Mise en place concrète de la conformité pour les hôtels utilisant WhatsApp — flux de données Meta, base légale RGPD, sortie du périmètre PCI, règles de conservation et contrats réellement nécessaires.
Chaque groupe hôtelier européen avec lequel nous échangeons aboutit à la même question dans les dix minutes qui suivent toute conversation sur WhatsApp : « est-ce seulement légal ? » Oui, sous conditions. WhatsApp peut être exploité dans le respect du RGPD et des règles PCI. Cela exige les bons contrats, les bons flux de données et quelques règles strictes que le personnel n'a pas le droit d'enfreindre.
Les enjeux ne sont pas théoriques. La DPC irlandaise a infligé à Meta une amende de 1,2 Md€ en 2023 pour des transferts visés par Schrems II. Booking.com s'est vu infliger 475 000 € par la DPA néerlandaise en 2021 pour notification tardive de violation. Les hôtels eux-mêmes décrochent rarement des amendes médiatisées. En revanche, ils échouent régulièrement aux audits, perdent des comptes corporate qui exigent une attestation RGPD, et se retrouvent avec un périmètre PCI qu'ils n'avaient pas budgété. Une mauvaise configuration WhatsApp peut aussi déboucher sur des plaintes auprès de la CNIL, de l'ICO ou du Garante émanant d'un seul client estimant que ses messages ont été mal traités.
Il s'agit d'un guide opérationnel, et non d'un avis juridique. Faites valider la check-list par votre DPO ou votre conseil avant toute mise en production. Nous l'avons rédigée pour les directeurs d'hôtel, les responsables IT et les directeurs des opérations groupe qui souhaitent un document concret à remettre au juridique, plutôt qu'une vague assurance « nous utilisons un fournisseur conforme ». Pour la vue d'ensemble des coûts, voir notre pilier coûts WhatsApp pour les hôtels.
Avant toute discussion sur la conformité, recensez les données. Dans une configuration WhatsApp typique d'un hôtel européen, le canal véhicule :
Les données relatives aux allergies et à l'accessibilité sont des données particulières au sens de l'article 9 du RGPD. Les images de passeport sont des documents d'identité. Une plainte concernant un enfant malade constitue une donnée de santé. WhatsApp n'est pas un canal à faible enjeu sous prétexte qu'il paraît informel pour les clients.
Pour comprendre comment ces données s'articulent avec le reste de votre stack, consultez intégrations et API dans la stack tech hôtelière. Le PMS, le fournisseur de messagerie et toute couche d'IA touchent à ces données, et votre registre des activités de traitement (article 30) doit en rendre compte.
L'erreur la plus fréquente que nous observons est celle des hôtels qui invoquent le consentement (article 6(1)(a)) pour tout. Le consentement est la base légale la plus fragile. Il doit être libre, spécifique, éclairé et univoque, et le client peut le retirer à tout moment. Si vous envoyez un message d'arrivée à une personne qui vient de réserver via Booking.com, le consentement n'est pas la bonne base.
Utilisez cette base pour les messages transactionnels liés à la réservation. Instructions d'arrivée, transmission du code de chambre, notifications de chambre prête, rappels de départ, liens de facture. Le client a conclu un contrat en réservant. L'envoi des messages nécessaires à l'exécution de ce contrat est licite sans consentement distinct.
Utilisez cette base pour les messages d'amélioration du service, les demandes d'avis post-séjour et les alertes opérationnelles qui ne relèvent pas strictement du contrat mais sont raisonnablement attendues. Réalisez une évaluation des intérêts légitimes (LIA) et documentez-la. Les clients doivent pouvoir s'opposer facilement.
Réservez le consentement au marketing. Offres promotionnelles, contenus de type newsletter, messages de retargeting : ces envois requièrent un opt-in explicite, recueilli avant l'émission, avec un mécanisme de retrait clair. Les cases pré-cochées ne fonctionnent pas. L'arrêt Planet49 de 2020 a définitivement enterré ce schéma.
Les hôtels qui tentent de tout faire passer par le consentement se retrouvent avec de faibles taux d'opt-in et des difficultés opérationnelles lorsque les clients se rétractent. Répartir les bases légales par type de message demande davantage de travail en amont, mais bien moins en production.
WhatsApp est exploité par Meta Platforms Ireland Limited pour les utilisateurs européens. Vous utilisez également un Business Solution Provider (BSP) tel que Twilio, 360dialog ou MessageBird. Si vous exécutez une couche d'IA, c'est un sous-traitant supplémentaire.
Meta agit comme sous-traitant pour le contenu des messages transitant via la WhatsApp Business API. Leurs conditions intègrent des clauses de traitement des données par renvoi. Vous ne signez pas un DPA papier distinct avec Meta. L'accord se compose des conditions de votre BSP et des WhatsApp Business Solution Terms de Meta. Conservez une copie des deux versions acceptées.
Twilio, 360dialog et MessageBird publient chacun leur propre DPA. Signez-les. Confirmez les sous-traitants ultérieurs (ils mentionneront AWS, GCP, parfois des régions Azure). Vérifiez si le BSP traite vos données dans l'UE ou les achemine via les États-Unis. 360dialog est une option dont le siège est dans l'UE, que certains hôtels privilégient pour des raisons de résidence des données.
Si vous exploitez un AI Operator comme Viqal en surcouche de WhatsApp, vous avez également besoin d'un DPA avec ce fournisseur. Vérifiez : la résidence des données dans l'UE, les sous-traitants ultérieurs nommés (le fournisseur du LLM compte ici), les durées de conservation par défaut et le processus de suppression. Pour aller plus loin, consultez notre guide sécurité des données et conformité.
Un client écrit à votre DPO pour demander l'ensemble de ses données personnelles. Les journaux WhatsApp se trouvent désormais chez votre BSP, dans la base de votre fournisseur d'IA, possiblement dans votre CRM, ainsi que sur les serveurs de Meta. Les articles 15 (accès), 17 (effacement) et 20 (portabilité) s'appliquent tous.
Construisez un runbook DSAR avant d'en avoir besoin. Étapes qui fonctionnent :
L'effacement est plus délicat. Vous ne pouvez pas purger le fil WhatsApp depuis le téléphone du client. Précisez clairement cette limite dans votre politique de confidentialité. Vous supprimez côté serveur, mais le téléphone du client conserve le fil tant qu'il ne l'efface pas lui-même.
Une dernière question relative aux droits : l'article 22 sur la décision automatisée. Si votre AI Operator prend des décisions affectant le client (changements de tarif, attribution de chambre, refus), signalez-le dans la politique de confidentialité et offrez une voie d'examen humain. La plupart des usages d'IA en hôtellerie sont assistifs plutôt que totalement automatisés, mais validez avec votre DPO. La frontière entre « l'IA rédige une réponse, l'humain valide » et « l'IA envoie la réponse directement » est déterminante.
La règle PCI DSS est simple : si des données de porteur de carte transitent par vos systèmes, ces systèmes entrent dans le périmètre. WhatsApp ne fait pas exception. Si un client saisit un numéro à 16 chiffres dans un fil de discussion et que votre personnel ou votre BSP peut le lire, vous venez d'étendre le périmètre PCI à WhatsApp, à votre BSP, à votre couche d'IA et à tout agent ayant vu le fil.
C'est pourquoi la règle la plus importante de toute politique WhatsApp en hôtellerie est la suivante : n'acceptez jamais de numéros de carte dans le chat. Ni de la part des clients, ni de celle du personnel. Si un client en envoie un, traitez-le comme un incident de sécurité. Supprimez côté serveur, demandez au client d'utiliser un lien de paiement et documentez l'événement.
Le schéma qui fonctionne : envoyer un lien vers une page de paiement hébergée par un prestataire conforme PCI. Mews Payments, Stripe, Adyen, Worldline et les passerelles régionales équivalentes à Stripe le permettent toutes. Les données de carte du client transitent directement vers la passerelle, ne touchent jamais WhatsApp, ne touchent jamais votre BSP, ne touchent jamais votre fournisseur d'IA. Vous recevez un jeton ou une confirmation de paiement en retour via webhook.
Bien exécuté, ce schéma vous maintient en SAQ A — le questionnaire d'auto-évaluation PCI le plus léger. Mal exécuté (lorsque le personnel saisit occasionnellement des numéros de carte dans le chat pour « aider » les clients), vous basculez en SAQ A-EP, voire pire, et votre QSA n'appréciera guère.
Vous avez trois horloges de conservation à concilier :
Un schéma viable : conserver le journal de messages actif chez votre BSP pendant 90 jours, archiver les enregistrements structurés (nom du client, dates, montants, référence de réservation) dans votre PMS pour la durée légale de conservation, et purger le contenu en texte libre après 12 mois sauf litige ouvert. Documentez le calendrier. L'article 5(1)(e) impose la limitation de la conservation ; « nous gardons tout indéfiniment » n'est pas une position défendable.
Schrems II a invalidé le Privacy Shield en 2020. Les clauses contractuelles types (CCT) assorties d'une analyse d'impact des transferts constituent désormais le schéma de travail pour tout flux de données vers les États-Unis. L'amende de 1,2 Md€ infligée à Meta en 2023 portait précisément sur cette question.
Ce qui a changé en 2024 : Meta a rapatrié les données des utilisateurs européens dans des centres de données européens pour plusieurs de ses produits. L'acheminement du contenu des messages WhatsApp Business a évolué, mais la réponse n'est pas en une ligne — vérifiez la documentation Meta en vigueur sur la résidence des données pour votre configuration BSP spécifique. Ne présumez pas la résidence dans l'UE sans confirmation.
Pour votre couche d'IA, posez trois questions : où l'application est-elle hébergée, où l'inférence du LLM est-elle exécutée, et un entraînement est-il réalisé sur vos données clients ? « Aucun entraînement sur les données clients » doit figurer au contrat. La région d'inférence compte, car certains fournisseurs acheminent par défaut vers des régions américaines.
Parcourez-la avec votre DPO avant le lancement. Chaque item doit avoir un responsable et une réponse documentée.
| # | Item | Responsable |
|---|---|---|
| 1 | WhatsApp Business Solution Terms acceptées et version archivée | IT |
| 2 | DPA BSP signé (Twilio / 360dialog / MessageBird) | Juridique |
| 3 | DPA fournisseur IA signé avec sous-traitants ultérieurs nommés | Juridique |
| 4 | Liste des sous-traitants ultérieurs tenue à jour et revue trimestriellement | DPO |
| 5 | Registre de l'article 30 mis à jour pour inclure les flux WhatsApp | DPO |
| 6 | Base légale cartographiée par type de message (contractuelle, IL, consentement) | DPO |
| 7 | Évaluation des intérêts légitimes documentée pour les messages 6(1)(f) | DPO |
| 8 | Politique de confidentialité mise à jour, mentionnant explicitement WhatsApp | Marketing & DPO |
| 9 | Mécanisme d'opt-out testé (mot-clé STOP pris en compte) | Ops |
| 10 | Runbook DSAR couvrant les exports BSP et fournisseur IA | DPO |
| 11 | Runbook de suppression avec API fournisseurs documentées | IT |
| 12 | Calendrier de conservation pour le contenu des messages (p. ex. 12 mois) | DPO |
| 13 | Formation du personnel : ne jamais accepter de numéros de carte dans le chat | Directeur |
| 14 | Flux de lien de paiement utilisant une passerelle conforme PCI (Mews / Stripe / Adyen) | Finance |
| 15 | SAQ A confirmé avec l'acquéreur | Finance |
| 16 | Plan de réponse à incident couvrant les scénarios de violation de données WhatsApp | IT & DPO |
| 17 | Résidence des données dans l'UE confirmée pour le BSP et le fournisseur IA | IT |
| 18 | CCT + analyse d'impact des transferts archivées pour tout flux hors UE | Juridique |
| 19 | Modèles approuvés par Meta et revus pour le langage de conformité (voir modèles WhatsApp pour hôtels) | Marketing |
| 20 | Revue annuelle planifiée avec le DPO et l'IT | DPO |
Liste longue. Chaque item correspond à une question susceptible d'être posée par un auditeur ou un inspecteur de DPA curieux. Avoir la réponse prête dans un dossier vaut mieux que découvrir au cours d'une enquête que personne n'a documenté la LIA il y a deux ans. Les directeurs au niveau de l'établissement s'accommodent généralement bien des règles. C'est l'alignement de la mémoire opérationnelle de la réception qui exige un travail continu. Renouvelez la formation « pas de numéros de carte dans le chat » tous les six mois, et non une seule fois à l'intégration.
Nous avons conçu Viqal en pensant aux hôtels européens. Hébergement dans l'UE, sous-traitants ultérieurs nommés, aucun entraînement sur les données clients, contrôles de conservation paramétrables par établissement, et un endpoint d'export DSAR qui restitue un enregistrement structuré par client. Nous avons également publié notre position en matière de sécurité et conformité, qui constitue la 10e partie de notre série sur la stack tech hôtelière.
Rien de tout cela ne vous décharge de vos obligations en tant que responsable de traitement. Vous restez maître des décisions de base légale, de la politique de confidentialité et des réponses aux DSAR. Ce que nous cherchons à faire, c'est réduire la surface contractuelle et technique dont vous avez à vous soucier, afin que le canal WhatsApp ressemble à une relation fournisseur ordinaire plutôt qu'à un champ de mines réglementaire.
Pour la vue d'ensemble opérationnelle et financière, le pilier coûts WhatsApp pour les hôtels détaille la tarification, les catégories de conversation et le calcul du ROI. Conformité et coût sont les deux faces d'une même décision de mise en place. Sécurisez les contrats et le reste suit.
Pas systématiquement. Les messages transactionnels liés à la réservation (arrivée, codes de chambre, rappels de départ) relèvent de l'article 6(1)(b) du RGPD, exécution d'un contrat. Les messages de service peuvent relever de l'intérêt légitime au titre du 6(1)(f), avec une LIA documentée. Réservez le consentement explicite du 6(1)(a) aux contenus marketing et promotionnels, avec un opt-in clair et un retrait facile.
Non. Accepter des données de carte brutes dans le chat fait basculer WhatsApp, votre BSP et votre couche d'IA dans le périmètre PCI. Utilisez plutôt des liens de paiement tokenisés, envoyés via WhatsApp mais pointant vers une page hébergée par Mews Payments, Stripe, Adyen ou une passerelle conforme PCI équivalente. Formez le personnel à ne jamais saisir de numéros de carte dans le chat, même à la demande des clients.
Cela dépend du type de message. Les confirmations de réservation et les instructions d'arrivée s'appuient généralement sur la nécessité contractuelle de l'article 6(1)(b). Les alertes opérationnelles et les demandes d'avis fonctionnent souvent au titre du 6(1)(f) intérêt légitime, avec une évaluation des intérêts légitimes au dossier. Le marketing requiert le consentement de l'article 6(1)(a) avec un opt-in spécifique. Cartographiez chaque type de message à une base légale et documentez-le.
Trois horloges s'appliquent : les durées de conservation par défaut de Meta, vos besoins opérationnels (typiquement 90 jours à 12 mois) et les obligations fiscales sur les pièces de facturation (7 à 10 ans selon la juridiction). Un schéma courant : 90 jours en actif chez le BSP, 12 mois pour le contenu en texte libre, et données structurées de facturation archivées dans le PMS pour la durée légale. Documentez le calendrier.
Oui. Twilio, 360dialog, MessageBird et les autres Business Solution Providers publient chacun leur propre DPA, distinct des WhatsApp Business Solution Terms de Meta. Signez-le, confirmez la liste des sous-traitants ultérieurs, vérifiez la résidence des données et conservez les deux documents au dossier. Si vous utilisez en outre un fournisseur d'IA, c'est un troisième DPA. Votre DPO doit disposer des trois.
Meta a rapatrié davantage de données d'utilisateurs européens dans des centres de données européens au cours de 2024, en partie en réponse à l'amende Schrems II de 1,2 Md€ de 2023. L'acheminement WhatsApp Business a évolué, mais la situation varie selon la configuration BSP. Ne présumez pas une pleine résidence dans l'UE. Consultez la documentation Meta en vigueur sur la résidence des données, les lieux de traitement de votre BSP, et mettez à jour votre analyse d'impact des transferts en conséquence.
.avif){kind=spacer}
