RGPD et messages de marketing : ce que vous devez savoir en 2026

Pourquoi le RGPD est important pour ceux qui utilisent WhatsApp et les SMS dans leur entreprise

Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute entreprise qui traite des données personnelles de résidents de l'Union européenne — indépendamment de la taille de l'entreprise ou du pays où elle est basée.

Envoyer un message WhatsApp ou un SMS à un client constitue un traitement de données personnelles. Le numéro de téléphone portable est une donnée personnelle. Le contenu du message peut contenir d'autres données personnelles. L'historique des conversations est un ensemble de données personnelles.

Ces dernières années, les autorités de protection des données ont considérablement augmenté le nombre de procédures à l'encontre des PME. Les amendes peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros — le montant le plus élevé étant retenu.

Les trois principes essentiels pour les messages de marketing

1. Base légale pour le traitement

Pour envoyer des messages de marketing, votre entreprise a besoin d'une base légale. Les deux plus courantes pour la communication directe sont :

Le consentement (Art. 6, al. 1, let. a) : Le client a donné son autorisation explicite pour recevoir des communications marketing. Ce consentement doit être libre, spécifique, éclairé et univoque (une case à cocher par l'utilisateur, non pré-cochée).

L'intérêt légitime (Art. 6, al. 1, let. f) : Il peut être invoqué pour des communications avec des clients existants, concernant des produits ou services similaires à ceux qu'ils ont déjà achetés, à condition qu'une option de désinscription simple soit proposée. Cette base est plus restrictive et doit être évaluée au cas par cas.

2. Droit de désinscription (Opt-out)

Toute personne recevant des communications marketing a le droit de s'y opposer à tout moment. Vos messages doivent inclure un mécanisme de désinscription clair et fonctionnel.

Pour WhatsApp : incluez "Répondez STOP pour ne plus recevoir de messages" et honorez cette demande immédiatement.

Pour les SMS : la même chose. Et enregistrez toutes les demandes de désinscription — les autorités peuvent demander cet historique.

3. Limitation des finalités et minimisation des données

Ne collectez pas de données dont vous n'avez pas besoin. Si vous collectez le numéro de téléphone pour envoyer des confirmations de commande, vous ne pouvez pas utiliser ce numéro pour des campagnes marketing sans un nouveau consentement spécifique à cette fin.

Ce qu'il faut enregistrer et conserver

Les autorités de protection des données peuvent demander des preuves de conformité. Tenez un registre de :

• Quand et comment le consentement a été obtenu (date, source, formulaire ou case à cocher utilisé).
• Ce que l'utilisateur a autorisé exactement.
• Les désinscriptions reçues et leur date de traitement.
• La rétention des données : combien de temps vous conservez les numéros et les conversations.

Contrats de sous-traitance des données (DPA)

Si vous utilisez une plateforme de messagerie comme WhatSMS, vous confiez les données personnelles de vos clients à un sous-traitant. Le RGPD exige qu'un contrat de sous-traitance des données (DPA) soit établi entre votre entreprise et le fournisseur.

WhatSMS met un DPA à la disposition de tous ses clients, confirmant que les données sont traitées exclusivement au sein de l'Union européenne (serveurs Hetzner en Allemagne et en Autriche).

Messages transactionnels vs. messages de marketing

Cette distinction est cruciale. Les règles du RGPD pour le marketing sont beaucoup plus strictes que pour les communications transactionnelles.

Messages transactionnels (ne nécessitent pas de consentement marketing) : confirmations de commande, alertes de livraison, rappels de rendez-vous, notifications de compte, réponses aux demandes initiées par le client.

Messages de marketing (nécessitent une base légale spécifique) : promotions et réductions, lancement de nouveaux produits, newsletters via WhatsApp ou SMS, vente incitative (upsell) ou croisée (cross-sell) proactive.

Si vous envoyez un message de confirmation de commande et incluez un code de réduction à la fin, le message devient partiellement un message de marketing. Soyez prudent sur cette frontière.

Liste de contrôle pratique

Avant de lancer votre prochaine campagne, vérifiez :

• Disposez-vous d'une base légale documentée pour chaque segment de destinataires ?
• Les messages incluent-ils une option de désinscription claire et fonctionnelle ?
• Avez-vous un enregistrement de quand et comment le consentement a été obtenu ?
• Existe-t-il un DPA signé avec le fournisseur de la plateforme de messagerie ?
• Les données des clients sont-elles conservées uniquement le temps nécessaire ?
• L'équipe connaît-elle la procédure pour répondre aux demandes d'accès, de rectification ou de suppression des données ?

La conformité au RGPD n'est pas un projet ponctuel — c'est une pratique continue. Mais avec les bons processus en place, l'effort de maintenance est minime.