Aller au contenu principal

WhatsApp pour les agences push notifications : gérer les alertes de sécurité via l'API

Envoyez des alertes de sécurité critiques via WhatsApp API depuis votre plateforme push notifications. Architecture, templates d'authentification, coûts et conformité RGPD.

Une alerte de sécurité doit atteindre l'utilisateur immédiatement, sur un canal qu'il consulte vraiment. Pour les agences push notifications qui gèrent des plateformes à fort enjeu (fintech, santé, e-commerce, RH), WhatsApp s'impose comme un canal de secours critique et, dans certains cas, comme canal principal. L'API WhatsApp Business permet d'envoyer des alertes de sécurité standardisées via des templates dédiés à la catégorie authentification.

Alertes de sécurité via WhatsApp : ce que permet l'API

Meta distingue trois catégories de templates WhatsApp : marketing, utility et authentification. Les alertes de sécurité relèvent selon leur nature des catégories utility ou authentication.

Catégorie authentication : codes OTP, codes de vérification à usage unique, liens de réinitialisation de mot de passe. Meta propose un template d'authentification natif avec un bouton "Copier le code" intégré. Ce template est pré-approuvé dans sa structure, vous n'avez qu'à préciser la durée de validité du code.

Catégorie utility : alertes de connexion suspecte, notifications de changement de mot de passe, confirmation de mise à jour d'informations sensibles, alertes de transaction inhabituelles. Ces messages sont liés à une action spécifique de l'utilisateur sur votre service.

Type d'alerte Catégorie Meta Coût indicatif (FR)
Code OTP / 2FA Authentication ~0,0248 €/msg
Alerte connexion suspecte Utility ~0,0336 €/msg
Confirmation changement mot de passe Utility ~0,0336 €/msg
Alerte fraude / transaction Utility ~0,0336 €/msg

La catégorie authentication est la moins coûteuse et la plus rapide à approuver. Pour les agences qui intègrent la 2FA WhatsApp dans des SaaS clients, c'est le cas d'usage le plus rentable à déployer en premier.

Architecture technique d'une alerte de sécurité WhatsApp

Le chemin critique d'une alerte de sécurité exige fiabilité et latence minimale. Voici l'architecture recommandée pour une plateforme push notifications qui intègre WhatsApp via l'API Whakup.

Flux OTP (authentification) :

  1. L'utilisateur déclenche une action sécurisée (connexion, virement, modification de compte).
  2. Votre backend génère un code OTP et l'envoie via l'API Whakup avec le template d'authentification Meta.
  3. Whakup transmet le message au numéro WhatsApp de l'utilisateur via l'API Cloud de Meta.
  4. L'utilisateur reçoit le message avec le bouton "Copier le code", saisit le code dans votre interface.
  5. Votre backend valide le code avec son propre mécanisme d'expiration.

Flux alerte non interactive :

  1. Votre système de détection déclenche une alerte (connexion depuis un nouveau pays, tentatives multiples échouées).
  2. Votre plateforme push appelle l'API Whakup avec le template utility approprié.
  3. Le message est délivré avec accusé de réception (statut delivered puis read via webhook).
  4. Si le message n'est pas lu dans un délai défini, une escalade peut être déclenchée sur un autre canal (SMS, email, appel).

La gestion des statuts de délivrance via webhooks est un point clé pour les alertes critiques. Consultez notre article sur la configuration des webhooks WhatsApp pour implémenter correctement les callbacks de statut.

Contraintes et bonnes pratiques pour les alertes de sécurité

Les alertes de sécurité sont sensibles par nature. Plusieurs points techniques méritent une attention particulière.

Fenêtre de 24h et sessions. Si l'utilisateur ne vous a pas écrit récemment, vous devez utiliser un template approuvé par Meta. Pas de message libre. Pour les OTP, le template d'authentification natif de Meta est la seule option valide en dehors d'une session active.

Opt-in obligatoire. Même pour les alertes critiques, WhatsApp exige un consentement explicite de l'utilisateur pour recevoir des messages de votre numéro. Collectez cet opt-in lors de l'inscription ou dans les paramètres de sécurité de votre service. Sans opt-in enregistré, vous risquez des signalements qui dégradent le score qualité du numéro.

Expiration des codes OTP. Le template d'authentification Meta inclut un paramètre expiration_time (en minutes). Utilisez-le pour afficher la durée de validité directement dans le message. Meta recommande 10 minutes maximum.

Ne pas centraliser tous les clients sur un seul numéro. Si votre agence gère plusieurs SaaS clients, chaque client doit avoir son propre numéro WhatsApp Business. Un incident qualité sur le numéro d'un client (signalements spam) n'impactera pas les autres. L'architecture multi-tenant de Whakup gère cette séparation nativement.

Fallback SMS. WhatsApp n'est pas garanti à 100% de délivrance (utilisateur sans connexion, compte désactivé). Pour les OTP critiques, prévoyez un fallback SMS automatique si le statut WhatsApp reste sent (non délivré) après 30 secondes.

Pour comprendre comment Whakup gère l'onboarding multi-numéros, voir la section dédiée dans notre guide de l'API WhatsApp Business.

Conformité RGPD et sécurité des données

Les alertes de sécurité transmises via WhatsApp contiennent des données personnelles sensibles (numéros de téléphone, horodatages, codes OTP). La conformité RGPD impose plusieurs exigences.

Hébergement des données. Whakup héberge son infrastructure en Union Européenne. Les messages et métadonnées ne transitent pas par des serveurs hors UE côté plateforme, ce qui simplifie la documentation de conformité.

Durée de conservation. Les logs de messages doivent être purgés selon votre politique de rétention. L'API Whakup permet de ne stocker que les métadonnées (statuts de délivrance) sans conserver le contenu des messages si vous gérez le contenu côté client.

Chiffrement en transit. Les messages WhatsApp sont chiffrés de bout en bout entre les terminaux des utilisateurs. Côté API, les échanges entre votre plateforme et l'API Whakup s'effectuent via HTTPS/TLS.

Documentation du traitement. Ajoutez WhatsApp comme canal de traitement dans votre registre des activités. L'opt-in collecté pour les alertes de sécurité constitue la base légale du traitement (contrat / intérêt légitime selon le contexte).

Pour évaluer si la mise en conformité est plus simple via un BSP externe ou en accès direct Meta, consultez notre comparaison build vs buy pour l'API WhatsApp.

FAQ

Les alertes de sécurité WhatsApp peuvent-elles remplacer les SMS OTP ?

WhatsApp peut remplacer les SMS OTP pour les utilisateurs qui ont donné leur consentement et qui ont WhatsApp installé. Pour les utilisateurs sans WhatsApp ou sans opt-in, le SMS reste le fallback indispensable. En pratique, une stratégie "WhatsApp d'abord, SMS si non délivré" réduit les coûts tout en maintenant la fiabilité.

Quel est le délai de délivrance d'une alerte WhatsApp via l'API ?

En conditions normales, la délivrance via l'API Cloud de Meta prend moins de 2 secondes. Des délais plus longs peuvent survenir si l'utilisateur est hors connexion (le message sera délivré à la reconnexion) ou en cas de pic de trafic.

Faut-il un template distinct par type d'alerte de sécurité ?

Oui. Chaque message distinct (OTP, alerte connexion, confirmation changement mot de passe) doit correspondre à un template approuvé. En revanche, un seul template avec des variables bien placées peut couvrir plusieurs variantes du même type d'alerte.

L'API WhatsApp est-elle adaptée aux volumes de 2FA à forte cadence (100 000 OTP/jour) ?

Oui, sous réserve d'avoir atteint le tier 3 de messagerie (100 000 messages/24h par numéro). La montée en tier est progressive et dépend du score qualité du numéro. Pour des volumes très élevés, l'utilisation de plusieurs numéros en parallèle est possible via l'architecture multi-tenant Whakup.


Whakup est un Meta Tech Provider certifié qui opère l'API WhatsApp Business pour les agences et les éditeurs de plateformes. Pour intégrer les alertes de sécurité WhatsApp dans votre offre push notifications, explorez l'API Whakup avec un accès sandbox disponible dès aujourd'hui.

#intégration whatsapp#alerte sécurité whatsapp#push notifications
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit