialité (DPF + finalités)
• [ ] Audit des liens de partage publics (aucun lien sensible ouvert)
• [ ] Accès collaborateurs limités au nécessaire et révoqués si départ
• [ ] Durées de conservation définies et nettoyage planifié
• [ ] Formulaires Airtable conformes (information + consentement)
• [ ] Intégrations/automatisations documentées comme sous-traitants
• [ ] Airtable inscrit dans votre registre des traitements

Scannez votre site gratuitement pour détecter les formulaires et scripts Airtable embarqués sur vos pages.