Aller au contenu principal
Technique WhatsApp API 6 min de lecture

API WhatsApp et l'opt-in RGPD : guide pour les agences push notifications

L'opt-in WhatsApp conforme RGPD est une obligation légale et technique pour les agences push. Découvrez les règles Meta, les exigences CNIL et comment collecter un consentement valide.

L'opt-in WhatsApp pour les campagnes push notifications doit satisfaire deux cadres simultanément : les politiques de Meta qui régissent l'utilisation de l'API, et le RGPD qui encadre le traitement des données personnelles en Europe. Ces deux cadres se superposent mais ne sont pas identiques. Un consentement valide selon Meta peut être insuffisant selon le RGPD, et inversement. Ce guide clarifie ce que votre agence doit mettre en place.

Ce que Meta exige pour l'opt-in WhatsApp API

Meta impose une règle claire : vous ne pouvez envoyer des messages business-initiated qu'à des contacts qui ont explicitement consenti à recevoir des messages WhatsApp de votre entreprise (ou de votre client).

Les exigences spécifiques de Meta :

  • Le consentement doit être obtenu avant le premier envoi — jamais a posteriori.
  • L'opt-in doit mentionner explicitement WhatsApp comme canal. Un consentement générique pour les communications marketing ne suffit pas.
  • Le nom de l'entreprise expéditrice doit être clairement identifiable dans le mécanisme d'opt-in.
  • Vous devez proposer une option de désinscription claire dans chaque message marketing (bouton "Se désabonner" ou instruction textuelle).
  • L'opt-in doit être documenté : Meta peut vous demander des preuves en cas de plainte.

Meta n'impose pas de format technique spécifique pour l'opt-in. Il peut être collecté via un formulaire web, une case à cocher, un message entrant du contact, un QR code, ou tout autre mécanisme traçable.

Ce que le RGPD ajoute

Le RGPD impose des obligations supplémentaires qui vont au-delà des exigences Meta :

Base légale. Pour les communications marketing, la base légale est le consentement (Article 6.1.a). Ce consentement doit être :

  • Libre (pas de case pré-cochée, pas de conditionnement à un service)
  • Éclairé (le contact sait ce qu'il accepte, pourquoi, et pour combien de temps)
  • Spécifique (un consentement pour WhatsApp marketing ne vaut pas pour d'autres canaux)
  • Univoque (geste actif, pas d'inaction)
  • Révocable à tout moment

Registre des traitements. L'envoi de messages WhatsApp marketing constitue un traitement de données personnelles (numéros de téléphone). Ce traitement doit figurer dans votre registre RGPD.

Droit à l'effacement. Si un contact demande la suppression de ses données, son numéro doit être supprimé de vos listes d'envoi — et vous devez pouvoir le prouver.

Transfert hors UE. Les données traitées via l'API WhatsApp transitent par les serveurs de Meta. Meta étant une entreprise américaine soumise au Privacy Shield et aux SCCs (Standard Contractual Clauses), vérifiez que votre BSP héberge les données en UE et signe un DPA (Data Processing Agreement) conforme.

Whakup héberge son infrastructure en Europe et propose un DPA RGPD. C'est un prérequis à vérifier avec n'importe quel fournisseur d'API WhatsApp Business que vous évaluez.

Comment collecter un opt-in WhatsApp valide en pratique

Voici les mécanismes d'opt-in les plus courants et leurs contraintes :

Mécanisme Validité Meta Validité RGPD Recommandation
Case à cocher dans un formulaire web Oui (si non pré-cochée) Oui (si non pré-cochée) Recommandé
Message entrant de l'utilisateur (opt-in conversationnel) Oui Oui Recommandé
QR code vers conversation WhatsApp Oui Oui (avec confirmation) Recommandé
Import de contacts existants sans re-consentement Non Non À proscrire
Case pré-cochée Non Non À proscrire
Consentement obtenu lors d'un achat (sans mention WhatsApp) Non Non À proscrire

Le mécanisme le plus robuste reste la double confirmation : le contact coche une case sur un formulaire web puis reçoit un message WhatsApp de confirmation auquel il répond "OUI". Ce double opt-in est plus contraignant à mettre en place mais offre une preuve irréfutable du consentement.

Gérer l'opt-out et la désinscription

Le désinscription est aussi importante que l'opt-in. Vos obligations :

  • Inclure une option de désinscription dans chaque message marketing. L'API WhatsApp permet d'ajouter un bouton "Se désabonner" directement dans le template. C'est la méthode recommandée.
  • Traiter les désinscriptions dans les 24 heures. Délai recommandé par la CNIL pour les communications marketing.
  • Bloquer techniquement les re-envois. Un contact qui s'est désabonné ne doit pas pouvoir être réajouté à une liste d'envoi sans nouveau consentement explicite.
  • Tracer les désinscriptions. Date, heure, identifiant du contact — pour prouver le respect du droit d'opposition en cas de contrôle.

Pour les agences qui gèrent des listes pour le compte de leurs clients, assurez-vous que le système de gestion des désabonnements est synchronisé avec le CRM ou la base de données du client. Un contact qui s'est désabonné côté WhatsApp ne doit pas recevoir de campagne le lendemain depuis une liste importée depuis le CRM.

Les détails sur la conformité RGPD dans les architectures WhatsApp multi-tenant sont couverts dans notre guide sur le statut Meta Tech Provider.

FAQ

Puis-je importer une liste de clients existants et leur envoyer un message WhatsApp ?

Non, pas directement. Importer des contacts existants et leur envoyer un message sans consentement préalable spécifique à WhatsApp est une violation des politiques Meta et du RGPD. Vous devez d'abord collecter un opt-in WhatsApp explicite via un autre canal (email, SMS, formulaire web).

La politique de confidentialité du site web suffit-elle comme base pour l'opt-in WhatsApp ?

Non. Une politique de confidentialité informe les utilisateurs sur les traitements effectués, mais ne constitue pas un consentement actif. Le consentement RGPD pour les communications marketing doit être un geste actif et explicite, séparé de l'acceptation des CGU ou de la politique de confidentialité.

Comment prouver le consentement en cas de contrôle CNIL ?

Vous devez conserver les preuves de consentement : horodatage, identifiant du contact, formulaire ou mécanisme utilisé, version du texte présenté au moment du consentement. Ces données doivent être conservées pendant la durée de la relation commerciale plus 3 ans.

Un contact qui initie lui-même une conversation WhatsApp a-t-il donné son opt-in ?

Pour les réponses immédiates dans la fenêtre de 24 heures, oui — le contact a clairement consenti à interagir. Mais cela ne vaut pas comme opt-in permanent pour des campagnes marketing ultérieures. Profitez de cette conversation pour collecter un opt-in explicite si vous souhaitez recontacter ce contact en dehors de la fenêtre ouverte.


L'opt-in WhatsApp conforme RGPD n'est pas une formalité. C'est la fondation sur laquelle repose la délivrabilité de vos campagnes push et la protection légale de votre agence et de vos clients. Investissez dans un processus de collecte de consentement rigoureux dès le départ. Pour découvrir comment structurer votre infrastructure WhatsApp de façon conforme, consultez la documentation complète de l'API Whakup et notre guide complet de l'API WhatsApp Business.

#technique api whatsapp#opt-in whatsapp rgpd#push notifications
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit