L'envoi via l'API WhatsApp Business est attractif pour de nombreux cas d'usage B2C : confirmations de réservation, notifications d'expédition, rappels de rendez-vous, service client. En même temps, ce canal soulève des questions de protection des données que vous devez clarifier en tant que responsable du traitement avant tout envoi en production.
Auf einen Blick
- Les messages transitent obligatoirement par les serveurs de Meta aux États-Unis. Base juridique : EU-US Data Privacy Framework, complété par les clauses contractuelles types.
- Vous avez besoin d'un DPA avec seven.io et devriez connaître les WhatsApp Business Terms et le DPA de Meta.
- L'envoi à des utilisateurs finaux nécessite un consentement documenté, idéalement via un double opt-in.
- Votre politique de confidentialité doit être complétée par une section dédiée à WhatsApp.
Qui est impliqué ?
| Acteur | Rôle | Siège |
|---|---|---|
| Vous en tant que client de seven.io | Responsable du traitement | Votre pays |
| seven.io | Sous-traitant (art. 28 RGPD) | Allemagne |
| Meta Platforms Ireland Ltd. | Partenaire contractuel pour WhatsApp Business dans l'EEE | Irlande |
| Meta Platforms, Inc. | Exploite l'infrastructure Cloud | États-Unis |
| Destinataire final | Personne concernée | Monde entier |
Voici comment circulent les données :
Transfert vers un pays tiers vers Meta (États-Unis)
Lors de chaque envoi, des données personnelles sont obligatoirement transmises aux systèmes de Meta :
- le numéro de téléphone du destinataire,
- le contenu du message (texte, médias, modèles, variables),
- les métadonnées techniques (horodatage de livraison, statut de lecture/réception, codes d'erreur).
Selon Meta, le contenu des messages WhatsApp entre l'entreprise et l'utilisateur final est chiffré en transit, mais reste accessible à Meta en tant qu'opérateur Cloud dans la mesure nécessaire à la fourniture du service. Un traitement aux États-Unis par Meta Platforms, Inc. est donc techniquement inévitable et constitue un transfert vers un pays tiers au sens du chapitre V du RGPD.
Base juridique du transfert vers un pays tiers
Depuis le 10 juillet 2023, l'EU-US Data Privacy Framework (DPF) constitue une décision d'adéquation de la Commission européenne. Meta Platforms, Inc. déclare être certifiée sous le DPF. Les transferts vers des destinataires américains certifiés DPF peuvent donc en principe se fonder sur l'art. 45 RGPD.
En complément, Meta et seven.io continuent d'utiliser les clauses contractuelles types de l'UE (CCT, art. 46 RGPD) - en tant que solution de repli si le statut DPF venait à disparaître ou si certains traitements n'étaient pas couverts.
Achtung
Malgré le DPF, des risques résiduels liés à Schrems II subsistent : pouvoirs d'accès des autorités de sécurité américaines (FISA 702, Executive Order 12333), efficacité pratique des mécanismes de recours créés par l'Executive Order 14086, ainsi que d'éventuelles procédures futures devant la CJUE. Pour les données sensibles, une analyse documentée des risques (Transfer Impact Assessment, TIA) est recommandée.
Quels contrats vous sont nécessaires
1. Contrat de sous-traitance (DPA) avec seven.io
Étant donné que seven.io envoie des messages pour votre compte, vous concluez un DPA conforme à l'art. 28 RGPD. seven.io met un contrat à votre disposition à cet effet.
2. Base contractuelle vis-à-vis de Meta
L'utilisation passe en outre par les WhatsApp Business Terms of Service et le WhatsApp Business Data Processing Addendum (DPA) de Meta. Meta agit pour certains traitements en tant que sous-traitant, pour d'autres (sécurité/intégrité de la plateforme) potentiellement en tant que responsable propre ou conjoint. Le rôle exact de Meta dans chaque cas découle des documents contractuels actuels de Meta.
Tipp
Documentez le rôle de Meta pour chaque étape de traitement dans votre registre des activités de traitement.
Base juridique de l'envoi à des utilisateurs finaux
Le transfert vers Meta est un aspect. Au moins aussi important : sur quelle base juridique envoyez-vous réellement des messages à vos destinataires ?
Le consentement comme règle générale
L'envoi de messages WhatsApp nécessite généralement un consentement explicite et documenté au sens de l'art. 6, par. 1, let. a RGPD. WhatsApp est un canal privé, le seuil pour un contact direct est donc élevé.
S'appliquent en complément :
- § 7 UWG (loi allemande contre la concurrence déloyale) - une approche commerciale nécessite un consentement préalable.
- TDDDG (anciennement TTDSG) - exigences supplémentaires dès lors que l'on accède au terminal du destinataire ou que l'on y stocke des informations.
Transactionnel ou commercial
| Critère | Transactionnel | Commercial |
|---|---|---|
| Exemples | Confirmation de réservation, statut d'expédition, rappel de rendez-vous | Promotions, remises, newsletters, ventes croisées |
| Base juridique | Contrat/négociation précontractuelle (art. 6, par. 1, let. b), opt-in recommandé | Consentement obligatoire (art. 6, par. 1, let. a) |
| § 7 UWG | Pas directement applicable | Applicable |
| Recommandation pratique | Opt-in documenté et spécifique au canal | Opt-in documenté et spécifique au canal |
Wichtig
Exemple : Un restaurant confirme les réservations via WhatsApp. Le formulaire de réservation contient une case à cocher claire "Envoyer la confirmation par WhatsApp", non précochée. C'est l'approche correcte, même si le message lui-même est transactionnel.
Recommandation : double opt-in
Avec le double opt-in, le destinataire saisit son numéro puis confirme activement via WhatsApp (par exemple en envoyant un mot-clé ou en cliquant sur un lien de confirmation). Vous prouvez ainsi que le numéro appartient bien à la personne qui consent.
Pour chaque consentement, conservez au moins : horodatage, libellé, source (par exemple URL du formulaire web), adresse IP ou preuve équivalente et une attribution claire au numéro de téléphone.
Adaptation de votre politique de confidentialité
| Contenu | Ce qui doit y figurer |
|---|---|
| Désignation du canal | "API WhatsApp Business" |
| Destinataires | Meta Platforms Ireland Ltd. et Meta Platforms, Inc. (États-Unis) |
| Transfert vers un pays tiers | Mention des États-Unis, EU-US Data Privacy Framework, CCT en complément |
| Base juridique | Art. 6, par. 1, let. a RGPD (le cas échéant let. b pour l'exécution d'un contrat) |
| Durée de conservation | Pour les numéros, contenus de messages, données de journal |
| Retrait | Mention du droit de retrait à tout moment et d'une procédure simple (par exemple "STOP" via WhatsApp) |
| Risque résiduel | Mention compréhensible par un non-juriste du transfert vers les États-Unis |
Une formulation possible (qui ne constitue pas un texte juridique finalisé) :
Nous utilisons l'API WhatsApp Business pour vous contacter par les
moyens que vous avez choisis. À cette occasion, votre numéro de
téléphone ainsi que le contenu du message sont transmis à Meta Platforms
Ireland Ltd. et Meta Platforms, Inc. (États-Unis). La base juridique est
votre consentement au sens de l'art. 6, par. 1, let. a RGPD. Le transfert
aux États-Unis s'effectue sur la base de l'EU-US Data Privacy Framework,
complété par des clauses contractuelles types. Vous pouvez retirer votre
consentement à tout moment, avec effet pour l'avenir.Vorsicht
Faites vérifier la formulation concrète par votre délégué à la protection des données ou par un avocat spécialisé. Elle ne remplace pas un conseil juridique.
Liste de contrôle pratique
- Saisir l'opt-in par destinataire et par canal de manière documentée (horodatage, libellé, source).
- DPA conclu avec seven.io et archivé dans votre GED.
- WhatsApp Business Terms et DPA de Meta examinés et rôle attribué.
- Politique de confidentialité complétée par une section WhatsApp.
- Registre des activités de traitement complété par l'envoi WhatsApp.
- Processus définis pour les demandes d'accès, rectification, suppression et retrait.
- Transfer Impact Assessment (TIA) créé et tenu à jour pour le transfert vers les États-Unis.
- Collaborateurs qui envoient ou répondent à des messages WhatsApp formés à la protection des données.
Questions fréquentes
Ai-je besoin d'un opt-in même pour de simples confirmations de commande ?
Le sujet est juridiquement débattu. Le § 7 UWG ne s'applique généralement pas aux messages purement transactionnels et l'art. 6, par. 1, let. b RGPD justifie en principe l'envoi. En pratique, de nombreuses autorités de contrôle recommandent néanmoins un opt-in spécifique au canal, parce que WhatsApp est un canal privé et que le destinataire devrait consentir explicitement à être contacté justement par ce moyen.
L'EU-US Data Privacy Framework suffit-il comme base juridique ?
Pour le simple transfert vers un pays tiers, oui. Il subsiste néanmoins des risques résiduels liés aux lois américaines de surveillance, raison pour laquelle seven.io et Meta utilisent en complément des clauses contractuelles types et un Transfer Impact Assessment est recommandé.
Que se passe-t-il en cas de retrait d'un consentement ?
Vous devez arrêter l'envoi vers le numéro retiré, marquer la documentation du consentement comme "retiré" et vérifier si vous devez supprimer le numéro des listes de contacts actives. Pour les modèles WhatsApp purs, le retrait ne s'applique qu'aux modèles marketing - les messages transactionnels dans le cadre d'un contrat existant restent admissibles, à condition qu'une base juridique propre existe.
Combien de temps puis-je conserver les messages WhatsApp ?
Il n'existe pas de délai rigide. Conservez-les uniquement aussi longtemps que nécessaire à la finalité. Les journaux marketing sont généralement supprimés après le retrait ou au plus tard après 3 ans ; les données transactionnelles suivent les délais de conservation prévus par le droit commercial et fiscal.
Avertissement
Cet article a une vocation d'information générale et reflète l'état au moment de sa publication. Il ne remplace pas un conseil juridique individuel. Concertez-vous sur les implémentations concrètes avec votre propre délégué à la protection des données ou un avocat spécialisé.