L'opt-in WhatsApp pour les campagnes push notifications doit satisfaire deux cadres simultanément : les politiques de Meta qui régissent l'utilisation de l'API, et le RGPD qui encadre le traitement des données personnelles en Europe. Ces deux cadres se superposent mais ne sont pas identiques. Un consentement valide selon Meta peut être insuffisant selon le RGPD, et inversement. Ce guide clarifie ce que votre agence doit mettre en place.
Ce que Meta exige pour l'opt-in WhatsApp API
Meta impose une règle claire : vous ne pouvez envoyer des messages business-initiated qu'à des contacts qui ont explicitement consenti à recevoir des messages WhatsApp de votre entreprise (ou de votre client).
Les exigences spécifiques de Meta :
- Le consentement doit être obtenu avant le premier envoi — jamais a posteriori.
- L'opt-in doit mentionner explicitement WhatsApp comme canal. Un consentement générique pour les communications marketing ne suffit pas.
- Le nom de l'entreprise expéditrice doit être clairement identifiable dans le mécanisme d'opt-in.
- Vous devez proposer une option de désinscription claire dans chaque message marketing (bouton "Se désabonner" ou instruction textuelle).
- L'opt-in doit être documenté : Meta peut vous demander des preuves en cas de plainte.
Meta n'impose pas de format technique spécifique pour l'opt-in. Il peut être collecté via un formulaire web, une case à cocher, un message entrant du contact, un QR code, ou tout autre mécanisme traçable.
Ce que le RGPD ajoute
Le RGPD impose des obligations supplémentaires qui vont au-delà des exigences Meta :
Base légale. Pour les communications marketing, la base légale est le consentement (Article 6.1.a). Ce consentement doit être :
- Libre (pas de case pré-cochée, pas de conditionnement à un service)
- Éclairé (le contact sait ce qu'il accepte, pourquoi, et pour combien de temps)
- Spécifique (un consentement pour WhatsApp marketing ne vaut pas pour d'autres canaux)
- Univoque (geste actif, pas d'inaction)
- Révocable à tout moment
Registre des traitements. L'envoi de messages WhatsApp marketing constitue un traitement de données personnelles (numéros de téléphone). Ce traitement doit figurer dans votre registre RGPD.
Droit à l'effacement. Si un contact demande la suppression de ses données, son numéro doit être supprimé de vos listes d'envoi — et vous devez pouvoir le prouver.
Transfert hors UE. Les données traitées via l'API WhatsApp transitent par les serveurs de Meta. Meta étant une entreprise américaine soumise au Privacy Shield et aux SCCs (Standard Contractual Clauses), vérifiez que votre BSP héberge les données en UE et signe un DPA (Data Processing Agreement) conforme.
Whakup héberge son infrastructure en Europe et propose un DPA RGPD. C'est un prérequis à vérifier avec n'importe quel fournisseur d'API WhatsApp Business que vous évaluez.
Comment collecter un opt-in WhatsApp valide en pratique
Voici les mécanismes d'opt-in les plus courants et leurs contraintes :
| Mécanisme | Validité Meta | Validité RGPD | Recommandation |
|---|---|---|---|
| Case à cocher dans un formulaire web | Oui (si non pré-cochée) | Oui (si non pré-cochée) | Recommandé |
| Message entrant de l'utilisateur (opt-in conversationnel) | Oui | Oui | Recommandé |
| QR code vers conversation WhatsApp | Oui | Oui (avec confirmation) | Recommandé |
| Import de contacts existants sans re-consentement | Non | Non | À proscrire |
| Case pré-cochée | Non | Non | À proscrire |
| Consentement obtenu lors d'un achat (sans mention WhatsApp) | Non | Non | À proscrire |
Le mécanisme le plus robuste reste la double confirmation : le contact coche une case sur un formulaire web puis reçoit un message WhatsApp de confirmation auquel il répond "OUI". Ce double opt-in est plus contraignant à mettre en place mais offre une preuve irréfutable du consentement.
Gérer l'opt-out et la désinscription
Le désinscription est aussi importante que l'opt-in. Vos obligations :
- Inclure une option de désinscription dans chaque message marketing. L'API WhatsApp permet d'ajouter un bouton "Se désabonner" directement dans le template. C'est la méthode recommandée.
- Traiter les désinscriptions dans les 24 heures. Délai recommandé par la CNIL pour les communications marketing.
- Bloquer techniquement les re-envois. Un contact qui s'est désabonné ne doit pas pouvoir être réajouté à une liste d'envoi sans nouveau consentement explicite.
- Tracer les désinscriptions. Date, heure, identifiant du contact — pour prouver le respect du droit d'opposition en cas de contrôle.
Pour les agences qui gèrent des listes pour le compte de leurs clients, assurez-vous que le système de gestion des désabonnements est synchronisé avec le CRM ou la base de données du client. Un contact qui s'est désabonné côté WhatsApp ne doit pas recevoir de campagne le lendemain depuis une liste importée depuis le CRM.
Les détails sur la conformité RGPD dans les architectures WhatsApp multi-tenant sont couverts dans notre guide sur le statut Meta Tech Provider.
FAQ
Puis-je importer une liste de clients existants et leur envoyer un message WhatsApp ?
Non, pas directement. Importer des contacts existants et leur envoyer un message sans consentement préalable spécifique à WhatsApp est une violation des politiques Meta et du RGPD. Vous devez d'abord collecter un opt-in WhatsApp explicite via un autre canal (email, SMS, formulaire web).
La politique de confidentialité du site web suffit-elle comme base pour l'opt-in WhatsApp ?
Non. Une politique de confidentialité informe les utilisateurs sur les traitements effectués, mais ne constitue pas un consentement actif. Le consentement RGPD pour les communications marketing doit être un geste actif et explicite, séparé de l'acceptation des CGU ou de la politique de confidentialité.
Comment prouver le consentement en cas de contrôle CNIL ?
Vous devez conserver les preuves de consentement : horodatage, identifiant du contact, formulaire ou mécanisme utilisé, version du texte présenté au moment du consentement. Ces données doivent être conservées pendant la durée de la relation commerciale plus 3 ans.
Un contact qui initie lui-même une conversation WhatsApp a-t-il donné son opt-in ?
Pour les réponses immédiates dans la fenêtre de 24 heures, oui — le contact a clairement consenti à interagir. Mais cela ne vaut pas comme opt-in permanent pour des campagnes marketing ultérieures. Profitez de cette conversation pour collecter un opt-in explicite si vous souhaitez recontacter ce contact en dehors de la fenêtre ouverte.
L'opt-in WhatsApp conforme RGPD n'est pas une formalité. C'est la fondation sur laquelle repose la délivrabilité de vos campagnes push et la protection légale de votre agence et de vos clients. Investissez dans un processus de collecte de consentement rigoureux dès le départ. Pour découvrir comment structurer votre infrastructure WhatsApp de façon conforme, consultez la documentation complète de l'API Whakup et notre guide complet de l'API WhatsApp Business.

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.
Prêt à passer à l'action ?
Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.
Démarrer l'essai gratuitArticles similaires
API WhatsApp et le conversation pricing : guide pour les agences push notifications
Le conversation pricing WhatsApp détermine le coût réel de vos campagnes push. Comprenez les catégories, les frais Meta et comment construire un modèle tarifaire rentable.
API WhatsApp et l'embedded signup : guide pour les agences push notifications
Découvrez comment l'embedded signup WhatsApp simplifie l'onboarding pour les agences push notifications : activation rapide, sans friction Meta, avec l'API Whakup.
API WhatsApp et l'opt-in RGPD : guide pour les SaaS e-commerce
Opt-in WhatsApp RGPD pour les SaaS e-commerce : comment collecter un consentement conforme, l'architecturer dans votre plateforme et éviter les sanctions Meta et CNIL.