Aller au contenu
FR EN
Connexion Réserver ma démo
Légal

Conformité SMS

Dernière mise à jour : 21 juin 2026

Cette page explique comment Kipo et ses entreprises clientes se partagent les responsabilités pour envoyer des demandes d'avis par SMS et par courriel, dans le respect des lois anti-pourriel et de protection des données du Canada, du Québec et de l'Europe. Elle s'adresse aux entreprises qui utilisent Kipo et doit être lue avant la première campagne.

L'essentiel

  • Toute demande d'avis envoyée par Kipo est un message commercial électronique : elle est encadrée par la LCAP (Canada), la Loi 25 (Québec) et le RGPD avec la directive ePrivacy (Europe).
  • L'entreprise cliente est responsable d'obtenir et de prouver le consentement de ses clients. Kipo est l'outil qui envoie les messages en son nom : Kipo agit comme sous-traitant des données des clients finaux.
  • Chaque message identifie clairement l'entreprise cliente et propose un moyen simple et gratuit de se désinscrire : répondre STOP (SMS) ou cliquer sur le lien de désinscription (courriel).
  • Le mécanisme de désabonnement reste valide au moins 60 jours et toute demande est traitée sans délai, au plus tard sous 10 jours ouvrables (LCAP).
  • Pour les SMS à destination de numéros nord-américains, les campagnes doivent être enregistrées auprès des opérateurs (marque et campagne A2P / 10DLC) avant tout envoi, sinon les messages sont bloqués.
  • En Europe, un client peut être sollicité sans consentement préalable uniquement s'il est déjà client, si la sollicitation est analogue et s'il a pu s'opposer simplement dès la collecte ; sinon l'opt-in préalable est obligatoire.
  • Kipo limite volontairement les envois : une demande d'avis par visite, jamais de publicité, jamais de relances abusives.

Sommaire

1. De quoi parle cette page

Kipo envoie, au nom de votre entreprise, des demandes d'avis par SMS et par courriel après une visite ou une prestation. Au regard de la loi, ces messages sont des communications commerciales électroniques. Plusieurs réglementations s'appliquent en même temps.

Les cadres concernés dépendent de l'endroit où se trouvent vos clients. Clientèle canadienne : la Loi canadienne anti-pourriel (LCAP / CASL) et, au Québec, la Loi 25. Clientèle en France et en Europe : le RGPD et la directive ePrivacy, précisés par la CNIL. S'ajoutent les exigences des opérateurs télécoms pour les SMS vers des numéros nord-américains.

Cette page décrit le partage des responsabilités et les bonnes pratiques. Elle a une valeur informative et ne remplace pas un avis juridique. En cas de doute, consultez un conseiller juridique.

2. Qui fait quoi : l'entreprise cliente et Kipo

C'est vous, l'entreprise cliente, qui décidez d'envoyer une demande d'avis et qui détenez la relation avec le client. Vous êtes donc responsable d'obtenir son consentement et de pouvoir le prouver : vous êtes le responsable du traitement.

Kipo fournit l'outil qui envoie les messages en votre nom et exécute vos instructions. Pour les données de vos clients finaux (nom, courriel, téléphone), Kipo agit comme sous-traitant : nous les traitons uniquement pour vous rendre le service, jamais pour notre compte. Pour votre compte d'abonné (identifiants, facturation), Kipo est responsable du traitement.

  • L'entreprise cliente (responsable) : recueille le consentement, garantit sa validité, n'importe que des contacts qu'elle a le droit de solliciter, répond aux demandes de ses clients, identifie son entreprise.
  • Kipo (sous-traitant) : met à disposition un outil conforme, affiche l'identification de l'expéditeur, intègre le désabonnement, exécute l'envoi, conserve les journaux techniques, sécurise les données.

Une entente de sous-traitance écrite (DPA) encadre cette relation (article 28 du RGPD et Loi 25).

Kipo ne vérifie pas à votre place que vos clients ont consenti. C'est votre responsabilité de n'importer que des contacts pour lesquels vous disposez d'une base valable, et de pouvoir le démontrer.

3. Le consentement : exprès ou tacite (Canada / LCAP)

Au Canada, la LCAP repose sur trois obligations : obtenir le consentement, identifier l'expéditeur, fournir un désabonnement fonctionnel. Le consentement peut être exprès ou tacite.

Le consentement exprès est une démarche active du client (case non pré-cochée, accord verbal consigné, signature). Il ne se périme pas. Le consentement tacite s'appuie le plus souvent sur une relation d'affaires récente : le client vient de vous acheter un produit ou un service.

  • Consentement exprès : illimité dans le temps, à privilégier.
  • Consentement tacite (relation d'affaires) : valable jusqu'à 2 ans après l'achat (ou 6 mois après une demande de renseignements). Chaque nouvel achat fait repartir le délai.
  • La demande d'avis envoyée peu après la visite entre généralement dans ce cadre.

Dans tous les cas, le client doit pouvoir refuser facilement de continuer à recevoir des messages.

4. Identifier clairement l'expéditeur

Chaque message doit permettre au client de savoir immédiatement de qui il vient. La LCAP impose d'identifier l'expéditeur réel : votre entreprise, et non Kipo.

Les messages envoyés par Kipo affichent le nom de votre entreprise et des coordonnées valides. Pour les courriels, l'identité et une adresse valide figurent dans le message et restent valides au moins 60 jours. Pour les SMS, le nom de l'entreprise apparaît dans le texte.

  • Nom de l'entreprise : [raison sociale de l'entreprise cliente].
  • Coordonnées valides, opérationnelles au moins 60 jours : [adresse postale et/ou courriel].
  • Mention que le message fait suite à une visite ou une prestation récente.

5. Se désinscrire : STOP (SMS), lien (courriel)

Tout message doit contenir un moyen de se désabonner simple, fonctionnel et gratuit. C'est une obligation centrale de la LCAP, et la même logique s'applique au Québec et en Europe.

Pour les SMS, le client répond STOP (ou ARRÊT) ; Kipo enregistre la demande et cesse les envois. Pour les courriels, chaque message contient un lien de désinscription visible. Le mécanisme reste opérationnel au moins 60 jours.

Une fois la demande reçue, l'arrêt est appliqué sans délai et au plus tard sous 10 jours ouvrables. Kipo automatise ce traitement.

Le désabonnement est définitif et géré automatiquement par Kipo. Un client qui a répondu STOP ou cliqué sur le lien ne recevra plus de demandes, même si vous l'importez à nouveau dans une liste.

6. Conserver la preuve du consentement

En cas de contrôle ou de plainte, c'est à vous de démontrer que vous aviez le droit de contacter chaque client. La charge de la preuve pèse sur l'expéditeur, sous la LCAP comme sous le RGPD.

Une preuve solide indique quand, comment et sur quel support le client a consenti ou est devenu client : date, heure, modalité, finalité annoncée. Conservez ces éléments (registre de consentement, preuve d'achat, formulaire).

Kipo conserve les journaux techniques d'envoi et de désinscription, ce qui complète vos preuves sans s'y substituer (conservés pendant [durée à préciser]).

Bonne pratique : gardez une trace de l'origine de chaque contact importé dans Kipo (relation d'affaires, formulaire, demande à l'accueil). C'est cette trace qui vous protège en cas de plainte.

7. Enregistrement des campagnes SMS (A2P / 10DLC)

En Amérique du Nord, l'envoi de SMS automatisés par une entreprise (messages A2P, via des numéros 10DLC) est encadré par les opérateurs, en plus de la loi. Depuis le 1er février 2025, les opérateurs américains bloquent tout le trafic A2P non enregistré, et des règles équivalentes encadrent le trafic canadien. Tout envoi vers un mobile nord-américain doit être enregistré.

Chaque entreprise et chaque campagne doivent être déclarées avant tout envoi : enregistrement de la marque (identité et informations légales) et de la campagne (objet = demande d'avis, avec exemples de messages). Kipo prend en charge ou vous accompagne dans cet enregistrement. Les informations doivent correspondre exactement à celles de votre entreprise.

  • Enregistrement de la marque : [informations légales de l'entreprise, identifiant fiscal selon le pays].
  • Enregistrement de la campagne : objet = demande d'avis après prestation, avec exemples de messages.
  • Mention STOP et identification de l'expéditeur intégrées par Kipo dans les SMS.
  • Sans enregistrement valide, les SMS sont bloqués ou filtrés et n'atteignent pas vos clients.

8. Le consentement en France et en Europe (RGPD / ePrivacy)

Pour vos clients en France et en Europe, le principe est l'opt-in : la prospection par courriel ou SMS auprès de particuliers suppose en règle générale le consentement préalable, libre, spécifique, éclairé et univoque, résultant d'une action positive (case non pré-cochée). Les cases pré-cochées sont interdites.

Il existe une exception pour les clients existants. La CNIL admet de solliciter une personne dont on a déjà recueilli les coordonnées lors d'une vente, sans consentement préalable, à trois conditions cumulatives : la sollicitation porte sur des produits ou services analogues, la personne a été informée au moment de la collecte, et elle a pu s'y opposer simplement et gratuitement dès la collecte puis à chaque message.

Comme au Canada, la preuve du consentement ou de la base utilisée doit pouvoir être présentée à la CNIL. Le client doit toujours disposer d'un moyen de s'opposer simple et gratuit, que Kipo intègre à chaque message.

Pour des prospects qui ne sont pas encore vos clients, ou si vous ne pouvez pas démontrer l'information et le droit d'opposition dès la collecte, l'opt-in préalable est obligatoire avant tout envoi en Europe. Dans le doute, recueillez un consentement explicite.

9. Au Québec : Loi 25 et communications

Au Québec, la Loi 25 s'ajoute à la LCAP. Elle porte non sur l'envoi des messages (rôle de la LCAP), mais sur la protection des renseignements personnels utilisés pour les envoyer.

La Loi 25 impose de désigner une personne responsable de la protection des renseignements personnels et de publier ses coordonnées, reconnaît le droit de retirer son consentement, exige de détruire ou d'anonymiser les renseignements une fois leur finalité atteinte, et impose un registre des incidents et le signalement des incidents à risque sérieux à la Commission d'accès à l'information.

Lorsque vous confiez des renseignements à Kipo, la Loi 25 exige une entente écrite encadrant ce mandat. C'est l'objet de notre entente de sous-traitance.

Si vos contacts incluent des résidents du Québec, assurez-vous d'avoir désigné votre propre responsable de la protection des renseignements personnels et publié ses coordonnées, comme l'exige la Loi 25.

10. Fréquence et contenu des messages

Kipo est conçu pour rester sobre. L'outil n'envoie qu'une demande d'avis par visite ou prestation, et limite les relances. Il ne sert jamais à diffuser de la publicité ou des offres : son seul objet est de recueillir l'avis du client.

Le message invite le client satisfait à laisser un avis public et oriente le client mécontent vers un canal privé, sans jamais filtrer en amont qui est invité à donner son avis. Cette approche évite le review-gating interdit par Google.

  • Un seul objet : la demande d'avis après une visite ou une prestation.
  • Pas de publicité, pas d'offres commerciales, pas de relances abusives.
  • Tous les clients sollicités reçoivent la même invitation (pas de review-gating).
  • Paramètres de fréquence et de délai encadrés par Kipo : [valeurs par défaut et limites à préciser].

11. Protection des données et transferts

Les coordonnées de vos clients sont des renseignements personnels. Kipo les traite uniquement pour envoyer les demandes d'avis que vous demandez, conformément à la Loi 25, au RGPD et à notre entente de sous-traitance, avec des mesures de sécurité appropriées.

Selon la localisation de nos prestataires, des données peuvent être traitées hors du Québec ou de l'UE. Ces transferts sont alors encadrés par les garanties prévues (évaluation des facteurs relatifs à la vie privée sous la Loi 25 ; clauses contractuelles types sous le RGPD). Notre hébergeur est [hébergeur et localisation à préciser].

Pour le détail des données, durées, sous-traitants, transferts et droits, consultez notre Politique de confidentialité.

Voir la Politique de confidentialité pour le détail des traitements, des durées de conservation, des transferts et de l'exercice des droits (accès, rectification, retrait du consentement, suppression).

12. Avant votre première campagne : la liste de contrôle

Avant d'importer vos contacts et de lancer vos premiers envois, vérifiez que vous pouvez cocher les points suivants. C'est la meilleure façon de rester conforme et de réduire votre risque.

  • Je n'importe que des contacts pour lesquels je dispose d'une base valable (consentement exprès, relation d'affaires récente au Canada, ou client existant correctement informé en Europe).
  • Je peux prouver l'origine et la date de chaque consentement ou relation d'affaires.
  • Mon entreprise est correctement identifiée (raison sociale et coordonnées valides) dans les messages.
  • Si j'envoie des SMS vers des numéros nord-américains, ma marque et ma campagne A2P / 10DLC sont enregistrées.
  • Si j'ai des clients au Québec, j'ai désigné et publié mon responsable de la protection des renseignements personnels.
  • J'ai signé l'entente de sous-traitance avec Kipo.
  • Je sais que toute demande de désinscription sera respectée de façon définitive et automatique.

13. Sanctions en cas de non-respect

Le non-respect de ces règles expose à des sanctions financières importantes, qui pèsent en premier lieu sur l'expéditeur, c'est-à-dire l'entreprise cliente.

Sous la LCAP, les sanctions peuvent atteindre 1 million de dollars canadiens pour un particulier et 10 millions pour une entreprise. Au Québec, la Loi 25 prévoit des sanctions administratives jusqu'à 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et pénales jusqu'à 25 millions ou 4 %. Sous le RGPD, les sanctions de la CNIL peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé.

En respectant les bonnes pratiques décrites ici, et en n'important que des contacts pour lesquels vous disposez d'une base valable et d'une preuve, vous réduisez fortement ce risque.

Élément Ce qu'exige la loi Comment Kipo le gère
Consentement Exprès (opt-in) ou tacite via relation d'affaires de moins de 2 ans (Canada) ; opt-in préalable en Europe, sauf client existant informé. L'entreprise cliente recueille et garantit le consentement ; Kipo n'envoie qu'aux contacts importés, sur ses instructions.
Identification de l'expéditeur Identifier l'entreprise expéditrice et ses coordonnées valides (au moins 60 jours). Le nom et les coordonnées de l'entreprise figurent dans chaque message.
Désabonnement Mécanisme simple, gratuit, valide au moins 60 jours, traité au plus tard sous 10 jours ouvrables. Réponse STOP (SMS) ou lien (courriel), traitée automatiquement et de façon définitive.
Preuve du consentement Date, heure et modalité ; charge de la preuve sur l'expéditeur. L'entreprise cliente conserve ses preuves ; Kipo conserve les journaux d'envoi et de désinscription.
SMS A2P / 10DLC Enregistrement de la marque et de la campagne pour tout envoi vers un numéro nord-américain. Kipo prend en charge ou accompagne l'enregistrement et intègre STOP et l'identification.
Protection des données Loi 25 et RGPD : finalité limitée, sécurité, droits, entente de sous-traitance, transferts encadrés. Kipo traite les données uniquement pour le service, sous entente de sous-traitance.
Fréquence et contenu Pas d'envois abusifs ; finalité claire ; pas de review-gating. Une demande d'avis par visite, sans publicité ni relance, même invitation pour tous.

Une question ?

Une question sur la conformité de vos campagnes ou sur le partage des responsabilités ? Écrivez à [adresse de contact / support Kipo]. Pour toute question relative à vos données personnelles ou pour exercer vos droits, contactez le responsable de la protection des renseignements personnels de Kipo : [nom et coordonnées à compléter]. Rappel : chaque entreprise cliente doit, de son côté, désigner son propre responsable si la Loi 25 s'applique à sa clientèle. Cette page a une valeur informative et ne constitue pas un avis juridique.

Nous écrire