WhatsApp Business pour clinique esthétique : ce que dit la loi en 2026 (guide RGPD complet)

Vous gérez un cabinet de médecine esthétique, un institut, un studio de microblading ou une clinique de greffe capillaire. Vos clients communiquent désormais en WhatsApp, pas en SMS. Vous voulez envoyer les consignes post-soin par WhatsApp parce que c'est lu, c'est rapide, et vos concurrents le font déjà. Mais vous avez un doute légitime : est-ce conforme à la loi ?

La question est devenue critique en 2026. Les amendes pour mauvaise gestion de la communication électronique se multiplient. La loi française a changé le 21 mai 2025 et l'opt-out par défaut prend fin le 11 août 2026. La WhatsApp Business Policy a été durcie en novembre 2024 et exige désormais un opt-in actif documenté pour chaque canal.

Cet article fait le point complet, en s'appuyant uniquement sur les textes officiels. Pas d'interprétation marketing, pas de raccourci. Si une zone reste floue dans la doctrine officielle, c'est mentionné.

En 30 secondes : la réponse rapide

Peut-on envoyer un message WhatsApp à un client après un soin ? Oui, à trois conditions cumulatives : (1) le message relève strictement du suivi de la prestation payée par le client (consignes de cicatrisation, rappel de contrôle), ce qui active la base légale "exécution du contrat" prévue à l'article 6.1.b du RGPD ; (2) le client a été informé au moment de la collecte de son numéro que ce canal serait utilisé, conformément à l'article 13 du RGPD ; (3) le client a donné un opt-in actif spécifique à WhatsApp, exigé par la WhatsApp Business Policy indépendamment de la conformité RGPD.

Demander un avis Google par WhatsApp est différent. C'est une finalité commerciale (acquisition par la réputation), donc de la prospection commerciale au sens de l'article L34-5 du CPCE, qui exige un consentement préalable explicite, sauf à passer par une étape intermédiaire (par exemple une question de satisfaction "oui/non") qui matérialise le consentement actif du client à recevoir cette sollicitation.

Le reste de l'article détaille chacun de ces points.

Pourquoi cette question se pose en 2026

Trois évolutions convergentes ont rendu le sujet urgent.

WhatsApp est devenu un canal client à part entière. En France, environ 47 millions d'utilisateurs actifs en 2025, avec un taux d'ouverture supérieur à 95 % dans les minutes qui suivent l'envoi. Les praticiens qui basculent leur communication en WhatsApp constatent une lecture quasi-totale de leurs messages de suivi, là où le SMS plafonne autour de 80 % et l'email autour de 25 %.

La loi française a changé. Jusqu'en 2025, la prospection par voie électronique restait possible en opt-out pour les communications B2B et certains cas B2C. La loi du 21 mai 2025 sur la lutte contre les fraudes aux aides publiques, dont les effets s'étendent à la prospection commerciale, supprime ce régime au 11 août 2026. À partir de cette date, le consentement préalable explicite devient le régime de droit commun.

Les règles WhatsApp ont été durcies. En novembre 2024, la WhatsApp Business Policy a explicitement invalidé plusieurs pratiques courantes : les cases pré-cochées, le consentement "implicite" via acceptation des CGU, ou la transposition d'un opt-in SMS ou email vers WhatsApp. Le bouton de désinscription est devenu obligatoire sur les templates marketing.

Conclusion : un cabinet qui n'a pas mis sa communication WhatsApp en conformité en 2026 prend deux risques cumulés. Une sanction côté juridique. Une suspension du compte côté plateforme.

Les 3 régimes juridiques selon le type de message

Tous les messages WhatsApp envoyés à un client ne relèvent pas du même régime juridique. La règle change selon la finalité du message. C'est le point que la plupart des praticiens manquent.

Cas n°1 : conseils de suivi post-soin

Exemples : consignes de cicatrisation envoyées le soir du soin, rappel de ne pas s'exposer au soleil, message de check-in pour vérifier que tout va bien, rappel d'un rendez-vous de contrôle.

Régime applicable : exécution du contrat (article 6.1.b RGPD). Quand un client paie une prestation de soin, il achète aussi implicitement le suivi qui en garantit le résultat. L'envoi de consignes de cicatrisation fait partie objective de cette prestation. Aucun consentement supplémentaire n'est requis côté RGPD.

Le traitement doit être objectivement nécessaire à l'exécution du contrat. La simple mention dans les CGU ne suffit pas.

Attention : cette base ne couvre que ce qui est objectivement nécessaire à la prestation. Une promotion sur la prochaine séance, une newsletter ou une demande d'avis ne sont pas couvertes. C'est le piège fréquent : un même fil WhatsApp peut basculer d'un régime à l'autre selon le contenu du message.

Cas n°2 : demande d'avis Google

Exemples : message envoyé après le soin demandant au client de laisser un avis sur la fiche Google Business Profile du cabinet.

Régime applicable : prospection commerciale. Toute communication ayant une finalité de fidélisation, promotion ou acquisition (les avis nourrissent l'acquisition) est qualifiée de prospection. L'article L34-5 du CPCE interdit alors la sollicitation par voie électronique sauf consentement préalable explicite.

"Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant les coordonnées d'une personne physique qui n'a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen."

La solution conforme : le satisfaction gate. Insérer dans le parcours un message intermédiaire qui demande explicitement "Êtes-vous satisfait(e) de votre soin ?" avec une réponse oui/non. Le "oui" du client matérialise un consentement actif et spécifique à recevoir la sollicitation d'avis qui suit. C'est défendable en cas de contrôle et c'est aussi l'approche recommandée pour les templates marketing depuis novembre 2024.

Cas n°3 : marketing pur

Exemples : offre promotionnelle, message d'anniversaire avec code de réduction, lancement d'une nouvelle prestation, relance d'un client inactif.

Régime applicable : consentement préalable explicite obligatoire, sauf application de l'exception "client existant + produits ou services analogues" prévue par L34-5 alinéa 4 (et seulement si le destinataire dispose d'un moyen de s'opposer simple et gratuit à chaque envoi).

Le consentement doit être libre, spécifique, éclairé et univoque et requiert "une action positive et spécifique de la personne concernée (par exemple, une case à cocher dédiée et qui ne soit pas pré-cochée)."

Aucune doctrine officielle ne traite spécifiquement de WhatsApp. La pratique des autorités est de raisonner par analogie au SMS et à l'email. Un message WhatsApp marketing tombe donc sous le même régime que le SMS marketing.

La double couche : RGPD ET règles WhatsApp

C'est l'erreur la plus fréquente : penser qu'être conforme au RGPD suffit. Pour utiliser WhatsApp Business Platform, deux corps de règles s'empilent.

Le praticien est responsable de traitement au sens de l'article 4 du RGPD. C'est lui qui décide de la finalité du traitement (envoyer un message à son client) et des moyens (utiliser WhatsApp). Il porte la responsabilité juridique première en cas de manquement.

Twilio (ou un autre Business Solution Provider agréé : MessageBird, 360dialog, etc.) est sous-traitant au sens de l'article 28 du RGPD. Il traite les données pour le compte du praticien. Un Data Processing Addendum signable est mis à disposition, qui liste les sous-processeurs et impose une notification 30 jours avant tout changement d'infrastructure. Sans signature de ce DPA, le praticien ne peut pas justifier sa chaîne de sous-traitance auprès de l'autorité de contrôle.

WhatsApp est l'opérateur de la plateforme. Il n'est pas sous-traitant du praticien (il n'agit pas sur ses instructions), mais l'usage de WhatsApp Business Platform est conditionné au respect contractuel de la WhatsApp Business Policy. Un compte qui ne respecte pas ces règles d'opt-in peut être suspendu, indépendamment de toute décision de l'autorité de contrôle.

Ce que la plateforme exige depuis novembre 2024

La WhatsApp Business Policy impose, mot pour mot :

"You may only contact people on WhatsApp if (a) they have given you their mobile phone number, and (b) you have received opt-in permission from the recipient confirming that they wish to receive subsequent messages or calls from you."

Un opt-in valide présente trois caractéristiques :

1. Actif : une action positive du client (clic, signature, coche manuelle non pré-remplie). Une case pré-cochée est invalide.
2. Spécifique : il doit nommer explicitement WhatsApp comme canal et l'entreprise expéditrice. Un consentement générique "communications électroniques" ne suffit pas.
3. Documenté : le praticien doit être en mesure de produire la preuve de l'opt-in (date, contenu de la mention, identification client).

Templates pré-approuvés et fenêtre de 24 heures

WhatsApp Business Platform distingue deux régimes d'envoi :

• En session : si le client a écrit en premier ou répondu à un message, une fenêtre de 24 heures s'ouvre pendant laquelle des messages libres peuvent être envoyés.
• Hors session : seuls des templates de message pré-approuvés peuvent être envoyés. Trois catégories : authentication (codes OTP), utility (notifications, rappels, suivi de commande), marketing (promotion, fidélisation). Les messages marketing exigent depuis novembre 2024 un bouton de désinscription intégré.

Conséquence pour un cabinet esthétique : tous les messages de suivi proactifs (consignes le soir du soin, check-in à mi-cicatrisation, rappel de contrôle) doivent passer par des templates utility pré-approuvés. Une plateforme comme CuraFlow gère cette approbation pour vous, mais les messages que vous écrivez sont soumis aux règles de format de la plateforme avant d'être envoyés.

Données de santé : où s'arrête WhatsApp

C'est la zone la plus mal comprise. Une donnée n'est pas "de santé" parce que le client est venu pour un soin. La qualification dépend du contenu et du contexte.

Définition des données de santé

Trois catégories sont distinguées :

1. Par nature : antécédents médicaux, maladies, prestations de soins réalisées, résultats d'examens, traitements, handicap.
2. Par croisement : une donnée banale qui, croisée avec une autre, permet de déduire un état de santé.
3. Par destination : une donnée qui devient une donnée de santé en raison de l'utilisation qui en est faite au plan médical.

L'article 9 du RGPD interdit le traitement des données de santé, sauf dans les cas listés au paragraphe 2 (consentement explicite, finalité médicale exercée par un professionnel soumis au secret médical, etc.).

Esthéticienne, microblademaker, tatoueur : pas de données de santé en règle générale

Les données qu'un institut de beauté ou un studio de tatouage collecte (nom, téléphone, type de prestation, photo avant/après) ne sont pas des données de santé au sens de l'article 9 dans la quasi-totalité des cas. Ce sont des données personnelles classiques, soumises au RGPD général mais pas à la protection renforcée de l'article 9.

Exception : si la prestation révèle un état de santé. Une reconstruction esthétique post-cancer, un tatouage médical pour camoufler une cicatrice, un microblading après une chimiothérapie qui a fait perdre les sourcils. Dans ces cas, la donnée devient sensible "par croisement" ou "par destination". Il faut alors une base légale de l'article 9 (consentement explicite ou finalité médicale).

Médecin esthétique, dermatologue, chirurgien plasticien : MSSanté plutôt que WhatsApp

Pour un praticien médical, le contexte change radicalement. Le secret médical s'applique (article L1110-4 du Code de la santé publique) et la communication de données patients identifiantes par messagerie grand public est explicitement déconseillée.

L'usage des messageries sécurisées de santé (MSS), par exemple le système MSSanté opéré par l'Agence du Numérique en Santé, est recommandé. WhatsApp n'est pas hébergé sur un Hébergeur de Données de Santé (HDS) certifié, ce qui empêche son usage pour transmettre des données médicales structurées (résultats d'examens, comptes-rendus, prescriptions).

En pratique : un médecin esthétique peut utiliser WhatsApp Business Platform pour envoyer un rappel de rendez-vous, des consignes générales non identifiantes ("Pensez à éviter le soleil 48h après votre soin"), ou inviter le patient à se connecter à un espace patient sécurisé. Il ne peut pas y faire transiter de diagnostic, de résultat ou de donnée médicale identifiante.

L'arbre de décision : puis-je envoyer ce message WhatsApp ?

Avant chaque message, trois questions à se poser dans l'ordre.

1. Le client a-t-il donné un opt-in actif WhatsApp documenté ? Si non, ne pas envoyer (le compte serait suspendu), sauf à passer par WhatsApp Business app gratuite avec messages individuels manuels.
2. Quelle est la finalité du message ? Si c'est un suivi de prestation : base "exécution du contrat", message autorisé. Si c'est de la prospection (avis, promo, newsletter) : consentement spécifique requis, vérifier qu'il a été recueilli (via une question oui/non par exemple).
3. Le contenu inclut-il une donnée de santé identifiante ? Si oui et que vous êtes médecin : basculer sur MSSanté. Si non : WhatsApp utilisable.

Information à fournir au moment de la collecte (RGPD article 13)

Quand un client donne son numéro pour la première fois, l'article 13 du RGPD impose une information préalable. Sept mentions doivent figurer, sous une forme accessible (mention courte sur la fiche de contact + lien vers une politique de confidentialité complète).

Cette information ne doit pas être une page de CGU dense. Une mention de 4 lignes au moment où le client signe sa fiche, accompagnée d'un lien vers la politique complète, suffit.

Sanctions : combien ça peut coûter

L'article 83 du RGPD prévoit deux niveaux de sanctions.

Niveau 1 — manquements "moins graves" (registre des activités, sécurité, notification de violation) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.

Niveau 2 — manquements aux principes fondamentaux (consentement, droits des personnes, transferts hors UE) : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Cas réels en France dans le secteur prospection :

• Mai 2025 : sanction de 900 000 euros pour prospection SMS et email sans consentement valable, fondement combiné RGPD + L34-5 CPCE
• Décembre 2024 : sanction de 240 000 euros pour absence de base légale, durées de conservation excessives et défaut d'information
• Septembre 2024 : sanction simplifiée publiée sur Légifrance

À ce jour, aucune amende rendue publique en France ne concerne directement le secteur esthétique pour l'usage de WhatsApp. Mais l'absence de cas dans le secteur ne signifie pas absence de risque : les contrôles ne sont pas sectoriels, et le passage en opt-in obligatoire le 11 août 2026 va mécaniquement multiplier les signalements.

S'ajoute le risque côté plateforme : suspension du compte WhatsApp Business Platform en cas de plaintes répétées des destinataires. Pour un cabinet qui a basé sa communication client sur ce canal, c'est une perte d'exploitation immédiate.

Checklist de conformité en 12 points

Liste actionnable à parcourir cabinet par cabinet. Si une case n'est pas cochée, il y a un risque à corriger.

1. ☐ Une mention d'information conforme à l'article 13 RGPD est affichée au moment où le client donne son numéro (formulaire de contact, fiche papier, prise de RDV en ligne).
2. ☐ Le client coche activement (case non pré-remplie) son acceptation de recevoir des messages WhatsApp.
3. ☐ La preuve du consentement est conservée (date, mention exacte, identification client).
4. ☐ Les messages de suivi post-soin (consignes, rappels) sont envoyés sur la base "exécution du contrat" et leur contenu reste strictement lié à la prestation.
5. ☐ Les demandes d'avis Google sont précédées d'un message intermédiaire de satisfaction (oui/non) qui matérialise le consentement actif à recevoir la sollicitation.
6. ☐ Les messages marketing (promotions, anniversaires, relances) sont envoyés uniquement aux clients ayant opté-in spécifiquement pour ce type de message.
7. ☐ Tous les templates utilisés via WhatsApp Business Platform sont pré-approuvés.
8. ☐ Les templates marketing incluent un bouton ou une mention de désinscription accessible en un clic.
9. ☐ Un Data Processing Addendum est signé avec le BSP utilisé.
10. ☐ Une politique de confidentialité publique est accessible, à jour, et listant les sous-traitants.
11. ☐ Si le praticien est médecin : aucune donnée de santé identifiante ne transite par WhatsApp ; les échanges médicaux passent par MSSanté.
12. ☐ Une procédure de réponse aux demandes d'exercice de droits (accès, suppression) est en place.

Comment CuraFlow gère cette conformité

CuraFlow est conçu en partant de la conformité, pas en l'ajoutant après coup. Voici les choix structurants qui s'appliquent par défaut à chaque praticien qui utilise la plateforme.

Base légale par défaut "exécution du contrat". Les messages de suivi post-soin envoyés via CuraFlow sont qualifiés "exécution du contrat" (article 6.1.b RGPD). Le contenu des séquences est par nature lié à la prestation (consignes, check-in, rappel de contrôle).

Satisfaction gate avant la demande d'avis. Aucun message de demande d'avis Google n'est envoyé sans qu'un message de satisfaction préalable n'ait été envoyé et que le client n'ait répondu "oui" aux boutons interactifs. Le "oui" sert de consentement actif à la sollicitation qui suit.

Templates pré-approuvés. Tous les messages WhatsApp passent par des templates utility pré-approuvés. Le praticien personnalise le contenu textuel ; le format reste conforme.

Twilio comme BSP, DPA signé. CuraFlow utilise Twilio comme Business Solution Provider WhatsApp. Le DPA est signé par CuraFlow et la liste des sous-processeurs est accessible dans la politique de confidentialité.

Information article 13 par défaut. Le formulaire d'ajout client de CuraFlow inclut la mention obligatoire et un lien vers la politique de confidentialité du praticien (CuraFlow fournit un modèle).

Pas de données de santé identifiantes. Les champs de données collectés par CuraFlow sont volontairement limités au minimum nécessaire (nom, prénom, téléphone, langue, type de prestation). Aucun champ "diagnostic", "antécédent" ou "résultat d'examen" n'existe par design.

Cette conformité n'est pas un argument marketing. C'est ce qui permet à un praticien d'utiliser WhatsApp comme canal client sans porter le risque juridique tout seul.

Tester CuraFlow gratuitement pendant 30 jours →

Ce qu'il faut retenir

WhatsApp est devenu un canal client incontournable en esthétique, mais son usage automatisé impose une double conformité.

1. Côté RGPD : qualifier la finalité de chaque message avant de l'envoyer. Suivi de prestation = exécution du contrat. Avis ou marketing = prospection commerciale, consentement requis.
2. Côté plateforme : opt-in actif documenté pour chaque client, templates pré-approuvés hors session de 24 heures, bouton de désinscription pour les templates marketing.
3. Côté médical : si vous êtes médecin, MSSanté pour les données de santé identifiantes. WhatsApp uniquement pour les communications non-identifiantes.

Un cabinet qui structure ces trois couches élimine 95 % du risque juridique et préserve son canal client. La majorité des sanctions en prospection ne viennent pas de mauvaise foi : elles viennent d'une absence de base légale documentée.

Questions fréquentes

Un praticien esthétique peut-il envoyer un message WhatsApp à un client après un soin sans consentement écrit ?

Oui, sur la base juridique de l'exécution du contrat (article 6.1.b du RGPD), à condition que le message relève strictement du suivi de la prestation (consignes de soin, rappel de rendez-vous de contrôle). Une demande d'avis Google ou un message promotionnel via WhatsApp relève en revanche de la prospection commerciale et exige un consentement préalable explicite, conformément à l'article L34-5 du Code des postes et communications électroniques. La WhatsApp Business Policy impose en plus un opt-in actif spécifique au canal WhatsApp.

Quelle est la différence entre WhatsApp Business app gratuite et WhatsApp Business Platform via Twilio ?

La WhatsApp Business app est l'application gratuite installée sur un smartphone, conçue pour les TPE qui répondent manuellement aux clients. La WhatsApp Business Platform passe par un Business Solution Provider (BSP) agréé comme Twilio, et permet l'envoi automatisé de messages à grande échelle, l'usage de templates pré-approuvés et l'intégration à des outils métier. La Platform est obligatoire pour automatiser les messages de suivi post-soin et exige des règles de conformité plus strictes.

Peut-on transmettre des données médicales par WhatsApp à un patient ?

Pour un médecin, il est recommandé de ne pas utiliser WhatsApp pour transmettre des données patients identifiantes. La messagerie sécurisée de santé MSSanté est le canal officiel. WhatsApp n'est pas hébergé sur un Hébergeur de Données de Santé (HDS) certifié. Pour une esthéticienne ou un praticien non-médical, les données collectées (nom, téléphone, type de soin) ne sont pas des données de santé au sens de l'article 9 du RGPD, sauf si la prestation révèle une pathologie.

Combien risque-t-on en cas de manquement RGPD pour mauvaise gestion de la communication WhatsApp avec ses clients ?

Les sanctions RGPD prévues à l'article 83 du règlement vont jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements les moins graves, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les manquements aux principes fondamentaux. Plusieurs sanctions récentes ont concerné des sociétés sanctionnées entre 240 000 et 900 000 euros pour des envois de prospection SMS et email sans consentement valable.

Que doit contenir l'information donnée au client au moment où on collecte son numéro de téléphone ?

L'article 13 du RGPD impose 7 mentions au moment de la collecte : l'identité et les coordonnées du responsable de traitement, les finalités du traitement, la base légale appliquée à chaque finalité, les destinataires éventuels, la durée de conservation, les droits du client, et le droit d'introduire une réclamation auprès de l'autorité de contrôle. Cette information peut être donnée via une mention courte sur la fiche de contact accompagnée d'un lien vers une politique de confidentialité complète.

Faut-il un consentement séparé pour utiliser WhatsApp plutôt que SMS ?

Oui. La WhatsApp Business Policy exige un opt-in actif et explicite spécifique au canal WhatsApp. Un consentement antérieur recueilli pour l'email ou le SMS ne suffit pas : le client doit avoir confirmé qu'il accepte de recevoir des messages sur WhatsApp et de la part de votre entreprise nommée. La case pré-cochée n'est pas un consentement valide.

Pour aller plus loin

• Comment demander un avis Google à ses clients esthétiques
• Les 5 messages que vos clients attendent après un soin
• Logiciel de suivi client esthétique : le comparatif 2026

Références. RGPD (UE 2016/679, art. 6, 9, 13, 28, 83) · CNIL · Code des postes et communications électroniques (art. L34-5) · WhatsApp Business Policy · Code de la santé publique (art. L1110-4) · Lignes directrices EDPB. Liens hypertextes vers les sources officielles intégrés dans le corps de l'article.

Disclaimer : Ce contenu ne constitue pas un conseil juridique individualisé. Il s'appuie sur les textes officiels en vigueur au moment de sa rédaction (mai 2026). Pour une situation spécifique, consultez un délégué à la protection des données ou un avocat en droit du numérique. CuraFlow est un outil d'envoi de messages automatisés post-soin destiné aux professionnels. Les messages envoyés sont entièrement personnalisés et définis par le praticien lui-même.