Disons-le tout de suite, Airtable est compatible avec le RGPD dans certains cas. Pas dans tous. C’est la nuance qui compte.
Je peux utiliser Airtable dans une organisation européenne, y stocker des données personnelles et rester dans un cadre RGPD. Mais je ne peux pas dire sérieusement qu’Airtable est “RGPD par défaut”, surtout si je suis sur un plan standard, avec des données hébergées aux États-Unis et des automatisations connectées à d’autres outils américains.
Le vrai sujet : quelles données je mets dedans, où elles sont stockées, qui y accède, quels sous-traitants les traitent, et quels transferts hors UE sont déclenchés.
La réponse courte
| Question | Réponse |
|---|---|
| Airtable est-il compatible RGPD ? | Oui, sous conditions |
| Airtable est-il hébergé en Europe par défaut ? | Non |
| Airtable propose-t-il une résidence des données en Europe ? | Oui, pour les clients Enterprise Scale |
| Toutes les données restent-elles en Europe avec cette option ? | Non |
| Peut-on utiliser Airtable pour des données sensibles ? | À éviter sans validation DPO solide |
| Airtable suffit-il à rendre un traitement conforme ? | Non, jamais |
Airtable indique que son programme de confidentialité est conçu pour respecter le RGPD et le UK GDPR, et met en avant plusieurs garanties de sécurité et de conformité. Mais la conformité RGPD ne dépend jamais uniquement de l’éditeur. Elle dépend aussi de l’usage réel, de la configuration, des données traitées et des flux connectés autour de l’outil.
Où sont stockées les données Airtable ?
Par défaut, les données Airtable sont hébergées aux États-Unis.
Airtable propose bien une option de data residency, mais elle est réservée aux clients Enterprise Scale. Cette option permet de stocker une partie des données de l’organisation au repos dans une région choisie : États-Unis, Europe ou Australie.
Pour l’Europe, Airtable précise que le centre de données principal est situé à Francfort, en Allemagne, avec des sauvegardes dans plusieurs zones de disponibilité à Francfort et dans un autre centre AWS en Irlande.
Donc, si je résume proprement :
| Configuration | Localisation principale |
|---|---|
| Airtable sans option de résidence UE | États-Unis |
| Airtable Enterprise Scale avec résidence UE | Allemagne, avec sauvegardes Allemagne / Irlande |
| Données hors périmètre de résidence | Certaines données restent traitées ou stockées hors région |
Et c’est là que beaucoup d’articles racontent n’importe quoi : résidence européenne ne veut pas dire souveraineté totale.
La résidence européenne ne couvre pas tout
L’option européenne améliore clairement la situation. Mais elle ne couvre pas toutes les données.
Airtable indique que la résidence européenne concerne notamment les données de base, les pièces jointes et certains historiques. Mais l’éditeur précise aussi que certaines informations restent hors du périmètre régional : données utilisateur, authentification, métadonnées, support, et certains éléments liés aux bases ou aux interfaces.
C’est un point essentiel.
Quand un éditeur SaaS annonce “données hébergées en Europe”, je regarde toujours ce qui est inclus, mais surtout ce qui est exclu.
Parce qu’en RGPD, une petite donnée personnelle reste une donnée personnelle. Une adresse email, un identifiant utilisateur, un log d’accès, une donnée de support, une métadonnée liée à une personne : tout cela peut entrer dans le périmètre.
Airtable est-il conforme au RGPD ?
Airtable propose plusieurs briques nécessaires à une utilisation conforme :
| Élément | Présence chez Airtable | Commentaire |
|---|---|---|
| DPA | Oui | Accord de traitement des données |
| SCC | Oui | Clauses contractuelles types pour certains transferts |
| Liste de sous-traitants | Oui | Publiée par Airtable |
| Certifications sécurité | Oui | SOC 2, ISO, programme de sécurité documenté |
| Résidence UE | Oui | Enterprise Scale uniquement |
| Gestion des droits | Possible | Selon configuration, API, exports, suppression |
| Conformité automatique | Non | C’est au responsable de traitement de cadrer l’usage |
Le DPA Airtable précise les conditions applicables lorsque des données personnelles client sont traitées par Airtable. Il ne devient contraignant qu’une fois correctement exécuté par les parties.
Airtable publie aussi sa liste de sous-traitants. C’est indispensable pour évaluer les flux, les pays concernés et les mécanismes de transfert applicables.
Mais je le répète : un DPA ne rend pas automatiquement votre usage conforme.
Il donne un cadre contractuel. Il ne remplace pas votre registre de traitement, votre analyse de risque, votre politique de conservation, votre contrôle des accès, ni votre arbitrage sur les transferts hors UE.
Le vrai problème : les transferts hors UE
Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers. L’article 44 pose le principe général : un transfert hors UE ne peut avoir lieu que si les conditions prévues par le chapitre V du RGPD sont respectées.
C’est ici qu’Airtable devient un sujet sensible.
Si mes données sont stockées ou traitées aux États-Unis, je dois regarder :
- le DPA ;
- les SCC ;
- les sous-traitants ;
- les transferts ultérieurs ;
- les garanties complémentaires ;
- la nature des données ;
- le niveau de risque réel ;
- le contexte juridique applicable.
Depuis Schrems II, les SCC ne suffisent pas toujours à elles seules. Le Comité européen de la protection des données recommande d’analyser les transferts et d’ajouter, si nécessaire, des mesures supplémentaires pour garantir un niveau de protection équivalent à celui de l’Union européenne.
Le Data Privacy Framework UE–États-Unis a amélioré le cadre juridique pour certaines entreprises américaines certifiées, avec une décision d’adéquation adoptée par la Commission européenne en 2023. Mais cela ne dispense pas de vérifier le cas concret : l’entreprise concernée, les flux, les données, les sous-traitants et les garanties.
En clair : je ne peux pas me contenter de dire “Airtable a un DPA, donc c’est bon”.
Non. Ce n’est pas assez sérieux.
Ce que je regarde avant d’utiliser Airtable
Avant de valider Airtable dans une organisation, je pose toujours les mêmes questions.
| Question | Pourquoi c’est important |
|---|---|
| Quelles données vont être stockées ? | Données simples, sensibles, RH, santé, mineurs ? |
| Où seront-elles hébergées ? | États-Unis ou résidence UE ? |
| Quel plan Airtable est utilisé ? | La résidence UE dépend de l’offre |
| Quels utilisateurs ont accès ? | Risque de partage trop large |
| Quelles automatisations sont connectées ? | Make, Zapier, Slack, Gmail, OpenAI, HubSpot… |
| Quels sous-traitants interviennent ? | Chaque sous-traitant ajoute un risque |
| Quelle durée de conservation ? | Le no-code accumule vite des données inutiles |
| Les personnes peuvent-elles exercer leurs droits ? | Accès, correction, suppression, export |
| Le traitement est-il documenté ? | Registre, finalité, base légale, mesures de sécurité |
| Le DPO a-t-il validé ? | Obligatoire dès que le risque monte |
Airtable peut être proprement utilisé. Mais pas en mode “on importe tout le fichier client et on verra plus tard”.
Les cas où Airtable peut être raisonnable
Je considère Airtable acceptable quand les données sont peu sensibles, bien limitées et correctement documentées.
Exemples :
- planning éditorial ;
- suivi de production contenu ;
- gestion de projets internes ;
- inventaire d’outils ;
- base de partenaires B2B ;
- suivi d’événements ;
- mini-CRM commercial peu sensible ;
- base de ressources formation ;
- gestion d’opérations marketing avec données limitées.
Dans ces cas, Airtable peut être un bon choix, à condition de cadrer le traitement : finalité claire, accès limités, durée de conservation, DPA signé, intégrations maîtrisées.
Les cas où je serais beaucoup plus prudent
Je serais nettement plus réservé avec :
- données RH ;
- données disciplinaires ;
- données de santé ;
- données de mineurs ;
- données financières sensibles ;
- données juridiques ;
- données liées à des personnes vulnérables ;
- données de collectivités ou d’acteurs publics ;
- traitements massifs de données personnelles ;
- bases connectées à des outils IA américains.
Dans ces cas, Airtable n’est pas forcément impossible. Mais il faut arrêter de raisonner en outil pratique. Il faut raisonner en risque.
Et souvent, la bonne décision consiste à choisir une solution européenne, auto-hébergée ou plus adaptée au niveau d’exigence.
Airtable + automatisations : là où le risque explose
Airtable seul est rarement le vrai problème.
Le vrai problème, c’est Airtable connecté à tout le reste.
Une base Airtable peut vite devenir un hub de données :
- formulaire public ;
- synchronisation avec Google Sheets ;
- enrichissement via API ;
- automatisation Make ou Zapier ;
- notification Slack ;
- email Gmail ;
- synchronisation HubSpot ;
- résumé par IA ;
- export vers Looker Studio ;
- traitement dans un script Python ;
- stockage dans Drive.
Chaque brique ajoute un flux. Chaque flux ajoute un sous-traitant. Chaque sous-traitant ajoute une question RGPD.
C’est exactement ce que le brouillon initial pointait déjà : le sujet Airtable ne se limite pas à Airtable, mais à l’ensemble de l’écosystème connecté autour de la base.
Si je connecte Airtable à OpenAI, Google, Zapier, Slack ou un CRM, je dois documenter ces flux. Sinon, mon dossier RGPD devient fragile.
Airtable est-il adapté aux données sensibles ?
Mon avis est simple : par défaut, non.
Pas parce qu’Airtable serait techniquement mauvais. Mais parce que le niveau de justification devient vite trop lourd.
Pour des données sensibles, je dois être capable d’expliquer :
- pourquoi Airtable est nécessaire ;
- pourquoi aucune solution plus maîtrisée n’a été retenue ;
- où les données sont stockées ;
- quels transferts existent ;
- quelles garanties sont appliquées ;
- comment les accès sont contrôlés ;
- comment les suppressions sont gérées ;
- comment les sous-traitants sont évalués ;
- comment le risque résiduel est accepté.
Si je n’ai pas ces réponses, je ne mets pas de données sensibles dans Airtable.
Comparatif : Airtable US vs Airtable résidence UE
| Critère | Airtable standard | Airtable Enterprise Scale avec résidence UE |
|---|---|---|
| Stockage principal | États-Unis | Europe pour certaines données |
| Centre UE | Non | Francfort |
| Sauvegardes UE | Non par défaut | Allemagne + Irlande |
| Transferts hors UE | Oui | Réduits, mais pas supprimés |
| Niveau de risque | Plus élevé | Plus maîtrisable |
| Coût | Plus accessible | Plus élevé |
| Adapté aux petites équipes | Oui | Rarement |
| Adapté aux données sensibles | Déconseillé | À analyser au cas par cas |
| Validation DPO | Recommandée | Recommandée aussi |
La résidence UE est une vraie amélioration. Mais je ne la présente jamais comme une garantie absolue.
Bonnes pratiques si vous utilisez Airtable avec des données personnelles
Je conseille de mettre en place un socle minimum.
1. Signer le DPA
C’est la base. Sans DPA, l’usage professionnel d’Airtable avec des données personnelles est difficile à défendre.
2. Vérifier le plan Airtable
Si l’organisation a besoin d’hébergement européen, il faut vérifier l’éligibilité réelle à Enterprise Scale et à la data residency.
3. Limiter les données stockées
La minimisation est un principe central du RGPD.
Dans Airtable, je supprime tout ce qui n’est pas nécessaire :
- champs inutiles ;
- commentaires libres trop sensibles ;
- pièces jointes non indispensables ;
- exports anciens ;
- doublons ;
- historiques non maîtrisés ;
- données personnelles importées “au cas où”.
Le “au cas où” est rarement compatible avec une bonne hygiène RGPD.
4. Verrouiller les accès
Airtable est collaboratif. Très bien. Mais un outil collaboratif mal configuré devient vite un outil trop ouvert.
Je recommande de revoir régulièrement :
- les membres du workspace ;
- les droits d’édition ;
- les accès externes ;
- les vues partagées ;
- les liens publics ;
- les anciens comptes ;
- les accès des prestataires.
5. Documenter les flux
Une base Airtable sérieuse doit avoir sa fiche de traitement.
| Élément | À documenter |
|---|---|
| Finalité | Pourquoi cette base existe |
| Données | Quels types de données sont stockés |
| Personnes concernées | Clients, prospects, salariés, partenaires |
| Base légale | Contrat, intérêt légitime, consentement… |
| Durée de conservation | Quand les données sont supprimées |
| Accès | Qui peut consulter ou modifier |
| Sous-traitants | Airtable, Make, Zapier, Google, Slack, CRM… |
| Transferts hors UE | Oui / non / garanties |
| Mesures de sécurité | Droits, MFA, logs, procédures |
| Responsable interne | Qui pilote le traitement |
6. Éviter les intégrations inutiles
Le risque vient souvent des connexions. Je ne connecte pas Airtable à un outil externe si la valeur métier est faible.
Chaque intégration doit répondre à une question simple : est-ce nécessaire ?
Si la réponse est non, je coupe.
7. Prévoir les demandes RGPD
Il faut pouvoir répondre à une demande d’accès, de rectification ou de suppression.
Cela suppose de savoir :
- où se trouve la donnée ;
- comment l’exporter ;
- comment la modifier ;
- comment la supprimer ;
- comment traiter les copies dans les outils connectés.
Supprimer une ligne dans Airtable ne suffit pas si la donnée a déjà été envoyée dans cinq autres outils.
Alternatives plus adaptées si la contrainte RGPD est forte
Si je dois réduire fortement les risques liés aux transferts hors UE, je regarde d’autres options.
| Solution | Intérêt | Limite |
|---|---|---|
| Baserow | Open source, hébergement européen ou self-hosted | Moins riche qu’Airtable sur certains usages |
| NocoDB | Open source, connecté à PostgreSQL / MySQL | Plus technique |
| SeaTable | Proche d’Airtable, options européennes | Écosystème plus réduit |
| Grist | Tableur + base structurée | Moins orienté no-code grand public |
| Odoo | Open source, large couverture métier | Plus lourd |
| Microsoft Dataverse EU | Solide en environnement Microsoft | Coût et complexité |
Je ne dis pas qu’il faut quitter Airtable à chaque fois. Je dis qu’il faut choisir l’outil selon le niveau de risque.
Pour une base de pilotage marketing, Airtable peut être très pertinent. Pour un fichier RH sensible, je préfère une solution mieux maîtrisée.
Ma position
Airtable est compatible RGPD si l’usage est cadré.
Mais Airtable n’est pas une réponse magique à la conformité.
Je retiens quatre points :
- Airtable n’héberge pas les données en Europe par défaut.
- La résidence européenne existe, mais elle est réservée à Enterprise Scale.
- Cette résidence européenne ne couvre pas toutes les données.
- La conformité dépend surtout de votre usage réel, pas seulement des garanties affichées par Airtable.
Donc ma réponse est claire.
Pour des données peu sensibles, avec un DPA signé, des accès bien réglés, une conservation maîtrisée et peu d’intégrations, Airtable peut entrer dans un cadre RGPD raisonnable.
Pour des données sensibles, des volumes importants, des traitements RH, santé, juridiques ou des bases fortement connectées à des outils américains, je demande une vraie analyse DPO. Et dans beaucoup de cas, je recommande une alternative européenne ou auto-hébergée.
La bonne question n’est pas : “Airtable est-il RGPD ?”
La bonne question est : “Est-ce que mon usage d’Airtable est défendable si un client, un DPO ou la CNIL me demande de l’expliquer ?”
⭐ Analytics engineer, Data Analyst et Automatisation IA indépendant ⭐
- Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
- Data Analyst & Analytics engineering : tracking avancé (GA4, Matomo, Piano, GTM server, Tealium, Commander Act, e-commerce, CAPI, RGPD), entrepôt de données (BigQuery, Snowflake, PostgreSQL, ClickHouse), modèles (Airflow, dbt, Dataform), dashboards décisionnels (Looker, Power BI, Metabase, SQL, Python).
- Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
- Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.