Marché en ligne : sanction de 2,3 millions d’euros à l’encontre de VINTED
Le 2 juillet 2024, en coopération avec la CNIL, l’autorité lituanienne de protection des données a prononcé une amende de 2 385 276 euros à l’encontre de la société Vinted UAB pour plusieurs manquements visant les utilisateurs de la plateforme.
La société VINTED propose une plateforme de marché en ligne communautaire qui permet aux utilisateurs inscrits de vendre, d'acheter et d'échanger des vêtements et accessoires d'occasion. La plateforme est accessible via une application mobile et à partir d’un navigateur web et compte environ 50 millions d’utilisateurs actifs mensuels dans le monde.
Une coopération renforcée avec la CNIL tout au long de la procédure
À partir de 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société VINTED, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données.
En application des procédures de coopération instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, VINTED ayant son siège social en Lituanie. Les plaintes françaises ont donc été communiquées à l’autorité lituanienne.
La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, ainsi qu'avec les autres autorités concernées (polonaise, néerlandaise et allemande).
Les manquements retenus
À l’issue des investigations, l’autorité lituanienne de protection des données a retenu plusieurs manquements au RGPD à l’encontre de la société VINTED.
- La société n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues :
- la société ne pouvait pas refuser l'effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d'effacement ;
- dans les cas où elle a refusé l’effacement, la société n’a pas indiqué aux plaignants toutes les raisons du refus.
- la société ne pouvait pas refuser l'effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d'effacement ;
- La société a mis en œuvre illégalement le « bannissement furtif », une méthode qui consiste à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme malveillant (qui ne respecte pas les règles de la plateforme), sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme.
Bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.).
De plus, les objectifs du bannissement furtif pouvaient être atteints par le blocage complet, qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées.
- La société n’a pas pu prouver qu’elle avait correctement répondu à des demandes de droit d’accès.
La CNIL a informé les plaignants de cette décision, conformément à ce que prévoit le RGPD.
Cette décision de sanction permet de réaffirmer l’obligation pour les plateformes en ligne de veiller à garantir l’exercice des droits des personnes concernées et à traiter leurs données de manière loyale et transparente.