Confidentialité des données et sécurité
Cette page décrit comment Meta fournit aux entreprises l’API Cloud en tant que service autonome pour l’envoi à grande échelle de messages aux utilisateur·ices via WhatsApp. Meta leur propose également des services optionnels supplémentaires à intégrer à l’API Cloud. Par exemple, une entreprise peut tirer parti des fonctionnalités d’IA de Meta pour converser avec sa clientèle via l’API Cloud. Lorsqu’une entreprise choisit d’utiliser ces services, différentes conditions peuvent s’appliquer. Consultez la documentation afférente pour plus de détails sur le traitement des données par Meta dans le cadre de ces services.
Flux de messages
Lorsqu’une personne envoie un message à l’une de ces entreprises, le message transite entre elle et l’API Cloud grâce à un chiffrement de bout en bout. Conformément au protocole du signal, l’utilisateur ou l’utilisatrice et l’API Cloud (pour le compte de l’entreprise) négocient les clés de chiffrement et établissent un canal de communication sécurisé. WhatsApp ne peut pas accéder au contenu des messages échangés.
Dès qu’un message est reçu par l’API Cloud, il est déchiffré puis transféré à l’entreprise. Les messages sont temporairement stockés par l’API Cloud uniquement dans le but de fournir les fonctionnalités de base de l’API.
Les messages envoyés par une entreprise à un utilisateur ou une utilisatrice prennent le chemin inverse. Les entreprises envoient des messages à l’API Cloud. Le service de l’API Cloud les stocke temporairement puis se charge de les envoyer à la plateforme WhatsApp. Les messages sont stockés en vue d’être éventuellement retransférés.
Tous les messages sont chiffrés par l’API Cloud avant d’être envoyés à WhatsApp grâce au protocole du signal, avec les clés négociées par l’utilisateur ou l’utilisatrice (le ou la destinataire).
WhatsApp joue le rôle d’un service de transfert en fournissant le logiciel nécessaire au transfert des messages, tant du point de vue du client que du serveur. WhatsApp n’a aucune visibilité sur le contenu des messages envoyés. La plateforme protège les utilisateurs et utilisatrices en détectant toute séquence de messagerie inhabituelle (comme une entreprise essayant d’écrire à l’ensemble d’entre eux) ou en collectant leurs rapports de spam.
L’API Cloud, proposée par Meta, agit comme un intermédiaire entre WhatsApp et les entreprises qui l’utilisent. En d’autres termes, ces entreprises ont donné à l’API Cloud l’autorisation d’intervenir en leur nom. Pour cette raison, WhatsApp transfère à l’API Cloud tous les messages adressés à ces entreprises et s’attend également à recevoir de l’API Cloud tous les messages émanant de ces entreprises. Ce comportement est identique à celui du client On-Premises.
Meta, en proposant le service API Cloud WhatsApp, agit en tant que sous-traitant de l’entreprise. À ce titre, les entreprises demandent à Meta de leur accorder un accès automatique à la plateforme WhatsApp Business.
L’API Cloud reçoit de WhatsApp les messages destinés aux entreprises qui utilisent cette même API. L’API Cloud envoie également à WhatsApp les messages envoyés par ces entreprises. Les autres services de Meta (autres que l’API Cloud) n’ont pas accès aux communications des entreprises utilisant l’API Cloud, ce qui vaut pour le contenu des messages. Meta n’utilise aucune donnée provenant de l’API Cloud à des fins publicitaires.
Données stockées et collectées
Toutes les données collectées, stockées et accessibles par l’API Cloud sont contrôlées et surveillées pour garantir une utilisation en bonne et due forme et maintenir le niveau élevé de confidentialité exigé par la clientèle WhatsApp.
Les informations sur l’entreprise (numéro de téléphone professionnel, adresse professionnelle, etc.) sont gérées par Meta et le produit Business Manager et sont soumises aux conditions de service définies par Meta. L’API Cloud s’appuie sur Business Manager et les autres systèmes appartenant à Meta pour identifier tout accès à l’API Cloud pour le compte de l’entreprise.
Les messages envoyés ou reçus via l’API Cloud sont uniquement accessibles par l’API Cloud, et aucun autre service de Meta ne peut utiliser ces informations. Les messages doivent être conservés pendant une période de 30 jours maximum afin de fournir les fonctionnalités de base et celles du service de l’API Cloud, par exemple dans le cas où certains doivent être retransférés. Passé ce délai de 30 jours, ces fonctionnalités ne sont plus disponibles.
L’API Cloud n’utilise aucune information sur les utilisateurs et utilisatrices (client·es ou consommateur·ices) avec lesquels l’entreprise communique autre que le numéro de téléphone servant à identifier le compte. Cette information sert uniquement à distribuer les messages via le code du client WhatsApp. Les numéros de téléphone des utilisateurs et utilisatrices servent de source ou de destination aux messages. Ils sont ainsi supprimés au moment de la suppression des messages. Seule l’API Cloud de Meta a accès à ces informations.
Aucun contenu de message n’est partagé avec WhatsApp ou envoyé à la plateforme et aucune personne travaillant pour WhatsApp n’y a accès.
| Données de l’API Cloud | Système | Disponibles auprès des autres services de Meta ? | Disponibles auprès de WhatsApp ? |
|---|---|---|---|
Contenu des messages | API Cloud | Non | Non |
Numéro de téléphone des consommateurs | API Cloud | Non | Oui |
Statistiques non identifiables | API Cloud | Oui | Oui |
Signaux d’intégrité (par entreprise) | Client WhatsApp | Non | Oui |
Informations sur l’entreprise | Business Manager | Oui | Oui |
Facturation (par entreprise) | Oui | Oui |
Questions/réponses
Meta n’utilisera pas les messages WhatsApp pour déterminer les publicités qu’une personne voit. Toutefois, et comme c’est toujours le cas, les entreprises peuvent utiliser les messages qu’elles reçoivent à des fins de marketing, ce qui peut inclure de la publicité sur Facebook ou via d’autres canaux, tels que les e-mails ou la télévision.
L’API Cloud est localisée dans les data center de Meta, sauf si une entreprise a choisi d’utiliser les stockages locaux de l’API Cloud. Meta possède des data center en Amérique du Nord et en UE.
Les messages au repos sont chiffrés. Ils sont automatiquement supprimés après 30 jours.
Comme tous les autres partenaires de la solution API WhatsApp Business, Meta gère les clés de chiffrement et de déchiffrement pour les entreprises. Pour envoyer et recevoir des messages par le biais de l’API Cloud, cette dernière gère les clés de chiffrement/déchiffrement pour l’entreprise. Meta gère l’API Cloud et ses conditions générales limitent son utilisation à la fourniture de services de messagerie uniquement. WhatsApp n’a pas accès aux clés ni aux messages
Nous avons obtenu un rapport SOC 2 Type II. Veuillez consulter notre Centre de conformité de la messagerie Meta Business pour en savoir plus.
Meta prend la protection des données et la vie privée des personnes très au sérieux, et nous nous engageons à rester en accord avec les lois de protection des données. L’API Cloud permet à nos clients de respecter leurs obligations en matière de Règlement général sur la protection des données (RGPD). Meta se conforme aux critères légaux, sectoriels et réglementaires applicables, ainsi qu’aux meilleures pratiques du secteur. Afficher la suite.
Meta et WhatsApp utilisent des mécanismes de transfert conformes au RGPD lors des transferts de données de l’UE et/ou du Royaume-Uni vers les États-Unis.
Voir les conditions légales suivantes pour en savoir plus :
- Pour les clients de la région Europe, voir l’Avenant sur les transferts de données de WhatsApp Business.
- Pour les clients du Royaume-Uni, voir l’Avenant sur les transferts de données du Royaume-Uni de WhatsApp Business.
Voir les Conditions générales applicables de traitement des données de WhatsApp Business ou d’hébergement de Meta pour l’API Cloud pour obtenir la liste des sous-traitants en vigueur.
Nous veillerons à ce que nos entreprises et nos partenaires puissent continuer à bénéficier de solutions professionnelles tout en assurant la sécurité de leurs données.