Broadcast list WhatsApp : la zone grise qui fait trembler les marketing managers
En 2026, la Commission de Protection des Données Personnelles (CDP) du Sénégal a infligé 14 sanctions à des entreprises pour spam WhatsApp non sollicité (source : rapport CDP janvier 2026, montants 1,2 à 18 M FCFA). RGPD côté Europe : amendes équivalentes pour les marques sénégalaises qui ciblent la diaspora UE.
Le problème : la plupart des marketing managers PME confondent groupe WhatsApp, broadcast list, et WhatsApp Business API templates. Trois mécaniques, trois cadres juridiques.
Ce guide synthétise — pour DPO, marketing managers et CMOs — ce qui est légalement permis au Sénégal en 2026, avec exemples de cadre conforme et clauses d'opt-in prêtes à l'emploi.
H2 : Loi 2008-12 du Sénégal + RGPD = double conformité
Loi sénégalaise 2008-12 (Protection des données à caractère personnel) impose :
- Consentement libre, spécifique, éclairé et préalable (Art. 33).
- Droit d'accès, rectification, opposition (Art. 62-65).
- Notification à la CDP pour traitements automatisés (Art. 18).
- Sanctions : 1 à 100 M FCFA + 1 à 7 ans de prison (Art. 431-431-13).
RGPD (UE) s'applique dès qu'une PME sénégalaise traite les données de résidents UE (diaspora, clients touristes) :
- Base légale : consentement, contrat, intérêt légitime (Art. 6).
- DPO obligatoire si traitement à grande échelle (Art. 37).
- Amendes : 4 % du CA mondial ou 20 M€ max.
Conclusion juridique : si vous ciblez exclusivement clients résidents Sénégal, conformité CDP suffit. Si vous ciblez la diaspora UE ou clients touristes, conformité RGPD obligatoire en plus.
H2 : 3 mécaniques WhatsApp = 3 régimes juridiques
| Mécanique | Visibilité contacts | Consentement requis | Cadre juridique |
|---|---|---|---|
| Groupe WhatsApp | Tous voient tous | Adhésion explicite via lien d'invitation | CDP ok (le contact connaît) |
| Broadcast list (WA Business app) | Messages individuels masqués | Opt-in préalable obligatoire | CDP + RGPD strict |
| WhatsApp Business API templates (Cloud API) | Messages 1-to-1 vérifiés | Opt-in explicite + template approuvé Meta | Cadre le plus strict |
Piège fréquent. Une broadcast list n'envoie de message que si le destinataire vous a enregistré comme contact. Beaucoup de PME pensent contourner l'opt-in via cette technique — c'est faux : le simple fait d'avoir collecté le numéro lors d'un achat ne suffit pas à autoriser l'envoi marketing.
H2 : Le bon opt-in en 2026
Forme légale : écrit, daté, traçable, révocable. La meilleure preuve = case à cocher décochée par défaut sur un formulaire web + horodatage + IP + texte du consentement archivé.
Exemple de clause d'opt-in conforme CDP + RGPD :
`
[ ] J'accepte de recevoir des messages commerciaux de [MARQUE]
sur WhatsApp au numéro fourni ci-dessus. Fréquence maximale :
2 messages / semaine. Je peux me désinscrire à tout moment
en répondant "STOP" ou en écrivant à dpo@marque.com.
Mes données sont traitées conformément à la loi 2008-12
et au RGPD. Voir notre politique de confidentialité :
[lien].
`
Points critiques :
- Case décochée par défaut (consentement actif, jamais passif).
- Finalité explicite ("messages commerciaux", pas "actualités").
- Fréquence annoncée (cap).
- Mécanisme de retrait (mot-clé STOP + email DPO).
- Lien vers politique de confidentialité.
Stockage de la preuve : horodatage UTC + IP + user-agent + texte exact + version politique de confidentialité au moment du consentement. Conservation 5 ans après retrait du consentement (préconisation CNIL transposable).
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
H2 : Segmentation et fréquence non-spam
La CDP ne définit pas "fréquence non-spam" — c'est l'usage et le bon sens qui priment. Bench observé 2026 PME Sénégal :
| Type de message | Fréquence acceptable | Risque plainte |
|---|---|---|
| Promo générale | 1-2 / semaine | Faible si < 2 |
| Offre flash personnalisée | 1 / semaine max | Moyen |
| Newsletter contenu (sans CTA pushy) | 1 / semaine | Très faible |
| Anniversaire / événement personnel | 1 / an | Quasi nul |
| Confirmation commande / livraison | À chaque transaction | Nul (transactionnel) |
Règle d'or : si vous envoyez le même message à > 30 personnes le même jour sur broadcast list sans segmentation par centre d'intérêt, vous êtes dans la zone à risque CDP.
Segmentation minimale recommandée : par ville (Dakar / régions / diaspora), par historique d'achat (acheté < 90j / inactif > 6 mois), par produit d'intérêt (catégorie principale).
H2 : Sanctions réelles CDP 2024-2026
Cas publics CDP Sénégal :
- 2024 — opérateur télécom local : 12 M FCFA pour SMS non sollicités (jurisprudence transposable WhatsApp).
- 2025 — chaîne de boutiques mode Dakar : 4,5 M FCFA + retrait obligation des 18 000 numéros collectés sans opt-in.
- 2025 — start-up fintech : 8 M FCFA pour absence DPO déclaré + traitements non notifiés.
- 2026 (janv-avril) : 14 sanctions, montants 1,2-18 M FCFA, principalement spam WhatsApp + cookies non conformes.
Coût moyen d'une plainte CDP (estimation cabinet juridique Dakar) : 3-8 M FCFA en frais d'avocat + sanction + temps DPO + réputation.
H2 : Process de mise en conformité broadcast list
Étape 1 — Audit (semaine 1). Listez : combien de contacts, source de chaque, preuve d'opt-in.
Étape 2 — Purge (semaine 2). Tous les contacts sans preuve d'opt-in : envoyez un seul message de re-consentement, supprimez ceux qui ne répondent pas.
Étape 3 — Cadrage (semaine 3). Politique de confidentialité, registre des traitements, désignation DPO interne ou externe.
Étape 4 — Notification CDP (semaine 4). Déclaration si traitement à grande échelle (> 5 000 contacts).
Étape 5 — Outillage (mois 2). Mise en place opt-in formulaire web + opt-out automatisé "STOP" + dashboard consentements.
FAQ
Puis-je importer ma liste de contacts iPhone dans une broadcast list ?
Techniquement oui, juridiquement non — sauf si chaque contact vous a donné un opt-in explicite et traçable au moment de la collecte. La collecte "carnet d'adresses" n'est pas un opt-in valide CDP/RGPD.
Un client qui m'a acheté en boutique : peut-il être broadcasté ?
Pas automatiquement. Sa transaction crée une base "intérêt légitime" pour transactionnel (confirmation, livraison, SAV). Pour marketing : opt-in séparé requis ("Souhaitez-vous recevoir nos offres ?" case à cocher au moment de l'achat).
Le mot-clé STOP est-il obligatoire ?
Oui. La CDP exige un mécanisme de retrait facile. STOP en réponse WhatsApp = standard. Plus formulaire web de désinscription. Plus email DPO réactif < 72h.
Quelle taille maximale d'une broadcast list au Sénégal ?
Pas de limite légale, limite technique WhatsApp : 256 destinataires par broadcast. WhatsApp Business API : illimité (Cloud API) mais soumis aux templates approuvés Meta.
Dois-je désigner un DPO si je suis une PME 8 employés ?
Pas obligatoire pour PME en dessous de seuils RGPD (Art. 37), mais fortement recommandé au Sénégal dès que vous avez > 1 000 contacts marketing. Un DPO externe coûte 180-450 KFCFA / mois en accompagnement.
Discutons de votre cas
Audit de conformité broadcast list + politique de confidentialité + opt-in formulaires : 850 KFCFA-1,8 M FCFA selon la taille de votre base. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
