Si vous vendez à des clients européens et utilisez WhatsApp pour les cibler, la surface juridique sur laquelle vous opérez est plus complexe que ce qu’exige le marketing par e-mail ou par SMS. WhatsApp appartient à Meta, fonctionne sur une infrastructure qui traite des données à travers plusieurs juridictions et a fait l’objet d’importantes actions de contrôle au titre du RGPD, notamment une amende de 225 millions d’euros infligée en 2021 par la Commission irlandaise de protection des données à WhatsApp elle-même.

Ce n’est pas une raison pour éviter WhatsApp. Le marketing WhatsApp est pleinement compatible avec le RGPD lorsqu’il est mis en œuvre correctement, et des marques comme Takko Fashion, KLM et SNOCKS font fonctionner depuis des années des programmes WhatsApp sophistiqués dans l’UE sans incident juridique. Mais « mis en œuvre correctement » exige bien plus qu’un simple opt-in de complaisance qui suffit pour les SMS. Cet article explique ce que le RGPD exige réellement pour le marketing WhatsApp, ce qui a changé en 2026 avec le Digital Services Act et le Digital Markets Act, et comment construire un programme capable de résister à un audit.

Avertissement standard : ceci ne constitue pas un conseil juridique. Pour un avis contraignant adapté à votre situation spécifique, consultez un avocat spécialisé en protection des données dans votre juridiction. Ce qui suit est un résumé pratique, en français simple, de l’état des règles en mai 2026.

La pile de conformité à trois niveaux

Le marketing WhatsApp dans l’UE s’inscrit dans une pile réglementaire à trois niveaux, et vous devez satisfaire les trois.

Le premier niveau est le Règlement général sur la protection des données (RGPD), qui régit le traitement des données personnelles des résidents de l’UE, quel que soit l’endroit où votre entreprise est établie. Pour WhatsApp, les articles pertinents couvrent la base juridique du traitement (article 6), les exigences spécifiques relatives au consentement (article 7), les droits des personnes concernées (articles 15 à 22) et l’obligation de mettre en place un accord de traitement des données avec tout sous-traitant traitant des données de l’UE en votre nom (article 28).

Le deuxième niveau est la directive ePrivacy, qui ajoute des exigences spécifiques à la messagerie en plus du RGPD. ePrivacy exige généralement un consentement explicite préalable pour les communications électroniques non sollicitées, avec une exception étroite de soft opt-in pour les relations clients existantes. Les transpositions nationales varient considérablement d’un État membre à l’autre.

Le troisième niveau, renforcé en 2024 et 2026, est le Digital Services Act (DSA) et le Digital Markets Act (DMA). Le DMA a désigné WhatsApp comme une plateforme « gatekeeper » en 2023, ce qui a déclenché des exigences d’interopérabilité et des obligations de modération des contenus. Le DSA a ajouté des exigences d’évaluation des risques et de transparence pour les très grandes plateformes en ligne. Pour la plupart des marchands Shopify, l’impact pratique du DSA et du DMA en 2026 reste limité, mais la tendance est à davantage de conformité, pas moins.

Quelle version de WhatsApp est conforme au RGPD pour un usage professionnel

Les trois variantes de WhatsApp ne sont pas également conformes. Savoir laquelle vous utilisez est la première question de conformité.

L’application WhatsApp personnelle n’est pas conforme au RGPD pour une communication professionnelle. Elle téléverse automatiquement les listes de contacts vers Meta, traite les métadonnées d’une manière qui a à plusieurs reprises suscité des actions réglementaires et n’offre aucun accord de traitement des données. Si votre équipe commerciale utilise WhatsApp personnel sur son téléphone pour échanger avec les clients au sujet des commandes, vous êtes exposé.

L’application gratuite WhatsApp Business se situe dans une zone grise. Elle ne téléverse pas automatiquement les listes de contacts, mais elle partage la même infrastructure sous-jacente que WhatsApp personnel et ne dispose pas de contrôles d’accès significatifs. Certains experts juridiques la jugent globalement acceptable pour les très petites entreprises ; d’autres la considèrent comme risquée pour toute entreprise traitant des données clients significatives. La lecture la plus prudente est que l’application Business gratuite n’est pas appropriée pour les entreprises soumises au RGPD si des données clients significatives y transitent.

La WhatsApp Business Platform (Cloud API), lorsqu’elle est utilisée via un Business Solution Provider qui signe un DPA avec vous, est la version qui peut être exploitée de manière conforme au RGPD. C’est la seule version qui offre la traçabilité, la gestion de l’opt-in, les mécanismes de suppression des données et le cadre contractuel exigés par le RGPD.

Ainsi, la réponse fondamentale à « mon marketing WhatsApp est-il conforme au RGPD » est la suivante : seulement si vous êtes sur la Cloud API, seulement si votre BSP vous fournit un DPA, et seulement si votre parcours d’opt-in et votre gestion des données sont correctement conçus.

Qu’est-ce qui constitue un consentement RGPD valide pour WhatsApp

L’article 7 du RGPD fixe un niveau élevé pour le consentement. Il doit être libre, spécifique, éclairé et univoque. Un consentement obtenu via une case pré-cochée, un accord groupé ou une référence vague ne satisfait pas à cette norme. Pour WhatsApp en particulier, le consentement doit être lié au canal : un client ayant consenti à recevoir votre newsletter par e-mail n’a pas, pour autant, consenti à recevoir du marketing sur WhatsApp.

Le moment de collecte du consentement doit inclure trois éléments. Premièrement, une mention explicite de ce à quoi l’utilisateur consent (« recevoir des messages marketing de la part de [Marque] sur WhatsApp »). Deuxièmement, l’identité du responsable de traitement (le nom de votre marque, pas seulement « nous »). Troisièmement, une description des types de messages et de la fréquence approximative (« lancements de produits, annonces de promotions et réassorts, environ deux à quatre messages par mois »).

Les cases pré-cochées ne sont pas autorisées. Le regroupement de l’opt-in WhatsApp avec l’acceptation des conditions d’utilisation n’est pas autorisé. Un opt-in SMS général ne se transfère pas à WhatsApp. Une affirmation vague selon laquelle « en soumettant ce formulaire, vous acceptez de recevoir des communications marketing » n’est pas suffisamment spécifique.

Le consentement doit être documenté. Vous devez être capable de prouver, pour chaque abonné, quand il a consenti, à quoi il a consenti, quelles formulations il a vues et à partir de quel point de collecte. Si votre BSP ne stocke pas ces métadonnées, vous ne pouvez pas prouver le consentement lors d’un audit, et un opt-in non documenté est traité comme un absence d’opt-in.

Opt-in simple contre double opt-in : ce que dit réellement la loi

Il existe une confusion importante sur la question de savoir si le double opt-in est obligatoire au titre du RGPD. La réponse juridique stricte est que le double opt-in n’est pas explicitement exigé par le RGPD, mais il est largement considéré comme une bonne pratique car il fournit une preuve documentée du consentement que l’opt-in simple n’offre pas.

Un flux d’opt-in simple ressemble à ceci : le client coche une case de consentement au marketing WhatsApp explicite et non groupée lors du paiement, vous enregistrez le consentement, vous pouvez désormais lui envoyer des messages.

Un flux de double opt-in ressemble à ceci : le client coche la case de consentement, vous envoyez un seul message de confirmation à son numéro WhatsApp en lui demandant de répondre OUI pour confirmer, et ce n’est qu’après sa réponse que vous l’ajoutez à la liste marketing.

Le double opt-in est la voie la plus sûre pour deux raisons. Premièrement, il vérifie indépendamment que le numéro de téléphone appartient bien à la personne qui a consenti. Sans vérification, n’importe qui pourrait saisir le numéro de téléphone d’une autre personne dans votre formulaire, et cette personne commencerait à recevoir des messages marketing sans jamais avoir consenti. Deuxièmement, le double opt-in produit une piste d’audit qui inclut l’action affirmative de l’utilisateur sur WhatsApp lui-même, ce qui constitue la preuve la plus solide possible d’un consentement spécifique au canal.

Les marques que nous voyons fonctionner proprement dans l’UE utilisent toutes le double opt-in. Les marques que nous voyons recevoir des plaintes et des avertissements sont généralement celles qui ont importé une liste de numéros et ont demandé pardon plus tard.

Le soft opt-in pour les clients existants

ePrivacy prévoit une exception étroite de soft opt-in : une entreprise peut faire du marketing auprès d’un client existant au sujet de produits similaires à ceux déjà achetés, sans consentement explicite préalable, à condition que le client ait eu une possibilité claire de se désinscrire au moment de la collecte et dans chaque message ultérieur.

Le soft opt-in est plus limité qu’on ne le pense. Il ne s’applique qu’aux clients existants. Il ne couvre que des produits similaires. Il exige toujours un mécanisme de désinscription. Et les transpositions nationales varient : l’Allemagne l’interprète de manière stricte, le Royaume-Uni et les Pays-Bas de manière plus libérale.

Pour WhatsApp, notre conseil pratique est de ne pas compter sur le soft opt-in, sauf si votre conseil juridique l’a expressément validé pour votre contexte. Le coût marginal de la mise en place d’un vrai double opt-in est faible. Le risque lié à une mauvaise interprétation du soft opt-in est élevé.

Accords de traitement des données avec votre BSP

L’article 28 du RGPD exige la mise en place d’un accord de traitement des données avec tout tiers traitant des données personnelles pour votre compte. Votre BSP WhatsApp fait partie de ces tiers. Si vous n’avez pas de DPA avec lui, vous n’êtes pas conforme, quelle que soit la qualité de votre parcours d’opt-in.

Un DPA doit préciser la finalité et la durée du traitement, les catégories de données et de personnes concernées, les mesures de sécurité que le sous-traitant appliquera, les sous-traitants ultérieurs qu’il peut utiliser, les emplacements géographiques où les données peuvent être traitées, ainsi que l’assistance que le sous-traitant fournira pour les demandes d’exercice des droits des personnes concernées et les incidents de sécurité.

Trois points sont à vérifier spécifiquement dans un DPA de BSP : premièrement, où les données sont-elles physiquement traitées et stockées ? Un hébergement des données dans l’UE est le cas le plus simple. Des données hébergées dans des pays tiers (Hong Kong, Inde, États-Unis en dehors des cadres successeurs du Privacy Shield) exigent des Clauses Contractuelles Types et peuvent nécessiter une évaluation d’impact des transferts. Deuxièmement, qui sont les sous-traitants ultérieurs ? Meta elle-même est un sous-traitant pour tout BSP WhatsApp, et cela doit être divulgué. Les autres sous-traitants ultérieurs (hébergeurs cloud, fournisseurs d’analytique) doivent également être listés. Troisièmement, quel est l’engagement de suppression des données à la résiliation du contrat ? Vous devez obtenir l’assurance explicite que les données seront restituées ou détruites dans un délai défini.

Résidence des données dans l’UE : pourquoi c’est important et où se trouvent réellement les fournisseurs

L’endroit où vos données WhatsApp sont traitées est une question de conformité importante que la plupart des marchands ne posent jamais à leur fournisseur.

WATI a son siège à Hong Kong. Hong Kong est un pays tiers au sens du RGPD. Les transferts de données vers l’infrastructure de WATI nécessitent des Clauses Contractuelles Types et, de manière défendable, une évaluation d’impact des transferts tenant compte du cadre juridique de Hong Kong. Zoko a son siège en Inde. Les mêmes considérations liées aux pays tiers s’appliquent. Dondy est une société globale sans engagement spécifique et public en matière de résidence des données dans l’UE. 360dialog a son siège à Berlin et propose un hébergement des données dans l’UE. C’est, du point de vue de la résidence, l’approche la plus propre parmi les principaux BSP, avec la réserve que 360dialog fournit uniquement l’infrastructure API et non une plateforme destinée aux marchands.

La configuration la plus sûre pour un marchand européen réglementé est un BSP avec résidence des données dans l’UE, un délégué à la protection des données résident dans l’UE, et un DPA qui ne repose pas sur des Clauses Contractuelles Types vers un pays tiers.

Les changements de 2026 que vous devez connaître

Quelques évolutions précises ont renforcé les attentes en matière de conformité en 2026.

En janvier 2026, Meta a mis à jour les conditions des solutions WhatsApp Business afin d’interdire les chatbots d’usage général sur la plateforme. Cela a des implications au titre du RGPD, car le traitement de données personnelles par IA sans consentement explicite pour un usage spécifique à l’IA peut constituer un traitement additionnel nécessitant un consentement supplémentaire. Les bots à portée délimitée, centrés sur votre contexte métier, sont plus faciles à défendre. Les wrappers LLM ouverts ne le sont pas.

Au titre du Digital Services Act, WhatsApp est désormais soumis à des exigences de transparence en matière de modération des contenus, et les entreprises opérant sur la plateforme doivent mettre en œuvre des procédures de gestion des risques si elles sont considérées comme participantes sur une très grande plateforme en ligne.

Au titre du Digital Markets Act, les obligations d’interopérabilité de WhatsApp ont été déployées progressivement depuis 2024. Les clients peuvent vous envoyer des messages via des messageries tierces dans le cadre des dispositions d’interopérabilité conformes au DMA. Le chiffrement de bout en bout est préservé pour la messagerie entre particuliers, mais la transition du chiffrement vers des applications tierces introduit des modèles de menace que votre politique de protection des données devra peut-être reconnaître.

La suspension marketing américaine d’avril 2025 a également une implication connexe au RGPD pour les marques de l’UE vendant à des clients américains. Si vous avez déjà envoyé un message à un numéro américain +1, ces interactions sont désormais soumises à un régime de politique différent de vos envois vers l’UE.

Une checklist RGPD en 12 points pour votre programme WhatsApp

Utilisez ceci comme checklist de pré-lancement et d’audit trimestriel pour votre dispositif de marketing WhatsApp.

1. Vous utilisez la WhatsApp Business Platform (Cloud API) via un BSP, et non l’application personnelle ou l’application Business gratuite, pour toute communication client significative.

2. Vous avez signé un DPA avec votre BSP qui nomme les sous-traitants ultérieurs, précise la localisation des données et s’engage sur un calendrier de suppression.

3. Chaque opt-in marketing WhatsApp est recueilli par une action de consentement explicite, non groupée et spécifique au canal, avec une formulation documentée.

4. Chaque consentement est consigné avec horodatage, source, formulation affichée et adresse IP (ou équivalent), et le journal peut être exporté.

5. Vous utilisez le double opt-in pour les nouveaux abonnés, avec le message de confirmation et la réponse conservés dans le dossier de consentement.

6. Chaque message marketing WhatsApp inclut un mécanisme de désinscription clair et facile dans une langue que le destinataire comprend.

7. Les demandes de désinscription sont honorées dans les 24 heures et le contact est retiré de tous les segments marketing, et non simplement mis en pause.

8. Votre politique de confidentialité mentionne explicitement WhatsApp comme canal marketing, nomme votre BSP et décrit les flux de données.

9. Les demandes d’accès des personnes concernées peuvent recevoir une réponse pour les données WhatsApp dans un délai de 30 jours et votre BSP le permet.

10. Les demandes de suppression des personnes concernées entraînent une suppression effective dans votre CRM, sur la plateforme de votre BSP et dans vos archives de messages.

11. Votre assistant IA sur WhatsApp est limité à votre contexte métier, dispose d’un comportement explicite de refus pour les requêtes hors sujet et ne constitue pas un traitement IA supplémentaire nécessitant un consentement distinct.

12. Vous ne conservez les données de messages WhatsApp que pendant la durée requise par votre politique de conservation déclarée, laquelle est documentée et n’est pas indéfinie.

Si vous ne pouvez pas répondre oui aux douze points, vous avez des travaux précis à effectuer. Les lacunes les plus fréquentes que nous constatons sur le marché de l’UE sont l’absence de DPA, des traces d’opt-in non documentées et l’utilisation de WhatsApp personnel par les équipes commerciales.

Foire aux questions

Ai-je besoin d’un consentement séparé pour le marketing WhatsApp si j’ai déjà le consentement e-mail ?

Oui. ePrivacy et le RGPD traitent le consentement comme étant spécifique au canal. Un utilisateur qui a accepté votre newsletter par e-mail n’a pas consenti à recevoir des messages WhatsApp.

Puis-je utiliser le numéro de téléphone d’un client issu d’une commande Shopify pour lui envoyer du marketing WhatsApp ?

Non, pas sans consentement explicite au marketing WhatsApp. Le numéro de téléphone a été fourni pour l’exécution de la commande sur une autre base juridique (exécution du contrat, article 6(1)(b)).

Quel est le montant maximal de l’amende pour une violation du RGPD liée à WhatsApp ?

Le maximum général du RGPD est le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial. En pratique, les amendes pour des problèmes liés à WhatsApp pour une entreprise de taille Shopify se situent dans une fourchette de 5 000 à 500 000 euros.

Le chiffrement de bout en bout de WhatsApp suffit-il pour le RGPD ?

Le chiffrement aide, mais ne suffit pas à lui seul au regard du RGPD. Le RGPD exige une base juridique, la gestion du consentement, les droits des personnes concernées, des pistes d’audit et des DPA, en plus des mesures de sécurité comme le chiffrement.

Puis-je envoyer du marketing WhatsApp à des clients aux États-Unis au titre du RGPD ?

Le RGPD s’applique aux résidents de l’UE. Si un client se trouve aux États-Unis, le RGPD ne s’applique pas directement, mais les lois étatiques américaines (CCPA en Californie, lois similaires en Virginie, au Colorado, au Connecticut et dans l’Utah) peuvent s’appliquer. Notez aussi que depuis le 1er avril 2025, les messages marketing modèles vers les numéros commençant par +1 sont suspendus par Meta et ne sont pas délivrés.

Mon BSP dit qu’il est conforme au RGPD. Cela signifie-t-il que je suis conforme ?

Non. Le fait que votre BSP soit conforme est nécessaire mais pas suffisant. Vous êtes le responsable de traitement et vous êtes responsable, de votre côté, de la base juridique, de la collecte du consentement, des mécanismes de désinscription et du traitement des droits des personnes concernées.

Ai-je besoin d’un délégué à la protection des données pour mon programme WhatsApp Shopify ?

Un DPO est requis au titre de l’article 37 du RGPD si vos activités principales impliquent un suivi systématique à grande échelle des personnes ou un traitement à grande échelle de catégories particulières de données. La plupart des boutiques Shopify n’atteignent pas ce seuil pour leur seul programme WhatsApp.