Vinted prend une claque à 2,3 millions d’euros pour manquements au RGPD

Vinted, la plateforme de vente en ligne de mode d’occasion, se voit infliger une amende de 2,3 millions d’euros de la part de la part de l’autorité lituanienne de protection des données en coopération avec la Cnil, à la suite de plusieurs manquements au RGPD visant les utilisateurs de la plateforme.

Sanction pour non effacement des données personnelles

Si le non effacement des données personnelles apparaît comme un motif légitime de sanction, la critique par la Cnil du recours par Vinted au « bannissement furtif » afin de protéger la plateforme et les autres utilisateurs d’un internaute considéré comme malveillant apparaît tirée par les cheveux et comme du juridisme vain.

Vinted est accessible via une application mobile et à partir d’un navigateur web et compte environ 50 millions d’utilisateurs actifs mensuels dans le monde. Comme souvent, les investigations ont démarré à la suite de nombreuses plaintes auprès de la Cnil à partir de 2020. Ces plaintes portaient majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. C’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, car Vinted a son siège social en Lituanie.

Les plaintes françaises ont donc été communiquées à l’autorité lituanienne. La Cnil souligne avoir étroitement coopéré avec son homologue tout au long de la procédure, ainsi qu’avec les autres autorités concernées, polonaise, néerlandaise et allemande.

Manque de loyauté et de transparence de Vinted

Selon l’enquête, Vintedn’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. La société ne pouvait pas refuser l’effacement des données au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d’effacement. Dans les cas où elle a refusé l’effacement, la société n’a pas indiqué aux plaignants toutes les raisons du refus.

Vinted se voit reprocher d’avoir mis en œuvre illégalement le « bannissement furtif ». C’est une méthode qui consiste à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme malveillant qui ne respecte pas les règles de la plateforme, sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme.

Bien qu’une telle pratique cherche à protéger la plateforme, la mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, estime la Cnil. Les utilisateurs n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations vis-à-vis d’eux, telles que l’inefficacité de l’exercice du droit à contacter l’assistance client, l’impossibilité d’exercer ses droits, etc.

Absence de preuve de réponse aux demandes de droits d’accès

De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées. D’autre part, Vinted n’a pas pu prouver qu’il avait correctement répondu à des demandes de droit d’accès.