Remplacer WhatsApp au travail : risques, RGPD et alternatives
WhatsApp est-il légal au travail en France ?
WhatsApp n’est pas illégal en soi. Aucun texte français n’interdit l’application. Ce qui engage la responsabilité de l’employeur, c’est de l’imposer comme outil de travail : dès qu’une entreprise organise sa communication interne sur WhatsApp, elle devient responsable de traitement au sens du RGPD et doit en assumer toutes les obligations. C’est précisément là que le terrain juridique se dérobe.
La nuance est importante, parce que l’objection habituelle est : « tout le monde a WhatsApp, c’est gratuit, c’est pratique ». C’est vrai pour un usage privé. En France, 66,1 % des personnes de 16 ans et plus utilisent WhatsApp chaque mois, ce qui en fait la deuxième plateforme sociale du pays (We Are Social, Digital Report France 2026). Cette familiarité explique pourquoi les groupes professionnels se créent spontanément. Elle n’en fait pas un outil de travail conforme.
Dès qu’un manager crée un groupe « Service du soir », « Étage 3 » ou « Tournée camion », il fait circuler des données personnelles (numéros, plannings, parfois photos, consignes nominatives, état de santé d’un client ou d’un patient) sur une infrastructure qu’il ne maîtrise pas, sans base légale documentée, sans registre, sans politique de conservation. La question n’est donc pas « WhatsApp est-il légal ? » mais « l’usage que j’en fais respecte-t-il mes obligations d’employeur et de responsable de traitement ? ». Pour la plupart des organisations, et a fortiori dans les secteurs régulés, la réponse est non.
Ce guide s’adresse aux DSI, DPO et directions des opérations qui doivent arbitrer entre une pratique installée et un risque réel. Il détaille le cadre juridique précis (article par article), les sanctions déjà prononcées (avec leur date et leur autorité), puis les critères d’une alternative WhatsApp entreprise conforme. Le risque n’a pas besoin d’être dramatisé : il parle de lui-même dès qu’on le pose sur les textes.
Un repère utile pour le reste de la lecture : le RGPD ne distingue pas l’outil « officiel » de l’outil « toléré ». Du moment qu’une organisation tire un bénéfice opérationnel d’un canal de communication — diffuser un planning, coordonner un service —, elle en assume la responsabilité de traitement, qu’elle l’ait formellement déployé ou simplement laissé s’installer. L’argument « ce n’est pas nous, ce sont les équipes qui ont créé les groupes » ne tient pas devant une autorité de contrôle : c’est l’employeur qui bénéficie de la coordination et qui détient le pouvoir d’organiser le travail. La tolérance d’un usage vaut, juridiquement, décision de l’autoriser.
Pourquoi tant d’équipes terrain utilisent-elles WhatsApp ?
Parce que rien d’autre n’a été fourni. Les équipes terrain (cuisine, étage, réception, entrepôt, tournée) n’ont souvent ni poste de travail, ni adresse e-mail professionnelle, ni accès à l’intranet du siège. WhatsApp comble un vide : il est déjà installé sur le téléphone de chacun, il fonctionne hors du bureau, il ne demande aucune formation. Le terme consacré pour ces salariés sans bureau est « deskless » — voir le glossaire.
Comprendre ce mécanisme est essentiel avant de vouloir interdire WhatsApp au travail : une interdiction sans alternative crée immédiatement un contournement (un groupe « officieux » se recrée ailleurs). L’enjeu n’est pas de bannir un réflexe, mais de proposer un outil au moins aussi simple, et conforme.
Les usages observés sont toujours les mêmes : diffuser un planning de dernière minute, signaler une absence, transmettre une consigne de service, partager une photo (une chambre prête, un colis abîmé, une commande), demander un renfort. Ces usages sont légitimes. Le problème tient au support : un service grand public, conçu pour des conversations privées, sur des comptes qui appartiennent aux salariés et non à l’entreprise.
Quels risques RGPD à utiliser WhatsApp en interne ?
Le risque RGPD principal est que l’employeur traite des données personnelles sans pouvoir démontrer sa conformité, alors que le règlement le lui impose. Le RGPD — Règlement (UE) 2016/679 du 27 avril 2016 — fait reposer la conformité sur la responsabilité de l’employeur (accountability). Voici les manquements les plus fréquents, article par article.
L’article 5 : les principes que WhatsApp ne permet pas de tenir
L’article 5 du RGPD pose sept principes : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité (article 5.1.f) ; responsabilité (article 5.2). Sur WhatsApp en interne, plusieurs de ces principes sont structurellement impossibles à respecter :
- Minimisation et limitation des finalités : un groupe professionnel mélange numéros personnels, échanges de travail et conversations privées, sans cloisonnement.
- Limitation de la conservation : l’entreprise ne fixe ni ne contrôle de durée de conservation ; les messages restent sur les terminaux des salariés indéfiniment.
- Intégrité et confidentialité : même chiffrés en transit, les contenus transitent par un service tiers et restent accessibles sur des appareils personnels non administrés.
- Responsabilité (accountability) : l’employeur ne peut pas démontrer qu’il maîtrise ce traitement, faute de registre et de mesures documentées.
L’article 30 : le registre des traitements introuvable
L’article 30 du RGPD impose au responsable de traitement de tenir un registre des activités de traitement. Un usage de WhatsApp né de façon informelle, groupe par groupe, n’y figure quasiment jamais. Or ce qui n’est pas au registre n’est pas piloté : ni finalité déclarée, ni durée de conservation, ni mesures de sécurité associées. C’est l’un des premiers points qu’une autorité de contrôle vérifie.
Le registre n’est pas une formalité administrative isolée : il est le révélateur de tout le reste. Pour inscrire un traitement, il faut nommer sa finalité (sur quelle base coordonne-t-on les équipes ?), les catégories de données (numéros, plannings, photos, parfois données sensibles), les destinataires, les durées de conservation et les mesures de sécurité. Tenter de remplir cette grille pour un parc de groupes WhatsApp fait apparaître, ligne après ligne, ce que l’entreprise ne maîtrise pas. À l’inverse, une messagerie d’entreprise se décrit en une entrée claire au registre : c’est l’un des signes les plus simples qu’un outil est tenable.
L’article 32 : une sécurité que l’employeur ne maîtrise pas
L’article 32 du RGPD impose des mesures de sécurité appropriées : pseudonymisation, chiffrement, confidentialité, intégrité, disponibilité, résilience, et tests réguliers. Avec WhatsApp, l’employeur délègue de fait sa sécurité à un service grand public et à des terminaux qu’il n’administre pas. Il ne peut ni garantir un effacement, ni produire de journaux d’accès, ni isoler les données professionnelles. En 2024, la CNIL a sanctionné des manquements à l’article 32 par des amendes notables (Free, 42 M€ ; France Travail, 5 M€), preuve que l’obligation de sécurité n’est pas théorique.
L’article 33 : la notification de violation sous 72 heures
L’article 33 du RGPD impose de notifier une violation de données à la CNIL dans les 72 heures. Si le téléphone d’un salarié contenant des groupes professionnels est perdu, volé ou compromis, comment l’employeur le détecte-t-il, l’évalue-t-il et le notifie-t-il dans le délai, alors qu’il n’a aucune visibilité sur l’appareil ? Le dispositif rend l’obligation pratiquement intenable.
Le scénario n’a rien de théorique. Un smartphone oublié dans un taxi, un salarié dont le compte est compromis, une capture d’écran d’un groupe qui circule : autant d’événements qui peuvent constituer une violation de données au sens du RGPD. L’horloge des 72 heures commence à courir dès que l’employeur en a connaissance. Sans administration des terminaux ni journalisation, il ne peut ni dater l’incident, ni mesurer l’étendue des données exposées, ni produire les éléments que la CNIL attend dans le formulaire de notification. Le manquement à l’article 33 se cumule alors avec celui de l’article 32, qui exige justement la capacité à détecter et à réagir.
L’article 83 : l’échelle des sanctions
L’article 83 du RGPD fixe le plafond des sanctions administratives à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. Ce plafond ne vise pas que les grands groupes : il indique la gravité que le législateur attache à ces manquements.
WhatsApp respecte-t-il le secret professionnel et le secret médical ?
Non, et c’est l’angle le plus tranché du dossier, en particulier dans la santé. Le secret professionnel relève de l’article 226-13 du Code pénal, qui punit sa révélation d’un an d’emprisonnement et de 15 000 € d’amende. Le secret médical est consacré par l’article L1110-4 du Code de la santé publique et décliné dans le Code de déontologie (articles R4127-4 pour les médecins, R4235-5 pour les pharmaciens).
Sur ce terrain, l’autorité de contrôle a tranché de longue date. Le Guide CNIL × CNOM de 2018, publié avec le Conseil national de l’Ordre des médecins, énonce sans ambiguïté que « l’utilisation de communications orales, de messageries instantanées ou “chat”, via des applications reliées à internet et non sécurisées, est à proscrire ». Une discussion de cas, une photo de plaie, un nom de patient dans un groupe WhatsApp tombe directement sous cette doctrine.
Au-delà de la santé, l’article 226-15 du Code pénal protège le secret des correspondances (un an d’emprisonnement et 45 000 € d’amende). L’hébergement de données de santé est par ailleurs encadré : les articles L1111-8 et L1115-1 du Code de la santé publique imposent un hébergeur certifié HDS (Hébergeur de Données de Santé), exigence qu’une messagerie grand public ne satisfait pas.
La règle pratique pour un établissement régulé est simple : si une donnée couverte par un secret peut transiter par le canal, ce canal doit être maîtrisé de bout en bout. WhatsApp ne l’est pas.
Le secret professionnel ne se limite d’ailleurs pas à la santé. Il s’attache à de nombreuses fonctions : avocats, notaires, services sociaux, mais aussi, dans un sens plus large, à toutes les informations confidentielles confiées à un salarié dans le cadre de ses fonctions. Dans un établissement de soins, un EHPAD ou un service à domicile, un échange aussi banal qu’« la chambre 12 a fait une chute cette nuit » est une donnée de santé. Dès lors qu’elle quitte le système d’information maîtrisé pour un groupe WhatsApp, l’établissement sort du cadre de l’article L1110-4 du Code de la santé publique et s’expose, en cas de plainte, à la qualification pénale de l’article 226-13. La gravité tient moins à la probabilité d’une poursuite qu’au fait que le manquement est constitué dès le premier message — il n’attend pas l’incident.
Le chiffrement de bout en bout que WhatsApp met en avant ne répond pas à cette objection. Le chiffrement protège le message en transit ; il ne dit rien de la propriété du compte, de l’identité réelle des membres d’un groupe, de la durée de conservation sur les appareils, ni de la capacité de l’établissement à prouver qui a eu accès à quoi. Un canal peut être chiffré et néanmoins non conforme.
Un employeur peut-il imposer WhatsApp et le smartphone personnel des salariés ?
Non sans s’exposer, et un salarié peut refuser. Imposer WhatsApp revient le plus souvent à imposer l’usage du téléphone personnel pour le travail — ce qu’on appelle le BYOD (Bring Your Own Device). Le Code du travail et la doctrine CNIL encadrent strictement cette pratique.
Le cadre du Code du travail
L’article L1121-1 du Code du travail interdit toute restriction des droits et libertés qui ne serait pas justifiée par la nature de la tâche et proportionnée au but recherché. L’article L1222-4 dispose qu’aucune information personnelle ne peut être collectée par un dispositif qui n’a pas été préalablement porté à la connaissance du salarié. S’ajoute l’article L2242-17, qui consacre le droit à la déconnexion (loi n° 2016-1088 du 8 août 2016, modifiée par la loi n° 2021-1018 du 2 août 2021) : un groupe WhatsApp professionnel qui sonne le soir et le week-end heurte frontalement ce droit. Sur ce sujet, voir aussi notre glossaire du droit à la déconnexion et l’article « Le droit à la déconnexion, c’est quoi exactement ».
La doctrine CNIL : le salarié peut refuser
La CNIL est explicite. Sa fiche « Mon employeur me demande d’utiliser mon smartphone pour mon activité » répond : « Vous êtes en droit de refuser. Votre employeur doit vous fournir un outil professionnel. » Sa fiche « BYOD : bonnes pratiques » rappelle que l’employeur reste responsable, qu’il ne peut pas accéder aux données privées du salarié, qu’il doit cloisonner les usages et qu’il ne peut pas effacer à distance la totalité du terminal personnel. Le BYOD imposé sans garde-fous est donc fragile.
Ce cadre crée une tension que WhatsApp n’aide pas à résoudre. D’un côté, l’employeur reste responsable de la sécurité des données professionnelles qui circulent sur l’appareil ; de l’autre, il n’a pas le droit d’accéder à la sphère privée du salarié ni d’administrer son téléphone. Avec une application qui mélange par nature conversations privées et groupes de travail, ces deux exigences deviennent contradictoires : on ne peut ni sécuriser correctement le professionnel, ni respecter pleinement le privé. La fiche CNIL « Messagerie professionnelle » ajoute une nuance utile dans l’autre sens : une messagerie professionnelle est présumée à usage professionnel, et l’employeur peut, dans certaines limites, y accéder — sauf pour les messages clairement identifiés comme personnels. Cette présomption, qui sécurise l’employeur, n’existe pas sur un compte WhatsApp personnel.
La jurisprudence : Cour d’appel de Paris, 24 mars 2026
La Cour d’appel de Paris, dans un arrêt du 24 mars 2026, a tranché un litige éclairant : une société de transport sanitaire avait imposé à ses salariés l’usage de WhatsApp et de Waze sans fournir de téléphone professionnel. La cour a annulé un avertissement disciplinaire qui avait été notifié par WhatsApp et ordonné le remboursement du mobile personnel du salarié. La décision confirme deux choses : un message WhatsApp peut se retourner contre l’employeur comme élément du dossier, et l’imposition de l’outil personnel est sanctionnable.
Enfin, la CNIL a indiqué, saisie d’un dossier de sécurité privée, qu’un contrôle de présence opéré via WhatsApp avec photo ou vidéo serait « disproportionné, et donc potentiellement sanctionnable » — application directe du principe de proportionnalité de l’article L1121-1.
Il faut retenir de cet ensemble que la doctrine et la jurisprudence convergent vers une même exigence : l’employeur qui veut faire travailler ses équipes via une messagerie doit fournir l’outil, le déclarer, et en encadrer l’usage. Le glissement habituel — « tout le monde a déjà l’application, autant s’en servir » — fait porter sur le salarié un coût (usure de son téléphone, forfait, intrusion dans sa vie privée, indisponibilité supposée permanente) que le droit n’autorise pas à lui transférer sans contrepartie ni accord. C’est aussi pour cela qu’imposer WhatsApp fragilise toute sanction disciplinaire qui s’appuierait sur des échanges qui s’y sont tenus : la Cour d’appel de Paris l’a illustré en annulant l’avertissement notifié par ce biais.
Quelles sanctions ont déjà visé WhatsApp et la surveillance des salariés ?
Les autorités de protection des données ont déjà prononcé des sanctions lourdes, qui dessinent le risque concret. Les montants ci-dessous sont rapportés avec leur autorité et leur date.
- WhatsApp Ireland Ltd — 225 millions d’euros, prononcés par la DPC irlandaise (Data Protection Commission) le 2 septembre 2021. La sanction visait des manquements aux obligations de transparence (articles 5(1)(a), 12, 13 et 14 du RGPD) sur le traitement des données des utilisateurs. Le montant, initialement envisagé entre 30 et 50 M€, a été rehaussé à 225 M€ après une décision contraignante de l’EDPB (Comité européen de la protection des données) du 28 juillet 2021. La DPC est l’autorité chef de file pour Meta et WhatsApp dans l’Union. (Décision internationale, autorité irlandaise.)
- WhatsApp Inc. — mise en demeure de la CNIL, délibération n° MED-2017-075 du 27 novembre 2017, pour transfert de données vers Facebook sans base légale. Précédent français sur les pratiques de l’application.
- Amazon France Logistique — 32 millions d’euros, délibération SAN-2023-021 de la CNIL du 27 décembre 2023, pour un système de surveillance jugé excessif des salariés (suivi via scanners, article 5 du RGPD). Ce précédent ne concerne pas WhatsApp directement, mais il fixe la ligne de la CNIL sur la surveillance disproportionnée des salariés — exactement le terrain glissant d’un contrôle d’activité par messagerie.
Ces décisions montrent que le risque n’est pas hypothétique. Il convient de noter qu’à ce jour, aucune délibération de la CNIL n’a sanctionné une entreprise française pour l’usage spécifique de WhatsApp en interne : le précédent le plus directement transposable reste l’arrêt de la Cour d’appel de Paris du 24 mars 2026, complété par la doctrine CNIL sur le BYOD et la surveillance. Cette absence de sanction « WhatsApp interne » ne doit pas se lire comme une tolérance, mais comme le décalage habituel entre une pratique très répandue et le moment où une autorité s’en saisit — exactement la séquence qu’a connue la transparence de l’application avant les 225 M€ de 2021.
Quels risques selon les secteurs : santé, HCR, transport, logistique ?
Le risque change de nature selon le secteur, mais il est présent partout où des équipes terrain communiquent. Le tronc commun (RGPD, Code du travail) vaut pour tous ; certains secteurs y ajoutent une couche de secret ou de proportionnalité particulièrement sensible.
- Santé, médico-social, EHPAD, services à domicile. C’est le terrain le plus exposé. Toute information sur l’état d’un patient ou d’un résident est une donnée de santé, couverte par l’article L1110-4 du Code de la santé publique et le secret de l’article 226-13 du Code pénal. Le Guide CNIL × CNOM de 2018 qualifie l’usage des messageries grand public d’« à proscrire », et l’hébergement de ces données suppose un hébergeur certifié HDS (articles L1111-8 et L1115-1 du Code de la santé publique). Un groupe WhatsApp de transmissions d’équipe est ici non conforme par construction.
- Hôtellerie-restauration (HCR). Le secteur emploie 1,3 million de salariés en France (Urssaf, Focus HCR 2025) et se caractérise par une forte rotation et un recours important aux saisonniers. Les groupes WhatsApp y prolifèrent (service, étage, cuisine), avec un angle mort majeur : à chaque départ, des données clients et des consignes restent sur des téléphones que l’établissement ne maîtrise plus. Pour les maisons attachées à leur confidentialité, c’est aussi un enjeu d’image.
- Transport et logistique. L’arrêt de la Cour d’appel de Paris du 24 mars 2026 concernait précisément une société de transport sanitaire. Le secteur cumule deux risques : l’imposition du téléphone personnel (BYOD) pour des fonctions de conduite et de coordination, et la tentation du contrôle d’activité à distance — terrain sur lequel la CNIL a sanctionné Amazon France Logistique (32 M€, décembre 2023) pour surveillance disproportionnée.
- Toute organisation multi-sites. Dès qu’une enseigne, un réseau ou un groupe coordonne plusieurs établissements, le nombre de groupes WhatsApp se multiplie et la traçabilité disparaît. Le siège perd la maîtrise de ce qui descend vers le terrain et de qui y a accès.
Le dénominateur commun est simple : plus une équipe est mobile et peu équipée en postes de travail, plus elle se rabat sur WhatsApp, et plus l’écart se creuse entre la pratique et les obligations de l’employeur.
WhatsApp ou messagerie interne d’entreprise : quelle différence sur les points qui comptent ?
La différence se lit sur la propriété des données et la maîtrise du cycle de vie. Le tableau ci-dessous compare WhatsApp et une messagerie interne sécurisée d’équipe sur les critères qui déterminent la conformité.
| Critère | WhatsApp (grand public) | Messagerie interne d’entreprise |
|---|---|---|
| Propriété des données | Comptes rattachés au numéro personnel du salarié ; l’entreprise n’est pas titulaire | Comptes et historiques propriété de l’entreprise |
| Conformité RGPD | Pas de registre (art. 30), base légale non documentée, sécurité non maîtrisée (art. 32) | Registre, finalités, conservation et sécurité documentés |
| Départ d’un salarié | La conversation et l’historique partent avec lui ; accès non maîtrisés | Accès fermés en un geste ; historique conservé côté entreprise |
| Traçabilité | Aucune visibilité ni journaux exploitables par l’employeur | Journaux d’accès, gouvernance des accès, export possible |
| Secret professionnel / médical | « À proscrire » (Guide CNIL × CNOM 2018) ; pas d’hébergement HDS | Canal maîtrisé, hébergement et chiffrement documentés |
| Smartphone personnel | BYOD de fait imposé ; salarié en droit de refuser | Outil professionnel fourni, séparé de l’usage privé |
| Droit à la déconnexion | Notifications mêlées vie privée / travail, 7 j/7 | Paramétrable, cloisonné de la sphère privée |
| Hébergement | Hors maîtrise contractuelle de l’entreprise | Hébergé en Europe, encadré par un DPA et une liste de sous-traitants |
Le glossaire détaille les deux notions : RGPD et messagerie d’entreprise.
Que devient une conversation WhatsApp quand un salarié part ?
Elle part avec lui, et c’est un risque opérationnel autant que juridique. WhatsApp repose sur des comptes liés au numéro de téléphone du salarié. Concrètement, au départ d’une personne :
- L’historique d’un groupe n’est pas récupérable par l’entreprise : elle n’en est pas titulaire.
- Les accès ne se ferment pas proprement : tant qu’un ancien salarié reste dans un groupe, il continue de voir les échanges ; le retirer suppose qu’un administrateur informel y pense, groupe par groupe.
- Des accès orphelins persistent : numéros qui n’auraient plus dû figurer, consignes confidentielles encore visibles.
- La continuité du service se rompt : le remplaçant ne récupère ni le fil des consignes, ni le contexte.
Côté entreprise, c’est à la fois une perte de mémoire opérationnelle et un angle mort de sécurité. Une messagerie interne d’entreprise inverse la logique : les comptes appartiennent à l’organisation, et le départ se gère à la source. Sur la protection des données des salariés au sens large, voir le glossaire dédié. À noter que la doctrine européenne encadre aussi le sort des accès : l’autorité maltaise (IDPC) a rappelé, en avril 2025, que la suppression d’une boîte professionnelle après un départ doit faire l’objet d’une information préalable et d’un délai raisonnable.
Il faut mesurer ce que ce point représente dans un secteur à forte rotation. Lorsqu’un service connaît plusieurs dizaines d’arrivées et de départs par an, chaque départ non géré laisse une trace : un ancien salarié encore membre d’un groupe, une consigne sensible qui reste lisible, une transmission qui se perd faute d’être centralisée quelque part. Multiplié sur l’année et sur plusieurs sites, ce bruit devient un risque structurel — non pas un incident isolé, mais une dérive permanente que l’organisation ne peut ni mesurer ni corriger. C’est précisément ce que l’article 5 du RGPD vise à empêcher avec ses principes de minimisation et de limitation de la conservation : ne garder que ce qui est nécessaire, le temps nécessaire, et savoir où cela se trouve.
Comment choisir une alternative WhatsApp entreprise conforme ?
Une alternative conforme se reconnaît à trois piliers : la propriété des données par l’entreprise, une conformité documentée (registre et sécurité), et un cycle de vie des accès maîtrisé. Voici la grille de critères à opposer à tout outil candidat.
- Propriété et réversibilité. Les comptes et l’historique appartiennent-ils à l’entreprise ? Peut-on exporter l’intégralité des données (article 20 du RGPD, portabilité) ?
- Registre et base légale. L’outil s’inscrit-il proprement dans votre registre des traitements (article 30) avec finalités et durées de conservation explicites ?
- Sécurité documentée (article 32). Chiffrement en transit (TLS) et au repos (par exemple AES-256), gestion des accès, journalisation, procédure de notification de violation (article 33).
- Hébergement et sous-traitants. Données hébergées en Europe ? Existe-t-il un DPA (accord de sous-traitance) et une liste publique des sous-traitants, y compris ceux opérant hors UE sous encadrement (EU-U.S. Data Privacy Framework et clauses contractuelles types) ?
- Offboarding maîtrisé. Peut-on fermer tous les accès d’un partant en un geste, sans perdre l’historique côté entreprise ?
- Adoption terrain. L’outil est-il utilisable sans e-mail professionnel, sur mobile, sans formation, par des équipes deskless ? Une alternative que personne n’utilise renvoie tout le monde sur WhatsApp.
- Encadrement légal de l’usage. L’outil permet-il de respecter le droit à la déconnexion (article L2242-17) et la proportionnalité (article L1121-1) ?
Pour situer les outils du marché, voir nos comparatifs Roomee vs Slack et Roomee vs papier et affichage.
Comment Roomee répond aux risques de WhatsApp ?
Roomee remplace les groupes WhatsApp par une messagerie interne conforme RGPD, intégrée à un espace de travail dont l’entreprise reste propriétaire. C’est l’unique section où nous parlons de notre produit ; le reste du guide vaut quel que soit l’outil que vous retiendrez.
La logique est l’inverse de celle de WhatsApp. Sur Roomee, les comptes et les conversations appartiennent à l’entreprise, pas aux salariés. La messagerie est un module aux côtés du Feed (les consignes qui descendent), des Drives (les documents et procédures) et de l’Organigramme (qui fait quoi, sur quel site). L’application fonctionne sur mobile, sans adresse e-mail professionnelle requise, ce qui répond au principal frein d’adoption des équipes sans bureau.
Sur les points qui font basculer le risque :
- Propriété et continuité. L’historique reste côté entreprise. Quand un salarié part, l’offboarding ferme ses accès en un seul geste : pas de perte d’historique, pas d’accès orphelin, pas de groupe à nettoyer un par un.
- Conformité. Données hébergées en Europe (Francfort), conception RGPD-native, chiffrement en transit et au repos. Les sous-traitants techniques sont encadrés par un DPA ; certains opèrent hors UE sous EU-U.S. Data Privacy Framework et clauses contractuelles types, avec une liste publique consultable. La démarche de certification ISO 27001 est en cours (visée Q3 2026). Le détail figure sur le programme RGPD et la liste des sous-traitants.
- Multilingue, sans friction. Pour des équipes plurilingues, Noah — l’IA intégrée à Roomee qui agit dans vos workflows — traduit un message à la demande dans la langue du lecteur et retrouve une procédure dans les Drives en citant sa source. La traduction est déclenchée par l’utilisateur, pas imposée.
Roomee se positionne en français et en anglais, et sert des établissements exigeants sur la confidentialité — voir les clients. L’idée n’est pas d’ajouter une application de plus, mais de réunir au même endroit ce qui se faisait jusque-là sur WhatsApp, par e-mail et sur papier, dans un cadre maîtrisé.
Pour les conditions commerciales, reportez-vous à la page tarifs.
Comment migrer ses équipes de WhatsApp sans rupture ?
La migration réussit lorsqu’elle offre une alternative au moins aussi simple, et qu’elle se déploie par équipe plutôt qu’en bloc. Voici la marche à suivre, du diagnostic à la fermeture des groupes.
- Cartographier les usages réels. Recensez les groupes WhatsApp en service, leur finalité et les données qui y circulent (plannings, consignes, photos, coordonnées). Cette cartographie alimente directement votre registre des traitements (article 30 du RGPD).
- Documenter le risque avec le DPO. Évaluez les manquements potentiels (base légale, sécurité, transferts) et, si le traitement le justifie, conduisez une analyse d’impact (AIPD). Formalisez la décision de migration.
- Choisir une alternative conforme. Appliquez la grille de la section précédente : propriété des données, registre, sécurité (article 32), hébergement en Europe, offboarding maîtrisé. Vérifiez le DPA et la liste des sous-traitants.
- Encadrer par une charte. Mettez à jour la charte informatique ou le règlement intérieur, après information et consultation du CSE, pour réserver les échanges professionnels à l’outil retenu. C’est ainsi qu’on peut interdire WhatsApp au travail pour les usages professionnels sans créer de vide.
- Migrer par équipe, pas en bloc. Déployez site par site ou service par service. Recréez les groupes existants dans le nouvel outil et basculez d’abord les consignes courantes, là où la valeur est immédiate.
- Fermer les groupes WhatsApp professionnels. Une fois l’adoption établie, fermez les groupes professionnels et confirmez aux équipes que les échanges de travail passent désormais par la messagerie interne.
Le point de bascule n’est jamais l’interdiction : c’est le moment où l’outil de remplacement devient le réflexe parce qu’il est plus simple que de chercher le bon groupe parmi quinze conversations.
Peut-on simplement interdire WhatsApp au travail ?
Oui, mais l’interdiction n’a de portée que si elle s’accompagne d’une alternative et d’une procédure. Une entreprise peut, par sa charte informatique ou son règlement intérieur, encadrer ou interdire WhatsApp au travail pour les usages professionnels. Trois conditions rendent l’interdiction solide :
- Un fondement clair. L’obligation de sécurité de l’article 32 du RGPD et la proportionnalité de l’article L1121-1 du Code du travail offrent une base solide pour réserver les échanges professionnels à un outil maîtrisé.
- Une procédure respectée. Le règlement intérieur et la charte qui lui est annexée supposent l’information et la consultation du CSE, ainsi que l’information individuelle des salariés (article L1222-4).
- Une alternative fournie. Interdire sans remplacer ne fonctionne pas : les équipes recréeront un canal officieux. L’interdiction et le déploiement de la messagerie interne vont de pair.
Interdire WhatsApp n’est donc pas un acte isolé, mais l’aboutissement d’une démarche : un outil conforme, une charte, une consultation, une migration ordonnée.
L’essentiel à retenir
Pour un DSI, un DPO ou une direction des opérations, le raisonnement tient en quelques lignes. WhatsApp n’est pas illégal, mais l’imposer comme outil de travail expose l’employeur à des manquements documentés au RGPD (articles 5, 30, 32, 33) et au Code du travail (L1121-1, L1222-4, L2242-17), avec un plafond de sanction de 20 M€ ou 4 % du chiffre d’affaires mondial (article 83). Dans la santé, l’usage est « à proscrire » selon le Guide CNIL × CNOM de 2018, le secret médical relevant de l’article L1110-4 du Code de la santé publique et de l’article 226-13 du Code pénal.
Les précédents existent : 225 M€ infligés à WhatsApp Ireland par la DPC irlandaise le 2 septembre 2021, l’arrêt de la Cour d’appel de Paris du 24 mars 2026 sur l’imposition de l’outil, la ligne de la CNIL sur la surveillance disproportionnée (Amazon France Logistique, 32 M€, décembre 2023). Et au quotidien, une conversation WhatsApp part avec le salarié qui s’en va.
La réponse n’est pas d’interdire dans le vide, mais de fournir une messagerie interne sécurisée d’équipe dont l’entreprise est propriétaire, conforme et hébergée en Europe, puis de migrer équipe par équipe. C’est ce que propose Roomee — et c’est le critère par lequel vous devriez évaluer toute alternative.
Questions fréquentes
WhatsApp est-il légal au travail en France ?
WhatsApp n'est pas interdit par la loi française. En revanche, l'imposer comme outil de travail engage la responsabilité de l'employeur au titre du RGPD (articles 5, 30 et 32) et du Code du travail (article L1121-1 sur la proportionnalité, L1222-4 sur l'information préalable). Dans les secteurs couverts par un secret professionnel (santé, droit), l'usage devient en pratique non conforme.
Quels sont les risques RGPD à utiliser WhatsApp en interne ?
Les principaux risques sont l'absence de base légale et de registre des traitements (articles 5 et 30 du RGPD), un défaut de maîtrise de la sécurité (article 32), la collecte de numéros personnels et de métadonnées par un tiers, et l'impossibilité de garantir l'effacement. L'article 83 du RGPD prévoit des sanctions jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial annuel.
Un employeur peut-il imposer WhatsApp à ses salariés ?
Non sans précautions. La CNIL rappelle dans sa fiche dédiée qu'un salarié est en droit de refuser d'utiliser son smartphone personnel et que l'employeur doit fournir un outil professionnel. La Cour d'appel de Paris, le 24 mars 2026, a annulé un avertissement disciplinaire notifié par WhatsApp et ordonné le remboursement du mobile personnel d'un salarié à qui l'usage avait été imposé.
WhatsApp est-il conforme au secret médical ?
Non. Le secret médical est protégé par l'article L1110-4 du Code de la santé publique et l'article 226-13 du Code pénal (un an d'emprisonnement et 15 000 € d'amende). Le Guide CNIL × CNOM de 2018 indique que l'usage de messageries instantanées non sécurisées reliées à internet est « à proscrire » pour échanger des données de santé.
Que devient une conversation WhatsApp quand un salarié part ?
Elle part avec lui. WhatsApp repose sur des comptes rattachés au numéro personnel du salarié : l'entreprise n'en est pas propriétaire, ne peut pas récupérer l'historique d'un groupe ni couper proprement les accès. Une messagerie interne d'entreprise reste la propriété de l'organisation et permet de fermer les accès au départ tout en conservant l'historique.
Peut-on interdire WhatsApp au travail par une charte ?
Oui. Une charte informatique ou un avenant au règlement intérieur peut encadrer ou interdire WhatsApp pour les usages professionnels, à condition de respecter la procédure d'information et de consultation du CSE et de fournir une alternative. L'interdiction est d'autant plus défendable qu'elle s'appuie sur l'obligation de sécurité de l'article 32 du RGPD.
Quelle alternative à WhatsApp pour une équipe terrain ?
Une messagerie interne sécurisée d'équipe dont les comptes appartiennent à l'entreprise, hébergée en Europe, avec un registre des traitements (article 30), un chiffrement en transit et au repos (article 32) et un offboarding maîtrisé. C'est le principe de Roomee : la messagerie y est un module, aux côtés du Feed, des Drives et de l'Organigramme.
Les messages WhatsApp peuvent-ils être utilisés en justice contre l'employeur ?
Oui. Un message envoyé via WhatsApp peut constituer un élément de preuve, comme l'a illustré l'arrêt de la Cour d'appel de Paris du 24 mars 2026. À l'inverse, l'employeur perd toute traçabilité maîtrisée : il ne peut pas produire un historique fiable et complet d'un groupe dont il n'est pas titulaire.
Sources
- DPC irlandaise — décision WhatsApp Ireland, 2 septembre 2021 (225 M€)
- Guide CNIL × CNOM 2018 — sécurité des données de santé
- CNIL — Mon employeur me demande d'utiliser mon smartphone
- CNIL — BYOD : quelles bonnes pratiques ?
- Légifrance — article L1110-4 du Code de la santé publique
- Légifrance — article L2242-17 du Code du travail (droit à la déconnexion)
- CNIL — mise en demeure WhatsApp Inc., délibération MED-2017-075 du 27 novembre 2017
- We Are Social — Digital Report France 2026 (usage WhatsApp en France)
Roomee aide les organisations multi-sites à faire descendre l'information jusqu'au terrain — et à vérifier qu'elle est lue.
À explorer