C’est dû au fait qu’on utilise des fonctions grist.docApi.fetchTable('_grist_Tables') et grist.docApi.fetchTable('_grist_Tables_column') pour récupérer les métadonnées et elles sont affectées par la règle de permission par défaut même si la table spécifique a une règle qui autorise l’accès.
En fait c’est un souci connu et reporté ici : Incorrect user rights check when using custom widgets · Issue #1780 · gristlabs/grist-core · GitHub
J’ai posté un message à Dmitry pour savoir s’il y avait une alternative pour appeler les metadonnées depuis le code du custom widget. Sinon il faudra attendre une correction… Affaire à suivre !