Sécurité et confidentialité avec WaBot — ce que vous devez savoir

WaBot est conçu selon une architecture multi-tenant stricte : chaque bot est isolé dans sa propre instance. Les données d'un client ne sont jamais accessibles depuis un autre compte.

Toutes les communications entre le dashboard, le bot engine et MongoDB transitent via des connexions chiffrées (TLS). Le trafic entrant est exclusivement HTTPS.

Les sessions WhatsApp sont stockées localement sur le serveur WaBot dans un répertoire isolé par bot. Elles ne sont jamais transmises à des tiers.

Vos clés API (OpenAI, etc.) sont stockées en tant que variables d'environnement dans la base de données. Elles ne sont jamais visibles en clair dans l'interface, les logs ou les réponses API.

Seul le bot engine accède aux clés au moment de l'exécution. Le dashboard n'expose jamais les valeurs réelles des variables d'environnement — uniquement les noms des clés configurées.

Bonne pratique : créez des clés API dédiées à WaBot avec des permissions minimales. Pour OpenAI, limitez les accès aux modèles dont vous avez besoin.

Les conversations sont stockées dans votre base de données MongoDB. WaBot n'analyse pas ni ne revend vos données de conversation.

Les messages de vos utilisateurs WhatsApp sont traités par l'API OpenAI pour générer les réponses. Les données transmises à OpenAI sont régies par leur politique de confidentialité. Vous pouvez désactiver l'utilisation des données pour l'entraînement dans votre compte OpenAI.

Recommandation : n'incitez pas vos utilisateurs à partager des informations très sensibles (numéros de carte bancaire, mots de passe) via WhatsApp.

L'accès au dashboard est protégé par authentification email/mot de passe. Les sessions sont gérées via NextAuth avec des tokens JWT signés.

Le sous-domaine public de chaque bot peut être protégé par un code PIN à 8 chiffres, que vous définissez dans les paramètres du bot. Sans ce PIN, personne ne peut scanner le QR code depuis l'URL publique.

Conseil : activez toujours le code PIN si votre sous-domaine est partagé avec des personnes externes à votre organisation.

L'utilisation de WhatsApp via Baileys (API non officielle) est soumise aux Conditions d'utilisation de WhatsApp. Les comptes utilisés à des fins commerciales intensives peuvent être bannis par WhatsApp.

Recommandations pour éviter les bans : n'envoyez jamais de messages en masse non sollicités, limitez votre bot à répondre aux messages entrants, évitez les comportements qui ressemblent à du spam.

Pour un usage commercial à grande échelle avec garanties, l'API WhatsApp Business officielle (Meta) est plus adaptée. WaBot est idéal pour les PME et indépendants avec un volume modéré.