Aller au contenu principal
Technique WhatsApp API 6 min de lecture

API WhatsApp et l'opt-in RGPD : guide pour les plateformes SMS

L'opt-in WhatsApp RGPD impose des exigences spécifiques : consentement explicite, finalité déclarée, traçabilité. Ce guide détaille les obligations pour les plateformes SMS.

L'opt-in WhatsApp dans un contexte RGPD est le consentement explicite qu'un utilisateur donne à une entreprise pour être contacté via WhatsApp à des fins commerciales ou promotionnelles. Ce consentement doit être libre, spécifique, éclairé et univoque — les quatre critères du RGPD. Pour une plateforme SMS qui intègre WhatsApp comme canal supplémentaire, l'opt-in WhatsApp ne peut pas être déduit du consentement SMS existant, même si le numéro de téléphone est le même.

Ce que Meta exige, ce que le RGPD impose

Meta et le RGPD se rejoignent sur les principes mais divergent sur les détails. Voici la lecture croisée des deux référentiels :

Exigence Meta (Politique WhatsApp Business) RGPD (Art. 6 et 7)
Consentement actif Oui — l'opt-in doit être un geste positif, pas une case pré-cochée Oui — action positive, pas de consentement tacite
Spécificité de la finalité Oui — le type de messages doit être décrit Oui — finalité explicite et granulaire
Droit de retrait Oui — opt-out facilement accessible Oui — aussi simple à retirer qu'à donner
Conservation de la preuve Recommandée par Meta Obligatoire (art. 7.1 RGPD)
Mention du canal "via WhatsApp" doit être explicitement cité Le canal de traitement fait partie des infos à fournir

La différence principale : Meta peut couper l'accès à votre numéro si vous ne respectez pas sa politique d'opt-in (via le quality rating et les signalements spam). Le RGPD expose vos clients à des amendes CNIL. Les deux risques se cumulent.

Collecter l'opt-in WhatsApp : modes et bonnes pratiques

Opt-in web (formulaire)

C'est le mode le plus courant pour les plateformes e-commerce et CRM. La case opt-in WhatsApp doit :

  • Ne pas être pré-cochée
  • Être distincte de l'opt-in email et SMS (cases séparées)
  • Mentionner explicitement "WhatsApp" et la nature des messages ("recevoir des offres promotionnelles par WhatsApp")
  • Être accompagnée d'un lien vers la politique de confidentialité
  • Déclencher l'enregistrement d'un timestamp, du contexte et de la source dans votre base

Opt-in dans un message WhatsApp entrant

Si l'utilisateur écrit en premier ("Bonjour, je voudrais des infos"), vous pouvez lui demander son consentement dans la réponse. Exemple : "Pour vous envoyer nos offres par WhatsApp, pouvez-vous confirmer votre accord en répondant OUI ?" La réponse "OUI" constitue un opt-in valable si vous conservez la trace de l'échange.

Opt-in au point de vente ou par SMS

Une confirmation SMS peut servir de support d'opt-in WhatsApp : "Souhaitez-vous recevoir vos notifications de commande sur WhatsApp ? Répondez OUI pour accepter." Le SMS de confirmation constitue la preuve de collecte. Le consentement est spécifique au canal WhatsApp.

Ce qui n'est jamais valable comme opt-in :

  • Importer une liste SMS/email existante et envoyer un premier message WhatsApp sans consentement préalable spécifique
  • Utiliser un consentement "communications marketing" générique sans mention du canal WhatsApp
  • Supposer que l'opt-in s'applique à WhatsApp parce que l'utilisateur a téléchargé votre app

Architecture technique de la traçabilité

Pour les plateformes multi-tenant, la traçabilité des opt-ins est une responsabilité partagée avec le client final. Clarifiez contractuellement qui stocke quoi :

Ce que votre plateforme doit enregistrer :

  • Le numéro de téléphone du contact
  • La date et l'heure du consentement (timestamp UTC)
  • La source du consentement (URL du formulaire, ID du point de vente, référence du SMS)
  • La version des CGU ou de la politique de confidentialité acceptée au moment du consentement
  • Le canal couvert (WhatsApp, pas "communications marketing")

Ce que le client final doit fournir sur demande CNIL :

  • La preuve de l'affichage de la case opt-in (capture ou log serveur)
  • La durée de conservation de la liste

Stockez ces données séparément de la liste de contacts elle-même pour pouvoir les exporter facilement en cas de demande d'audit. L'hébergement EU de Whakup simplifie la conformité RGPD pour les données de consentement — pas de transfert hors UE à justifier.

Gestion des opt-outs et des désinscriptions

Le RGPD impose que le retrait du consentement soit aussi simple que sa collecte. Sur WhatsApp, cela se traduit par :

  • Inclure une instruction de désinscription dans chaque premier message d'une série marketing ("Répondez STOP pour ne plus recevoir nos messages")
  • Traiter les réponses STOP en temps réel via webhook — Whakup route ces événements vers votre endpoint de désinscription
  • Blacklister immédiatement le numéro dans votre base d'envoi
  • Ne plus contacter ce numéro sur WhatsApp jusqu'à nouvel opt-in explicite

Les signalements spam WhatsApp (quand un utilisateur utilise le bouton "Signaler" dans l'app) sont traités par Meta comme des opt-outs implicites — ils dégradent le quality rating de votre numéro. Chaque signalement est un consentement retiré de force. Raison supplémentaire pour ne travailler qu'avec des listes proprement opt-in.

Pour comprendre comment l'opt-in s'articule avec le quality rating et les limites d'envoi, consultez notre guide complet de l'API WhatsApp Business.

FAQ

Peut-on transférer une liste SMS opt-in vers WhatsApp sans recueillir un nouveau consentement ?

Non. Le consentement SMS et le consentement WhatsApp sont deux consentements distincts selon le RGPD. La finalité (canal de communication) diffère, ce qui impose un consentement spécifique pour chaque canal.

Un opt-in WhatsApp recueilli en 2023 est-il toujours valable en 2026 ?

La durée de validité d'un consentement n'est pas définie par le RGPD mais doit rester cohérente avec les attentes raisonnables de l'utilisateur. Un contact qui n'a reçu aucun message WhatsApp depuis 18 mois peut légitimement ne plus s'en souvenir. La bonne pratique est de recueillir un nouveau consentement pour les listes inactives depuis plus de 12 mois.

La double opt-in est-elle obligatoire pour WhatsApp ?

Non, elle n'est pas obligatoire au sens strict du RGPD. Mais elle renforce considérablement la preuve de consentement et réduit les erreurs de numéro. C'est une pratique recommandée pour les plateformes qui veulent éviter les signalements spam.

Comment gérer le consentement pour les notifications transactionnelles (utility) ?

Les messages utility (confirmation de commande, suivi de livraison) s'appuient sur la base légale de l'exécution du contrat (art. 6.1.b RGPD), pas nécessairement sur le consentement. Vous n'avez pas besoin d'un opt-in marketing pour envoyer un accusé de réception sur WhatsApp si le client a fourni son numéro dans ce but. En revanche, mentionner WhatsApp comme canal de notification dans les CGU de vente reste recommandé.


L'opt-in WhatsApp n'est pas une formalité — c'est la fondation de la délivrabilité et de la conformité légale de votre canal. Les plateformes qui construisent leurs listes correctement dès le départ n'ont pas à gérer de crises de quality rating ou d'audits CNIL. Whakup, hébergé en Europe, vous aide à construire cette conformité dans votre intégration. Découvrez les détails techniques sur notre page API WhatsApp Business et comparez les solutions disponibles dans notre analyse du meilleur BSP WhatsApp en France.

#technique api whatsapp#opt-in whatsapp rgpd#plateforme sms
Arthur Lyonnet
Arthur LyonnetCo-fondateur & CEO

Co-fondateur de Whakup, Arthur accompagne les entreprises africaines dans leur transformation digitale via WhatsApp depuis 2022. Passionné par le growth marketing et l'entrepreneuriat en Afrique francophone.

🚀

Prêt à passer à l'action ?

Essayez Whakup gratuitement pendant 15 jours. Aucune carte bancaire requise.

Démarrer l'essai gratuit