Si vous vendez à des clients européens et utilisez WhatsApp pour les toucher dans le cadre de votre marketing, la surface juridique sur laquelle vous opérez est plus complexe que ce qu’exigent le marketing par e-mail ou par SMS. WhatsApp appartient à Meta, fonctionne sur une infrastructure qui traite des données à travers plusieurs juridictions, et a fait l’objet de sanctions importantes au titre du RGPD, notamment une amende de 225 millions d’euros infligée en 2021 par la Commission irlandaise de protection des données à l’encontre de WhatsApp elle-même.

Ce n’est pas une raison pour éviter WhatsApp. Le marketing WhatsApp est pleinement compatible avec le RGPD lorsqu’il est mis en œuvre correctement, et des marques comme Takko Fashion, KLM et SNOCKS mènent depuis des années des programmes WhatsApp sophistiqués dans l’UE sans incident juridique. Mais « correctement » exige bien plus qu’un simple opt-in informel qui suffit pour les SMS. Cet article explique ce que le RGPD exige réellement pour le marketing WhatsApp, ce qui a changé en 2026 avec le Digital Services Act et le Digital Markets Act, et comment construire un programme capable de résister à un audit.

Avertissement standard : ceci ne constitue pas un conseil juridique. Pour un avis contraignant adapté à votre situation spécifique, consultez un avocat en protection des données dans votre juridiction. Ce qui suit est un résumé pratique, en langage clair, de l’état des règles en mai 2026.

La pile de conformité à trois niveaux

Le marketing WhatsApp dans l’UE s’inscrit dans une pile réglementaire à trois niveaux, et vous devez satisfaire les trois.

Le premier niveau est le Règlement général sur la protection des données (RGPD), qui encadre le traitement des données à caractère personnel des résidents de l’UE, quel que soit l’endroit où se trouve votre entreprise. Pour WhatsApp, les articles pertinents couvrent la base légale du traitement (article 6), les exigences spécifiques en matière de consentement (article 7), les droits de la personne concernée (articles 15 à 22) et l’obligation de mettre en place un accord de traitement des données avec tout sous-traitant traitant des données de l’UE pour votre compte (article 28).

Le deuxième niveau est la directive ePrivacy, qui ajoute, au-dessus du RGPD, des exigences spécifiques aux messages. ePrivacy exige généralement un consentement explicite préalable pour les communications électroniques non sollicitées, avec une exception étroite de soft opt-in pour les relations clients existantes. Les transpositions nationales varient fortement d’un État membre à l’autre.

Le troisième niveau, renforcé en 2024 et 2026, est le Digital Services Act (DSA) et le Digital Markets Act (DMA). Le DMA a désigné WhatsApp comme plateforme « gatekeeper » en 2023, ce qui a déclenché des exigences d’interopérabilité et des obligations en matière de modération de contenu. Le DSA a ajouté des exigences d’évaluation des risques et de transparence pour les très grandes plateformes en ligne. Pour la plupart des marchands Shopify, l’impact pratique du DSA et du DMA en 2026 reste limité, mais la tendance va vers davantage de conformité, pas moins.

Quelle version de WhatsApp est conforme au RGPD pour un usage professionnel

Les trois variantes de WhatsApp ne se valent pas en matière de conformité. Savoir laquelle vous utilisez est la première question de conformité.

L’application WhatsApp personnelle n’est pas conforme au RGPD pour la communication professionnelle. Elle téléverse automatiquement les listes de contacts vers Meta, traite les métadonnées d’une manière qui a à plusieurs reprises attiré l’attention des autorités, et ne propose aucun accord de traitement des données. Si votre équipe commerciale utilise WhatsApp personnel sur son téléphone pour parler aux clients à propos des commandes, vous êtes exposé.

La version gratuite de WhatsApp Business se situe dans une zone grise. Elle ne téléverse pas automatiquement les listes de contacts, mais elle repose sur la même infrastructure que WhatsApp personnel et ne propose pas de contrôles d’accès réellement significatifs. Certains experts juridiques la jugent globalement acceptable pour les très petites entreprises ; d’autres la considèrent comme risquée pour toute entreprise traitant des données clients significatives. La lecture la plus prudente est que la version gratuite de Business n’est pas adaptée aux entreprises soumises au RGPD si des données clients significatives y transitent.

La WhatsApp Business Platform (Cloud API), lorsqu’elle est utilisée via un Business Solution Provider qui signe un DPA avec vous, est la version qui peut être exploitée en conformité avec le RGPD. C’est la seule version qui offre la piste d’audit, la gestion des opt-in, les mécanismes de suppression des données et le cadre contractuel exigés par le RGPD.

La réponse fondamentale à la question « mon marketing WhatsApp est-il conforme au RGPD ? » est donc la suivante : oui, mais seulement si vous êtes sur la Cloud API, si votre BSP vous fournit un DPA, et si votre parcours d’opt-in et votre gestion des données sont correctement conçus.

Qu’est-ce qui constitue un consentement RGPD valide pour WhatsApp

L’article 7 du RGPD fixe un niveau d’exigence élevé pour le consentement. Il doit être libre, spécifique, éclairé et non ambigu. Un consentement obtenu via une case précochée, un accord groupé ou une référence vague ne satisfait pas à cette norme. Pour WhatsApp en particulier, le consentement doit être rattaché au canal : un client qui a consenti à recevoir votre newsletter par e-mail n’a pas, pour autant, consenti à recevoir du marketing WhatsApp.

Le moment de la collecte du consentement doit inclure trois éléments. Premièrement, une mention explicite de ce à quoi l’utilisateur consent (« recevoir des messages marketing de [Marque] sur WhatsApp »). Deuxièmement, l’identité du responsable du traitement (le nom de votre marque, et non simplement « nous »). Troisièmement, une description des types de messages et de leur fréquence approximative (« lancements de produits, annonces de promotions et réassorts, environ deux à quatre messages par mois »).

Les cases précochées ne sont pas autorisées. Le fait de lier l’opt-in WhatsApp à l’acceptation des conditions générales n’est pas autorisé. Un simple opt-in SMS ne se transfère pas à WhatsApp. Une formule vague du type « en soumettant ce formulaire, vous acceptez de recevoir des communications marketing » n’est pas assez spécifique.

Le consentement doit être documenté. Vous devez être en mesure de prouver, pour chaque abonné, quand il a consenti, à quoi il a consenti, quels termes lui ont été présentés et à quel point de collecte. Si votre BSP ne conserve pas ces métadonnées, vous ne pouvez pas prouver le consentement lors d’un audit, et un opt-in non documenté est traité comme un non-opt-in.

Single opt-in ou double opt-in : ce que dit réellement la loi

Il existe une grande confusion sur la question de savoir si le double opt-in est obligatoire au titre du RGPD. La réponse juridique stricte est que le double opt-in n’est pas expressément exigé par le RGPD, mais il est largement considéré comme la meilleure pratique, car il fournit une preuve documentée du consentement que le single opt-in ne fournit pas.

Un parcours de single opt-in ressemble à ceci : le client coche une case explicite, non groupée, de consentement au marketing WhatsApp au moment du paiement, vous enregistrez le consentement, et vous pouvez alors lui envoyer des messages.

Un parcours de double opt-in ressemble à ceci : le client coche la case de consentement, vous envoyez un seul message de confirmation à son numéro WhatsApp en lui demandant de répondre OUI pour confirmer, et seulement après sa réponse vous l’ajoutez à la liste marketing.

Le double opt-in est l’option la plus sûre pour deux raisons. Premièrement, il vérifie indépendamment que le numéro de téléphone appartient bien à la personne qui a consenti. Sans vérification, n’importe qui pourrait saisir le numéro de téléphone d’une autre personne dans votre formulaire, et cette personne commencerait à recevoir des messages marketing sans jamais avoir consenti. Deuxièmement, le double opt-in produit une piste d’audit qui inclut l’action affirmative de l’utilisateur sur WhatsApp lui-même, ce qui constitue la meilleure preuve possible d’un consentement spécifique au canal.

Les marques que nous voyons fonctionner proprement dans l’UE utilisent toutes le double opt-in. Les marques qui reçoivent des plaintes et des avertissements sont généralement celles qui ont importé une liste de numéros et demandé pardon plus tard.

Le soft opt-in pour les clients existants

ePrivacy prévoit une exception étroite de soft opt-in : une entreprise peut faire du marketing auprès d’un client existant pour des produits similaires à ceux déjà achetés, sans consentement préalable explicite, à condition que le client ait disposé d’une possibilité claire de se désinscrire au moment de la collecte et dans chaque message ultérieur.

Le soft opt-in est plus limité qu’on ne le pense. Il ne s’applique qu’aux clients existants. Il ne couvre que des produits similaires. Il exige toujours un mécanisme de désinscription. Et les transpositions nationales varient : l’Allemagne l’interprète de manière étroite, le Royaume-Uni et les Pays-Bas de manière plus souple.

Pour WhatsApp, notre conseil pratique est de ne pas compter sur le soft opt-in, sauf si votre conseil juridique l’a explicitement validé pour votre contexte. Le coût marginal de la mise en place d’un vrai double opt-in est faible. Le risque de se tromper dans l’interprétation du soft opt-in est, lui, important.

Accords de traitement des données avec votre BSP

L’article 28 du RGPD exige qu’un accord de traitement des données soit en place avec tout tiers traitant des données à caractère personnel pour votre compte. Votre BSP WhatsApp fait partie de ces tiers. Si vous n’avez pas de DPA avec lui, vous n’êtes pas conforme, quelle que soit la qualité de votre parcours d’opt-in.

Un DPA doit préciser la finalité et la durée du traitement, les catégories de données et de personnes concernées, les mesures de sécurité que le sous-traitant appliquera, les sous-traitants ultérieurs qu’il peut utiliser, les localisations géographiques où les données peuvent être traitées, ainsi que l’assistance que le sous-traitant fournira pour les demandes de droits des personnes concernées et les incidents de sécurité.

Trois points doivent être vérifiés en particulier dans un DPA de BSP : premièrement, où les données sont-elles physiquement traitées et stockées ? Un hébergement dans l’UE est le cas le plus simple. Un hébergement dans des pays tiers (Hong Kong, Inde, États-Unis en dehors des cadres successeurs du Privacy Shield) nécessite des clauses contractuelles types et peut nécessiter une analyse d’impact des transferts. Deuxièmement, qui sont les sous-traitants ultérieurs ? Meta elle-même est un sous-traitant ultérieur pour tout BSP WhatsApp, et cela devrait être divulgué. Les autres sous-traitants ultérieurs (hébergeurs cloud, fournisseurs d’analyses) devraient également être listés. Troisièmement, quel est l’engagement de suppression des données lorsque vous résiliez le contrat ? Vous avez besoin d’une assurance explicite que les données seront restituées ou détruites dans un délai défini.

Résidence des données dans l’UE : pourquoi c’est important et où se trouvent réellement les fournisseurs

L’endroit où vos données WhatsApp sont traitées est une question de conformité importante que la plupart des marchands ne posent jamais à leur fournisseur.

WATI a son siège à Hong Kong. Hong Kong est un pays tiers au sens du RGPD. Les transferts de données vers l’infrastructure de WATI nécessitent des clauses contractuelles types et, de manière défendable, une analyse d’impact des transferts tenant compte du cadre juridique hongkongais. Zoko a son siège en Inde. Les mêmes considérations relatives aux pays tiers s’appliquent. Dondy est une solution globale sans engagement spécifique de résidence dans l’UE dans ses documents publics. 360dialog a son siège à Berlin et propose un hébergement des données dans l’UE. C’est, du point de vue de la résidence des données, l’histoire la plus propre parmi les principaux BSP, avec la réserve que 360dialog fournit uniquement l’infrastructure API et non une plateforme destinée directement au marchand.

La configuration la plus sûre pour un marchand réglementé de l’UE est un BSP avec résidence des données dans l’UE, un délégué à la protection des données résident dans l’UE, et un DPA qui ne repose pas sur des clauses contractuelles types vers un pays tiers.

Les changements de 2026 que vous devez connaître

Quelques évolutions précises ont renforcé les attentes en matière de conformité en 2026.

En janvier 2026, Meta a mis à jour les conditions du WhatsApp Business Solution pour interdire les chatbots d’usage général sur la plateforme. Cela a des implications RGPD, car le traitement de données personnelles par une IA sans consentement explicite pour un usage spécifique à l’IA peut constituer un traitement supplémentaire nécessitant un consentement supplémentaire. Les bots limités à une tâche et cadrés dans votre contexte métier sont plus faciles à défendre. Les wrappers LLM ouverts ne le sont pas.

En vertu du Digital Services Act, WhatsApp est désormais soumis à des exigences de transparence en matière de modération de contenu, et les entreprises qui opèrent sur la plateforme doivent mettre en œuvre des procédures de gestion des risques si elles remplissent les critères de participation à une très grande plateforme en ligne.

En vertu du Digital Markets Act, les obligations d’interopérabilité de WhatsApp se sont déployées progressivement depuis 2024. Les clients peuvent vous envoyer des messages via des messageries tierces en vertu des dispositions d’interopérabilité conformes au DMA. Le chiffrement de bout en bout est préservé pour la messagerie de personne à personne, mais le relais de chiffrement vers des applications tierces introduit des modèles de menace que votre politique de protection des données devra peut-être reconnaître.

La pause marketing américaine d’avril 2025 a également une implication adjacente au RGPD pour les marques de l’UE qui vendent à des clients américains. Si vous avez déjà envoyé un message à un numéro américain +1, ces interactions relèvent désormais d’un régime de politique différent de vos envois vers l’UE.

Une checklist RGPD en 12 points pour votre programme WhatsApp

Utilisez ceci comme checklist de pré-lancement et d’audit trimestriel pour votre dispositif de marketing WhatsApp.

1. Vous utilisez la WhatsApp Business Platform (Cloud API) via un BSP, et non l’application personnelle ni la version gratuite de Business, pour toute communication client significative.

2. Vous avez signé un DPA avec votre BSP qui nomme les sous-traitants ultérieurs, précise la localisation des données et s’engage sur un calendrier de suppression.

3. Chaque opt-in marketing WhatsApp est recueilli via une action de consentement explicite, non groupée et spécifique au canal, avec une formulation documentée.

4. Chaque consentement est enregistré avec l’horodatage, la source, la formulation affichée et l’adresse IP (ou équivalent), et le journal est exportable.

5. Vous utilisez le double opt-in pour les nouveaux abonnés, avec le message de confirmation et la réponse conservés dans le dossier de consentement.

6. Chaque message marketing WhatsApp inclut un mécanisme de désinscription clair, simple et rédigé dans une langue comprise par le destinataire.

7. Les demandes de désinscription sont honorées dans les 24 heures et le contact est retiré de tous les segments marketing, et non simplement mis en pause.

8. Votre politique de confidentialité mentionne explicitement WhatsApp comme canal marketing, nomme votre BSP et décrit les flux de données.

9. Les demandes d’accès des personnes concernées peuvent être traitées pour les données WhatsApp dans les 30 jours et votre BSP le permet.

10. Les demandes d’effacement des personnes concernées entraînent une suppression effective dans votre CRM, votre plateforme BSP et vos archives de messages.

11. Votre assistant IA sur WhatsApp est limité à votre contexte métier, dispose d’un comportement explicite de refus pour les requêtes hors sujet et ne constitue pas un traitement IA supplémentaire nécessitant un consentement distinct.

12. Vous conservez les données des messages WhatsApp uniquement pendant la durée requise par votre politique de conservation déclarée, laquelle est documentée et limitée dans le temps.

Si vous ne pouvez pas répondre oui aux douze points, il y a un travail précis à faire. Les lacunes les plus fréquentes que nous observons sur le marché de l’UE sont les DPA manquants, l’absence de piste d’opt-in documentée et l’utilisation de WhatsApp personnel par les équipes commerciales.

Questions fréquentes

Ai-je besoin d’un consentement séparé pour le marketing WhatsApp si j’ai déjà le consentement e-mail ?

Oui. ePrivacy et le RGPD considèrent le consentement comme spécifique au canal. Un utilisateur qui a accepté votre newsletter par e-mail n’a pas consenti à recevoir des messages WhatsApp.

Puis-je utiliser le numéro de téléphone d’un client provenant d’une commande Shopify pour lui envoyer du marketing WhatsApp ?

Non, pas sans consentement explicite au marketing WhatsApp. Le numéro de téléphone a été fourni pour l’exécution de la commande sur une autre base légale (exécution du contrat, article 6, paragraphe 1, point b)).

Quelle est l’amende maximale pour une violation du RGPD liée à WhatsApp ?

Le maximum général prévu par le RGPD est le montant le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial. En pratique, les amendes liées à WhatsApp pour une entreprise de taille comparable à un commerce Shopify se situent dans une fourchette de 5 000 à 500 000 euros.

Le chiffrement de bout en bout de WhatsApp suffit-il pour le RGPD ?

Le chiffrement aide, mais ne suffit pas à lui seul au regard du RGPD. Le RGPD exige, en plus des mesures de sécurité telles que le chiffrement, une base légale, la gestion du consentement, les droits des personnes concernées, des pistes d’audit et des DPA.

Puis-je envoyer du marketing WhatsApp à des clients aux États-Unis sous le RGPD ?

Le RGPD s’applique aux résidents de l’UE. Si un client se trouve aux États-Unis, le RGPD ne s’applique pas directement, mais les lois d’État américaines (CCPA en Californie, lois similaires en Virginie, au Colorado, dans le Connecticut et dans l’Utah) peuvent s’appliquer. Notez aussi que depuis le 1er avril 2025, les messages marketing modèles à destination des numéros commençant par +1 sont mis en pause par Meta et ne sont pas délivrés.

Mon BSP dit qu’il est conforme au RGPD. Cela veut-il dire que je le suis ?

Non. Le fait que votre BSP soit conforme est nécessaire, mais pas suffisant. Vous êtes le responsable du traitement et vous êtes responsable, de votre côté, de la base légale, de la collecte du consentement, des mécanismes de désinscription et du traitement des droits des personnes concernées.

Ai-je besoin d’un délégué à la protection des données pour mon programme WhatsApp Shopify ?

Un DPO est requis au titre de l’article 37 du RGPD si vos activités principales impliquent une surveillance régulière et systématique à grande échelle des personnes ou un traitement à grande échelle de catégories particulières de données. La plupart des boutiques Shopify n’atteignent pas ce seuil pour leur seul programme WhatsApp.