Le marketing par WhatsApp est-il légal dans l'UE ?

Oui, lorsque les clients ont fait un opt-in et que la messagerie suit la politique WhatsApp Business de Meta et le RGPD. Hapee est d'abord par modèle et exige que vous garantissiez l'opt-in ; il ne contacte pas les clients qui n'ont pas consenti.

Où mes données sont-elles stockées ?

Dans l'UE. Le traitement et le stockage s'exécutent dans une région de l'UE, et les données de vos clients ne quittent pas le bloc.

Qui peut voir mon jeton d'accès WhatsApp ?

Personne via le produit. Les jetons sont chiffrés par locataire et ne sont jamais renvoyés au navigateur ni dans aucune réponse d'API.

Hapee est-il conforme au RGPD ?

Hapee est conçu pour prendre en charge le RGPD : une base légale via l'opt-in du marchand, la résidence dans l'UE, le chiffrement, le traitement des demandes des personnes concernées et un contrat de traitement des données sur demande.

Qu'advient-il de mes données si je pars ?

Le contact s'arrête immédiatement et les enregistrements ne sont conservés que dans la mesure nécessaire à la facturation et aux obligations légales, puis supprimés ou anonymisés.

Sécurité & confiance

Conçu pour les marchands qui prennent au sérieux les données de leurs clients.

Résidence des données dans l'UE, chiffrement par locataire et isolation stricte. Des engagements en langage clair, pas seulement des badges.

Résidence des données dans l'UE Prêt pour le RGPD Chiffrement par locataire Conforme à la politique de Meta

Résidence des données dans l'UE

Les données sont traitées et stockées dans l'UE. L'infrastructure tourne dans une région de l'UE ; les informations de vos clients ne quittent pas le bloc.

Chiffrement au repos, par locataire

Les jetons d'accès WhatsApp sont chiffrés par locataire et jamais exposés au navigateur. Les API de réglages omettent entièrement les secrets.

Données client protégées de Shopify

Nous respectons les exigences Protected Customer Data de Shopify : accès minimal nécessaire, une finalité documentée pour chaque champ et des contrôles de traitement de données de niveau 2. Hapee lit les paniers et les commandes, jamais les détails de paiement.

Isolation des locataires

Chaque requête est limitée à votre boutique par un jeton bearer signé ; le serveur dérive votre identité, jamais le client. Un locataire ne peut jamais atteindre les données d'un autre.

Conformité WhatsApp & Meta

Le contact est d'abord par modèle et conforme à la politique. Vous garantissez l'opt-in de vos clients ; Hapee applique les règles de messagerie et de modèles de Meta.

Secrets côté serveur uniquement

L'URL de base de l'API Go et le jeton bearer du marchand résident uniquement côté serveur. Le navigateur parle à notre serveur d'application ; il ne détient jamais d'identifiant et n'appelle jamais le cœur directement.

Frontières des données

Comment vos données sont protégées, de bout en bout

Le navigateur ne touche jamais le cœur ni votre jeton WhatsApp. Chaque requête est intermédiée côté serveur et limitée à votre boutique.

Navigateur

Cookie de session uniquement, httpOnly et Secure

Session

Serveur d'app Hapee

Détient le jeton bearer et l'ajoute côté serveur

Chiffré

Cœur Go

Données par locataire, jeton chiffré au repos

Le navigateur ne parle qu'au serveur d'app Hapee. Le cœur Go et le jeton WhatsApp ne sont jamais exposés au client.

Deux frontières font le vrai travail. Entre le navigateur et notre serveur d'app, seul un cookie de session httpOnly, Secure et SameSite circule, de sorte qu'aucun identifiant n'atteint jamais le JavaScript côté client et qu'il n'y a rien à voler pour un script malveillant.

Entre notre serveur d'app et le cœur Go, un jeton bearer signé par HMAC et de courte durée identifie votre boutique, dérivé du seul jeton, jamais de ce que le client envoie. Votre jeton d'accès WhatsApp reste chiffré au repos et n'est déchiffré qu'en mémoire, au moment de l'envoi d'un message. Il n'est jamais écrit dans un journal, renvoyé par une API ni affiché dans le tableau de bord.

Cycle de vie des données

Ce que nous traitons, et pendant combien de temps

Le minimum nécessaire pour récupérer les paniers, conservé seulement tant qu'il est utile, puis supprimé.

Ce que nous collectons

Le contenu et la valeur des paniers abandonnés, le prénom et le numéro WhatsApp du client pour les acheteurs ayant fait un opt-in, le corps des messages et les états de livraison, et la finalisation de commande pour l'attribution. Aucune donnée de paiement.

Pourquoi nous le traitons

Uniquement pour délivrer la messagerie de récupération que vous configurez, sur la base légale sur laquelle vous vous appuyez et que vous garantissez. Nous classons les paniers pour ne pas contacter les bots, ce qui protège les acheteurs et votre réputation d'expéditeur.

Combien de temps nous le conservons

Le temps nécessaire pour exploiter le service et justifier l'attribution et la facturation, puis supprimé ou anonymisé. Vous pouvez demander une suppression anticipée, sous réserve de la conservation légale.

Engagements

Ce que Hapee ne fait jamais

Ne contacte jamais les clients qui n'ont pas fait d'opt-in. Le contact est d'abord par modèle et vous garantissez le consentement. Hapee ne contacte pas les acheteurs sans consentement.

N'expose jamais votre jeton WhatsApp. Il est chiffré par locataire et n'est jamais renvoyé au navigateur ni dans aucune réponse d'API.

Ne vend jamais de données personnelles. Les données ne sont partagées qu'avec les sous-traitants nécessaires à l'exploitation du service, listés dans le CTD.

Ne sort jamais vos données de l'UE. Le traitement et le stockage restent dans une région de l'UE.

Posture d'architecture

Comment les frontières sont tracées.

Une carte rapide et honnête de l'endroit où vivent les données et de qui peut y toucher.

Flux de données

Navigateur ⇄ serveur d'app Hapee (cookie de session) ⇄ cœur Go (bearer). Jamais navigateur ⇄ cœur directement.

Auth

Jeton bearer signé par HMAC ; la boutique est dérivée du seul jeton. Les identifiants de boutique fournis par le client sont traités comme non fiables.

Secrets

L'access_token WhatsApp chiffré au repos, par locataire. Les DTO l'omettent ; il n'est jamais renvoyé au client ni accepté de sa part.

Transport

HTTPS partout, HSTS, nosniff, politique de référent stricte et une CSP basée sur un nonce qui n'autorise que l'origine Meta Embedded Signup dans un cadre.

Session

Cookie de session httpOnly, Secure, SameSite=Strict entre le navigateur et notre serveur d'app.

RGPD

Vos droits sur les données, pris en charge

Les demandes des personnes concernées sont traitées rapidement. Pour les données des acheteurs, les demandes vous sont adressées en tant que responsable et Hapee assiste en tant que sous-traitant.

Accès

Obtenez une copie des données personnelles détenues sur une personne concernée.

Rectification

Corrigez des données personnelles inexactes ou incomplètes.

Effacement

Demandez la suppression, sous réserve des obligations légales de conservation.

Limitation

Limitez la façon dont les données personnelles sont traitées dans des cas définis.

Portabilité

Recevez les données dans un format structuré et portable.

Opposition

Opposez-vous à certains traitements de données personnelles.

Transparence

Sous-traitants

Les données ne sont partagées qu'avec les prestataires nécessaires à l'exploitation du service. La liste actuelle est tenue dans le CTD.

Prestataire	Finalité	Région
Hébergement cloud	Exécute l'app et le cœur de Hapee	UE
Connecteur de plateforme	Lit les paniers abandonnés et les commandes finalisées (par ex. Shopify)	Selon la plateforme
WhatsApp via Meta	Délivre les messages sur votre propre numéro	Selon Meta

Demandez la liste complète et à jour des sous-traitants avec le CTD.

Questions de sécurité & conformité

: Oui, lorsque les clients ont fait un opt-in et que la messagerie suit la politique WhatsApp Business de Meta et le RGPD. Hapee est d'abord par modèle et exige que vous garantissiez l'opt-in ; il ne contacte pas les clients qui n'ont pas consenti.
: Dans l'UE. Le traitement et le stockage s'exécutent dans une région de l'UE, et les données de vos clients ne quittent pas le bloc.
: Personne via le produit. Les jetons sont chiffrés par locataire et ne sont jamais renvoyés au navigateur ni dans aucune réponse d'API.
: Hapee est conçu pour prendre en charge le RGPD : une base légale via l'opt-in du marchand, la résidence dans l'UE, le chiffrement, le traitement des demandes des personnes concernées et un contrat de traitement des données sur demande.
: Le contact s'arrête immédiatement et les enregistrements ne sont conservés que dans la mesure nécessaire à la facturation et aux obligations légales, puis supprimés ou anonymisés.

Lisez les petits caractères.

Nos politiques sont écrites pour être lues, pas pour être survolées.

Politique de confidentialité Conditions d'utilisation Contrat de traitement des données Commencer