Blog / Guide
WhatsApp marketing et RGPD : le guide pratique pour être en règle
En bref
Faire du WhatsApp marketing en règle avec le RGPD signifie avoir une base juridique pour écrire — presque toujours le consentement explicite —, une information qui explique qui traite les données et pourquoi, et des procédures pour la révocation et la conservation. Le responsable du traitement, c’est vous, même avec une plateforme externe : choisir un outil avec accord sur les données et gestion automatique des consentements réduit le risque.
Le numéro de téléphone d’une personne est une donnée personnelle, et lui envoyer un message promotionnel est un traitement à part entière. C’est pourquoi le WhatsApp marketing vit dans le RGPD exactement comme l’e-mail marketing — sauf que le canal est plus intime, donc la marge d’erreur est plus étroite. La bonne nouvelle est que se mettre en règle ne demande pas un service juridique : il faut une base juridique claire, un peu d’ordre dans les documents et des procédures automatiques pour le consentement et la révocation. Ce guide traduit les obligations en étapes concrètes.
Ce que signifie le RGPD appliqué à WhatsApp
Le RGPD est le règlement européen sur la protection des données personnelles, et il s’applique à quiconque traite les données de personnes se trouvant dans l’Union, indépendamment du lieu où l’entreprise a son siège. Quand vous recueillez des numéros de téléphone pour envoyer des messages, vous traitez des données et devez en respecter les principes : licéité (avoir un motif valable de le faire), transparence (le dire clairement), minimisation (recueillir seulement ce qui sert), limitation de la conservation (ne pas garder les données pour toujours). Sur WhatsApp, ces principes ne changent pas ; ce qui change, c’est seulement que le message arrive dans une application personnelle, où l’utilisateur est moins tolérant et plus prompt à signaler. La conformité, en plus d’éviter des sanctions qui peuvent être salées, protège aussi la qualité du numéro.
La base juridique : en général le consentement
Pour envoyer des communications de marketing sur WhatsApp, la base juridique la plus solide est le consentement explicite : libre, spécifique, éclairé et univoque. Libre signifie non conditionné à un service (vous ne pouvez pas l’imposer pour finaliser un achat) ; spécifique signifie référé précisément à WhatsApp et au marketing, pas un consentement générique ; éclairé signifie que la personne sait qui traitera les données et pourquoi ; univoque signifie une action positive, jamais une case déjà cochée. Il existe aussi l’intérêt légitime, mais pour la publicité directe sur un canal aussi personnel, c’est une base fragile et contestable : pour les messages promotionnels, misez sur le consentement.
Distinguez toujours le message de service du message promotionnel. Confirmer une expédition ou rappeler un rendez-vous que la personne a réservé s’appuie sur l’exécution du contrat ; lui envoyer une offre requiert le consentement au marketing. Garder les deux permissions séparées est ce qui vous permet de défendre chaque envoi individuel.
La politique de confidentialité : ce qu’elle doit dire
Avant ou au moment où vous recueillez le numéro, la personne doit pouvoir lire une information qui réponde à des questions précises : qui est le responsable du traitement, à quelles fins vous utiliserez les données, sur quelle base juridique, pendant combien de temps vous les conserverez, à qui elles pourraient être communiquées (y compris la plateforme d’envoi et Meta comme fournisseur du service WhatsApp), quels droits a la personne et comment les exercer. Pas besoin d’un texte monumental : il faut un texte clair, accessible via un lien à côté du point de recueil du consentement. L’erreur typique est de recueillir le numéro sans aucun renvoi à l’information : le consentement n’est alors pas éclairé, donc pas valable.
Révocation et droits de la personne concernée
Le consentement peut être retiré avec la même facilité qu’il a été donné : c’est un droit, pas une concession. En pratique, qui écrit STOP, ou utilise le bouton de désinscription, doit être exclu tout de suite des communications promotionnelles. Mais la révocation du consentement n’est que l’un des droits : la personne peut demander l’accès à ses données, la rectification, l’effacement, la limitation du traitement et l’opposition. Vous devez avoir une procédure pour répondre à ces demandes dans des délais raisonnables. La gestion automatique de l’opt-out couvre la partie la plus fréquente ; pour les autres demandes, il faut savoir où sont les données et comment les extraire ou les effacer.
SendApp gère l’opt-out en automatique : qui écrit STOP est exclu des campagnes suivantes sans interventions manuelles, et chaque contact porte avec lui l’origine et la date du consentement. Cela vaut aussi bien si vous connectez votre numéro via QR code que si vous utilisez les API officielles de Meta — le double rail, sans surcoût sur le coût des messages.
Conservation des données : pas pour toujours
Le RGPD impose de ne pas garder les données au-delà du nécessaire. Définissez une durée de conservation cohérente avec la finalité : tant que la relation avec le contact est active et que le consentement est valable, il a du sens de le conserver ; quand la personne se désinscrit ou reste inactive longtemps, envisagez l’effacement ou l’anonymisation. Conservez en revanche la preuve du consentement même après la révocation, pour le temps utile à démontrer avoir agi correctement : elle sert justement en cas de contestation, quand la charge de prouver la licéité retombe sur vous. La règle pratique est de rédiger une politique interne — combien de temps je garde quoi, et pourquoi — et de l’appliquer avec régularité, au lieu d’accumuler des numéros à l’infini « par sécurité ».
Qui est responsable : le responsable du traitement, c’est vous
Même si vous utilisez une plateforme externe pour envoyer les messages, le responsable du traitement, c’est vous : c’est vous qui décidez des finalités et des modalités du traitement. La plateforme agit comme sous-traitant, c’est-à-dire qu’elle traite les données pour votre compte, et pour cela vous devez signer un accord dédié (le DPA, accord de traitement des données) qui définit ce qu’elle peut faire avec les données et avec quelles garanties. Vérifiez aussi où les données sont conservées et comment la plateforme gère les transferts. Choisir un outil sérieux sur ce front ne vous décharge pas de vos responsabilités de responsable du traitement, mais réduit sensiblement le risque.
| Rôle | Qui c’est | Ce qu’il décide / fait |
|---|---|---|
| Responsable du traitement | Votre entreprise | Détermine finalités et modalités, recueille le consentement, répond aux personnes concernées |
| Sous-traitant | La plateforme d’envoi | Traite les données pour le compte du responsable selon l’accord (DPA) |
| Personne concernée | Le destinataire des messages | Donne ou révoque le consentement, exerce ses droits |
Bonnes pratiques pour un WhatsApp marketing conforme
- Recueillez un consentement explicite et spécifique pour le marketing sur WhatsApp, séparé de toute autre case.
- Reliez toujours la politique de confidentialité au point où vous demandez le numéro.
- Distinguez messages de service et promotionnels : ils s’appuient sur des bases juridiques différentes.
- Rendez la révocation immédiate et gérez l’opt-out en automatique.
- Définissez et appliquez une durée de conservation, en conservant toutefois la preuve du consentement.
- Signez un accord de traitement des données avec la plateforme et vérifiez où sont hébergées les données.
Passez à la pratique avec SendApp
Campagnes, IA et boîte multicanale sans surcoût sur les messages. Essai gratuit, sans carte.
Redazione SendApp
L’équipe SendApp — plateforme de WhatsApp marketing et IA pour les entreprises.