Aller au contenu principal

WhatsApp pour les outils de marketing automation : gérer l'authentification OTP via l'API

Comment envoyer des codes OTP WhatsApp via l'API Business dans votre outil d'automation : templates Authentication, délais, sécurité et conformité pour les éditeurs SaaS.

Un OTP WhatsApp (One-Time Password) est un code de vérification à usage unique envoyé via l'API WhatsApp Business pour authentifier un utilisateur — connexion, validation d'adresse, double authentification. Classé dans la catégorie "Authentication" de Meta, c'est le type de message le moins cher de l'API et le plus simple à faire approuver. Pour un éditeur SaaS ou une plateforme d'automation intégrant de la gestion d'identité, brancher l'OTP WhatsApp à la place ou en complément du SMS est une décision technique qui mérite un examen précis.

OTP WhatsApp vs OTP SMS : ce que les équipes techniques doivent savoir

Le SMS reste la référence pour l'OTP, mais WhatsApp offre des avantages concrets pour certains contextes :

Critère OTP SMS OTP WhatsApp
Coût (France) 0,06-0,08 € ~0,0336 € (0,0088 € BSP + 0,0248 € Meta)
Interception SIM swap Vulnérable Plus résistant (compte chiffré)
Délivrabilité internationale Variable selon opérateur Stable si l'utilisateur a WhatsApp
Rich media (bouton "Copier le code") Non Oui
Disponibilité sans WhatsApp Toujours Seulement si WhatsApp installé

Le cas d'usage idéal pour l'OTP WhatsApp est une base d'utilisateurs mobile-first sur des marchés où WhatsApp est dominant (Europe, MENA, Amérique latine, Afrique). Pour des marchés professionnels B2B, l'adoption est plus variable — gardez le SMS en fallback.

Template Authentication : spécificités techniques

Meta dispose d'une catégorie dédiée pour les OTP : "Authentication". Cette catégorie offre des avantages spécifiques par rapport aux templates Marketing ou Utility :

  • Approbation quasi-instantanée : les templates Authentication avec un format standard (code + bouton "Copier") sont approuvés en quelques minutes à quelques heures.
  • Bouton natif "Copier le code" : Meta propose un composant de bouton qui copie automatiquement le code dans le presse-papiers. L'utilisateur ne doit pas taper manuellement.
  • TTL (Time To Live) configurable : vous pouvez définir la durée de validité du code directement dans le template (ex. "Ce code est valable 10 minutes").
  • Pas de lien externe requis : contrairement aux templates Marketing, aucune URL n'est nécessaire.

Exemple de structure de template Authentication :

Votre code de vérification {{app_name}} est : {{otp_code}}
Ce code expire dans {{expiry_time}} minutes.
[Bouton : Copier le code]

Les variables {{app_name}}, {{otp_code}} et {{expiry_time}} sont renseignées dynamiquement à l'envoi.

Intégration dans un flux d'authentification

Voici le flux technique standard pour une OTP WhatsApp dans une plateforme SaaS :

  1. L'utilisateur déclenche l'authentification (connexion, changement de mot de passe, validation d'email).
  2. Votre backend génère un code OTP (6 chiffres, durée de vie 10 minutes maximum recommandée).
  3. Appel API : POST /messages avec le template Authentication, le numéro de l'utilisateur et les variables (code, nom de l'app, délai d'expiration).
  4. Webhook delivered : confirmez la délivrabilité côté serveur. Si failed, déclenchez le fallback SMS.
  5. L'utilisateur saisit le code dans votre interface.
  6. Validation côté serveur : comparez le code saisi au code généré, vérifiez l'expiration, invalidez le code après utilisation.

Le point critique est le fallback : si le numéro n'a pas WhatsApp ou si la délivrabilité échoue, votre plateforme doit basculer automatiquement sur le SMS. Ne bloquez jamais l'accès utilisateur sur un seul canal.

Sécurité et conformité

L'envoi d'OTP via WhatsApp soulève des questions de sécurité spécifiques :

  • Chiffrement de bout en bout : les messages WhatsApp sont chiffrés E2E, ce qui signifie que ni Whakup ni Meta ne peuvent lire le contenu du code en transit. C'est un avantage sur le SMS, qui transite en clair sur le réseau téléphonique.
  • Pas de stockage du code côté BSP : Whakup ne stocke pas le contenu des messages — votre code OTP ne réside que dans vos systèmes et dans le thread WhatsApp de l'utilisateur.
  • RGPD : le numéro de téléphone est une donnée personnelle. Assurez-vous que votre accord de traitement des données (DPA) avec Whakup est en place et que l'hébergement EU est documenté dans votre politique de confidentialité.
  • Rate limiting anti-bruteforce : gérez côté plateforme la limitation du nombre d'envois OTP par numéro par heure pour éviter les abus.

Pour le détail de l'accès API sans certification Meta en propre, lisez notre article sur Meta Tech Provider WhatsApp.

FAQ

L'OTP WhatsApp nécessite-t-il un opt-in de la part de l'utilisateur ?

Les messages Authentication ont un statut particulier : ils sont envoyés en réponse à une action initiée par l'utilisateur (demande de connexion, de vérification). Meta considère que l'initiation de l'action vaut consentement implicite pour recevoir le code. Cependant, il est recommandé d'informer l'utilisateur dès l'inscription que les codes de vérification peuvent être envoyés via WhatsApp.

Peut-on utiliser le même numéro WhatsApp Business pour les OTP et les campagnes marketing ?

Oui. Un numéro WhatsApp Business peut envoyer des messages de toutes catégories (Authentication, Utility, Marketing). Il est cependant conseillé de séparer les usages sur des numéros distincts si vous gérez des volumes élevés, pour éviter qu'un problème de score qualité sur les campagnes marketing n'impacte la délivrabilité des OTP critiques.

Quel est le délai de délivrabilité d'un OTP WhatsApp ?

Dans des conditions normales, la délivrabilité est quasi-instantanée (moins de 5 secondes). Si l'utilisateur est hors ligne, WhatsApp tente la délivrance pendant 30 jours. Pour des OTP avec TTL court (10 minutes), implémentez une logique côté plateforme : si delivered n'est pas reçu dans les 60 secondes, proposez le fallback SMS.

Peut-on tester l'envoi d'OTP en sandbox avant la mise en production ?

Oui. Whakup fournit un environnement sandbox pour tester les envois sans consommer de crédits réels. Vous pouvez valider les templates, les appels API et les webhooks de statut avant de passer en production.


L'OTP WhatsApp est l'un des cas d'usage les plus simples et les moins coûteux à déployer via l'API Business. En passant par Whakup, vos clients SaaS accèdent à l'API WhatsApp sans certification Meta propre, avec une infrastructure hébergée en Europe et conforme RGPD. Pour aller plus loin, consultez notre guide complet de l'API WhatsApp Business et notre comparatif des meilleurs BSP WhatsApp en France.

#intégration whatsapp#otp whatsapp#marketing automation
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit