Aller au contenu principal
Technique WhatsApp API 6 min de lecture

API WhatsApp et l'opt-in RGPD : guide pour les CRM

Opt-in WhatsApp et RGPD pour les CRM : obligations légales, mécanismes de collecte conformes, gestion des preuves de consentement et intégration dans votre base de contacts.

L'opt-in WhatsApp est la condition sine qua non pour envoyer des messages marketing via l'API WhatsApp Business. Contrairement au SMS où les pratiques d'opt-in varient selon les pays, WhatsApp impose ses propres règles d'obtention du consentement — en plus des obligations RGPD applicables en Europe. Pour les éditeurs de CRM, cela signifie que vous devez fournir à vos clients les bons mécanismes pour collecter, stocker et prouver le consentement de leurs contacts.

Ce que WhatsApp exige en matière d'opt-in

Meta définit des règles précises sur la façon dont le consentement doit être obtenu pour recevoir des messages WhatsApp Business. Ces règles s'appliquent indépendamment du RGPD et viennent s'y superposer :

  • Le consentement doit être explicite et spécifique à WhatsApp : "Je souhaite recevoir des messages via WhatsApp de la part de [Nom de l'entreprise]"
  • L'opt-in ne peut pas être pré-coché ni bundlé avec les CGU générales
  • L'utilisateur doit comprendre qu'il consent à recevoir des messages sur ce canal spécifique, pas seulement des communications générales
  • Le numéro de téléphone doit être collecté en même temps que le consentement, ou l'opt-in doit être recueilli sur un numéro déjà connu
  • Un mécanisme de désabonnement clair doit être fourni dès le premier message reçu

Meta peut vérifier le respect de ces règles lors d'un audit du compte. Un opt-in non conforme expose le WABA à une suspension.

RGPD : les obligations supplémentaires

Le RGPD ajoute des exigences sur la gestion et la preuve du consentement que les règles Meta seules ne couvrent pas :

Obligation RGPD Application concrète pour le CRM
Base légale documentée Consentement explicite (Art. 6.1.a) ou intérêt légitime (à justifier)
Preuve du consentement Timestamp, source, texte exact affiché au moment de l'opt-in
Droit d'accès Pouvoir montrer à un utilisateur son opt-in sur demande
Droit à l'effacement Supprimer l'opt-in et toutes les données associées sur demande
Conservation limitée Ne pas conserver un opt-in inactif indéfiniment
Transfert hors UE Si votre infrastructure stocke les données hors EU, justifier le transfert

Pour les CRM hébergés en Europe ou ciblant des entreprises européennes, le stockage des preuves de consentement doit être réalisé dans une infrastructure respectueuse du RGPD.

Mécanismes d'opt-in conformes à intégrer dans votre CRM

Opt-in via formulaire web

Le mécanisme le plus courant. Votre CRM doit enregistrer :

  • La date et l'heure exactes du consentement (timestamp UTC)
  • L'adresse IP de l'utilisateur au moment du consentement
  • L'URL de la page sur laquelle le formulaire était affiché
  • Le texte exact de la case à cocher ou du bouton au moment du consentement
  • L'identifiant de session ou du formulaire

Stockez ces métadonnées dans un champ dédié sur la fiche contact, non écrasable lors des mises à jour ultérieures.

Opt-in via message WhatsApp entrant

Quand un utilisateur envoie le premier message à un numéro WhatsApp Business, cela constitue un signal d'intérêt — mais pas un opt-in formel. Pour transformer ce contact entrant en opt-in documenté :

  1. Envoyez un message de confirmation explicite : "Souhaitez-vous recevoir nos communications WhatsApp ? Répondez OUI pour confirmer."
  2. Enregistrez la réponse "OUI" avec son timestamp comme preuve de consentement
  3. Uniquement après cette confirmation, activez les envois marketing vers ce contact

Opt-in via SMS ou email

L'opt-in WhatsApp peut être collecté sur un autre canal. Un email avec un lien "Activez vos alertes WhatsApp" ou un SMS avec un lien de landing page fonctionnent. La preuve de consentement doit toujours inclure la mention explicite de WhatsApp comme canal.

Double opt-in pour les campagnes sensibles

Pour les secteurs réglementés (finance, santé, crédit), un double opt-in est recommandé : l'utilisateur confirme son intention une première fois, puis reçoit un message de validation sur le canal WhatsApp qu'il doit confirmer à nouveau. La preuve de consentement est ainsi renforcée.

Gestion des opt-out dans le CRM

L'opt-out doit être aussi simple que l'opt-in. Votre CRM doit :

  • Détecter les mots-clés de désabonnement dans les messages entrants : STOP, ARRET, UNSUBSCRIBE, NON (selon les mots indiqués dans vos messages)
  • Déclencher automatiquement la mise à jour du statut opt-out sur la fiche contact
  • Empêcher tout futur envoi vers ce contact sur ce canal, même si un autre opérateur relance une campagne
  • Notifier le client CRM qu'un contact s'est désabonné
  • Conserver la trace de la date et du canal d'opt-out pour les audits RGPD

La gestion des opt-out doit être instantanée. Un envoi après opt-out expose votre client à une plainte CNIL et à une dégradation de son quality rating WhatsApp.

FAQ

Un opt-in email suffit-il pour envoyer des messages WhatsApp marketing ?

Non. Le consentement doit être spécifique au canal. Un utilisateur qui a accepté de recevoir vos emails n'a pas consenti à recevoir des messages WhatsApp. Vous devez obtenir un consentement distinct et explicite pour ce canal.

Comment stocker les preuves d'opt-in de façon conforme au RGPD dans un CRM multi-tenant ?

Chaque tenant (client CRM) est responsable du traitement de ses propres données de contact. Votre CRM doit proposer un schéma de données qui isole les preuves d'opt-in par tenant, avec accès restreint et capacité d'export sur demande. L'hébergement EU est recommandé — Whakup héberge ses infrastructures en Europe.

Peut-on réactiver un contact après un opt-out WhatsApp ?

Oui, mais uniquement si le contact refait une démarche active pour se réinscrire — par exemple en envoyant un nouveau message entrant ou en soumettant un nouveau formulaire d'opt-in. Vous ne pouvez pas envoyer de message pour demander à quelqu'un qui s'est désabonné s'il souhaite se réabonner.

Quelle est la durée de validité d'un opt-in WhatsApp selon le RGPD ?

Le RGPD ne fixe pas de durée maximale, mais impose que le consentement reste pertinent et actif. En pratique, un opt-in inactif depuis 24 mois (aucun message envoyé, aucune interaction) mérite d'être requalifié ou supprimé. Certaines DPA européennes recommandent de renouveler le consentement au-delà de 3 ans d'inactivité.


L'opt-in WhatsApp RGPD-conforme n'est pas un détail d'implémentation : c'est le fondement légal de chaque campagne envoyée par vos clients CRM. Une bonne gestion du consentement protège vos clients, protège votre plateforme et préserve le quality rating de chaque numéro.

Whakup accompagne les éditeurs de CRM dans la mise en conformité de leurs intégrations WhatsApp. Découvrez notre API WhatsApp Business avec hébergement EU et architecture RGPD-ready. Pour aller plus loin, consultez notre guide complet de l'API WhatsApp Business et notre article sur les templates WhatsApp et leurs catégories.

#technique api whatsapp#opt-in whatsapp rgpd#crm
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit