Aller au contenu principal
Technique WhatsApp API 7 min de lecture

API WhatsApp et l'opt-in RGPD : guide pour les intégrateurs

Gérer l'opt-in WhatsApp conforme au RGPD pour les intégrateurs : obligations légales, mécanismes de collecte, traçabilité des consentements et bonnes pratiques pour protéger vos clients.

L'opt-in WhatsApp RGPD est l'ensemble des obligations de consentement que doit respecter toute entreprise utilisant l'API WhatsApp Business pour contacter des utilisateurs en Europe. Pour un intégrateur — agence, éditeur SaaS, plateforme d'automatisation — ce sujet est doublement critique : vous êtes à la fois soumis au RGPD en tant que sous-traitant de vos clients, et responsable de fournir les mécanismes techniques qui permettent à ces clients de collecter et gérer les consentements de manière conforme. Un opt-in mal implémenté expose votre client à des sanctions CNIL et votre plateforme à une suspension de la part de Meta.

Ce que Meta exige en matière d'opt-in

Meta impose ses propres règles d'opt-in, indépendamment du RGPD. Ces règles sont moins détaillées que le règlement européen, mais elles constituent un plancher en dessous duquel vous ne pouvez pas aller.

Exigences Meta :

  • L'utilisateur doit avoir explicitement consenti à recevoir des messages WhatsApp de la part de l'entreprise.
  • Le consentement doit mentionner le nom de l'entreprise et le type de messages qui seront envoyés.
  • L'opt-in ne peut pas être pré-coché ou implicite.
  • L'opt-in ne peut pas être conditionné à l'accès à un service (ex. : "cochez pour recevoir nos offres WhatsApp pour finaliser votre commande" = non conforme).
  • L'entreprise doit être capable de prouver le consentement en cas d'audit Meta.

Ce que le RGPD ajoute :

  • Base légale claire (consentement libre, spécifique, éclairé et univoque — article 6.1.a).
  • Droit de retrait du consentement à tout moment, aussi simple que son octroi.
  • Conservation limitée des données de consentement.
  • Traçabilité complète : qui a consenti, quand, via quel canal, pour quel usage.

La combinaison des deux cadres — Meta + RGPD — définit les exigences minimales pour une plateforme conforme.

Les mécanismes de collecte d'opt-in valides

Il n'existe pas un seul mécanisme valide, mais plusieurs points de collecte que vous pouvez implémenter dans votre plateforme.

Formulaire web : La case à cocher WhatsApp doit être distincte des autres cases (newsletter email, SMS). Texte recommandé : "J'accepte de recevoir des messages WhatsApp de [Nom entreprise] concernant [type de messages : suivi de commande / offres promotionnelles / etc.]." La case ne doit pas être pré-cochée.

Message entrant (opt-in conversationnel) : L'utilisateur envoie un message à l'entreprise via un lien "wa.me" ou un bouton WhatsApp. Ce premier message constitue un opt-in implicite pour les réponses dans la fenêtre service. Pour les campagnes marketing futures, un opt-in explicite supplémentaire est recommandé ("Répondez OUI pour recevoir nos offres").

Point de vente ou signature électronique : Un opt-in collecté physiquement ou par email de confirmation est valide s'il respecte les critères ci-dessus et est horodaté.

Ce qui n'est PAS valide :

  • Importer une liste de contacts sans preuve de consentement WhatsApp spécifique.
  • Considérer qu'un opt-in email ou SMS vaut opt-in WhatsApp.
  • Utiliser un consentement global "communications commerciales" sans mention explicite de WhatsApp.

Pour contextualiser l'opt-in dans votre architecture technique globale, consultez notre guide complet de l'API WhatsApp Business.

Traçabilité et stockage des consentements

En tant qu'intégrateur, vous devez fournir à vos clients les outils pour prouver chaque consentement. Un consentement non prouvable n'est pas un consentement au sens RGPD.

Données minimales à conserver par opt-in :

Champ Exemple
Identifiant du contact Numéro de téléphone (hashé de préférence)
Date et heure 2026-03-15T14:32:00Z (UTC)
Canal de collecte Formulaire web / SMS double opt-in / point de vente
URL ou référence du support https://monsite.com/checkout — version 2026-03
Texte exact du consentement "J'accepte de recevoir des messages WhatsApp de X pour le suivi de mes commandes"
IP de collecte (si web) 91.198.xxx.xxx

Ces données doivent être conservées pendant la durée d'activité du contact plus un délai de prescription (généralement 3 ans après la dernière interaction).

Gestion des révocations : L'utilisateur doit pouvoir se désabonner à tout moment. Le mot-clé "STOP" est une convention, pas une obligation légale en France, mais il est fortement recommandé. À réception d'un "STOP" (ou équivalent), votre système doit :

  1. Supprimer le contact de toutes les listes d'envoi actives.
  2. Marquer le consentement comme révoqué dans votre base (ne pas supprimer — vous devez tracer la révocation).
  3. Confirmer la désinscription par un message WhatsApp.
  4. Ne plus envoyer de messages marketing à ce numéro, même si l'utilisateur est présent dans une autre liste.

Responsabilités du sous-traitant : ce que vous devez contractualiser

En tant qu'intégrateur, vous traitez des données personnelles pour le compte de vos clients. Vous êtes sous-traitant au sens RGPD. Cela implique :

  • Un DPA (Data Processing Agreement) signé avec chaque client, décrivant les traitements effectués pour leur compte.
  • Des clauses spécifiques sur la conservation des données de consentement, leur localisation (obligation EU si votre infrastructure est en Europe) et leur suppression à la fin du contrat.
  • La notification au client en cas de violation de données (dans les 72h).

Côté infrastructure, l'hébergement EU est un argument commercial fort face à vos clients : les données ne quittent pas le territoire européen. Whakup héberge son infrastructure en Europe et peut fournir les éléments nécessaires à votre DPA.

L'API WhatsApp de Whakup est déployée sur infrastructure EU, facilitant votre conformité RGPD et vos démarches de contractualisation avec vos clients.

Pour comparer les options de partenariat BSP sur le critère RGPD, notre analyse Meta Tech Provider WhatsApp détaille les différences entre les types de partenaires.

FAQ

Un opt-in email peut-il valoir opt-in WhatsApp ?

Non. Le RGPD exige un consentement spécifique par canal. Un utilisateur qui a accepté de recevoir vos emails n'a pas consenti à recevoir vos messages WhatsApp. Ces deux consentements doivent être collectés séparément, même si la collecte peut avoir lieu sur le même formulaire (cases à cocher distinctes).

Comment gérer les contacts importés d'un ancien CRM sans trace d'opt-in WhatsApp ?

Vous ne pouvez pas utiliser ces contacts pour des campagnes WhatsApp sortantes sans recollecte de consentement. La pratique recommandée est d'initier une campagne de re-permission via un autre canal (email, SMS) pour obtenir le consentement WhatsApp de manière traçable. N'envoyez jamais de message WhatsApp à une liste sans preuve de consentement.

Le double opt-in est-il obligatoire pour WhatsApp ?

Le double opt-in (confirmation du consentement par un second geste de l'utilisateur) n'est pas légalement obligatoire en France. Cependant, il est fortement recommandé car il réduit le taux de signalement spam (l'utilisateur a confirmé son numéro et son intention) et constitue une preuve de consentement plus robuste en cas de contrôle.

Que se passe-t-il si Meta détecte des envois sans opt-in valide ?

Meta peut suspendre ou désactiver le numéro de téléphone concerné, voire le WABA entier, sans préavis. Les signalements "Spam" répétés déclenchent des contrôles automatiques. En cas de suspension, la réactivation n'est pas garantie et peut prendre plusieurs semaines. C'est l'une des raisons pour lesquelles la qualité de l'opt-in est un prérequis non négociable avant tout envoi.


La conformité opt-in RGPD n'est pas une contrainte bureaucratique : c'est ce qui protège vos clients d'une suspension Meta et vous protège d'une mise en cause en tant que sous-traitant. Whakup propose à ses partenaires des templates de DPA, des outils de traçabilité du consentement et une infrastructure EU conforme RGPD. Découvrez notre offre API WhatsApp pour intégrateurs.

#technique api whatsapp#opt-in whatsapp rgpd#intégrateur
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit